Red Hat Summit9.11. Post login flow
ログイン後フローは、特定のアイデンティティープロバイダーでログインするたびに追加の認証アクションをトリガーする必要がある場合に役立ちます。たとえば、Facebook ではログイン時に二要素認証がないため、Red Hat build of Keycloak が Facebook にログインするたびに二要素認証をトリガーする必要がある場合があります。
必要な手順で認証フローを設定したら、アイデンティティープロバイダーを設定するときに、その認証フローを Post login flow として設定します。
9.11.1. Post login flow の例
9.11.1.1. アイデンティティープロバイダーのログイン後に二要素認証を要求する
最も簡単な方法は、特定の二要素方式を使用して認証を強制することです。たとえば、OTP を要求する場合、単一のオーセンティケーターのみが設定されていると、フローは次のようになります。このタイプのフローでは、ユーザーのアカウントに OTP が設定されていない場合、アイデンティティー提供による最初のログイン時にユーザーに OTP を設定するように求めます。
OTP を使用した 2FA post login flow
より複雑な設定では、ALTERNATIVE として設定された二要素認証方法を複数含めることができます。この場合、ユーザーのアカウントにまだ二要素認証が設定されていない場合は、いずれかの方法を設定するようにユーザーを促すようにします。これは次のように実行できます。
-
First login flow で、二要素認証方法の 1 つが
REQUIREDとして設定されていることを確認します。この方法は、アイデンティティープロバイダーのログインで全ユーザーを登録する場合に有効です。 -
二要素認証方式を
ALTERNATIVEとして、2FAなどの条件付きサブフローにラップし、OTP if no 2FAなどの別の条件付きサブフローを作成します。これは、前のサブフローが実行されなかった場合にのみトリガーされ、ユーザーに二要素認証方式の 1 つ (例: OTP) を追加するように求めます。同様のフロー設定の例は 認証フローの章の条件セクション に記載されています。
9.11.2. 専用クライアントの追加認証手順の要求
場合によっては、クライアントまたはクライアントのグループがアイデンティティープロバイダーのログイン後に追加の手順を実行する必要があります。以下は、クライアントスコープ foo がリクエストれた場合に、アイデンティティープロバイダーのログイン後にユーザーが OTP で認証する必要があることを規定するフローの例です。
クライアントスコープと OTP を使用する 2FA post login flow
これは、指定されたクライアントスコープをリクエストするための Condition - client scope を設定する例です。
2FA post login flow client scope 設定
要求されたクライアントには、このクライアントスコープがデフォルトまたはオプションとして設定されている必要があります。後者の場合、フローはクライアントスコープがクライアントによって要求された場合にのみ実行されます (例: OIDC/OAuth2 クライアントログインの場合は scope パラメーター)。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}