8.11. 認証セッション

前のセクションで説明したように、1 つのブラウザーの複数のタブから Red Hat build of Keycloak サーバーに認証を試みているユーザーが関与する状況が考えられます。ただし、そのユーザーが 1 つのブラウザータブで認証すると、他のブラウザータブでは自動的に認証が再開されます。この認証は、Red Hat build of Keycloak ログインページで利用可能な小さな JavaScript によって行われます。通常、再起動すると、ユーザーは他のブラウザータブで認証され、クライアントにリダイレクトされます。これは、ユーザーが最初のブラウザータブで正常に認証されたため、SSO セッションが現時点で存在するためです。OIDC パラメーター prompt=login を使用する場合や、現在認証されている要素よりも強力な認証要素を要求する ステップアップ認証 を使用する場合など、ユーザーが他のブラウザータブで自動的に認証されないというまれな例外が存在します。

まれのケースでは、最初のブラウザータブで認証した後、認証セッションがすでに期限切れになっているため、他のブラウザータブで認証を再開できない場合があります。この場合、特定のブラウザータブは、期限切れの認証セッションに関するエラーをプロトコル固有の方法でクライアントにリダイレクトします。詳細は、アプリケーションのセキュリティー保護セクション の OIDC ドキュメント の対応するセクションを参照 してください。クライアントアプリケーションがこのようなエラーを受信すると、前述のように、既存の SSO セッションにより通常はユーザーが自動的に認証されるため、すぐに OIDC/SAML 認証要求を Red Hat build of Keycloak に再送信できます。その結果、エンドユーザーはすべてのブラウザータブで自動的に認証されます。アプリケーションのセキュリティー 保護セクションの Keycloak JavaScript アダプター と、Red Hat build of Keycloak Identity プロバイダー のサポートにより、このエラーを自動的に処理し、このような場合に Red Hat build of Keycloak サーバーへの認証を再試行します。