16.17. 制限の範囲

デフォルトでは、新規クライアントアプリケーションには、無制限の role scope mappings があります。そのクライアントのすべてのアクセストークンには、ユーザーが所有するすべてのパーミッションが含まれます。攻撃者がクライアントに不正アクセスして、クライアントのアクセストークンを取得すると、ユーザーがアクセスできる各システムが危険にさらされます。

各クライアントの Scope メニュー を使用して、アクセストークンのロールを制限します。または、クライアントスコープレベルでロールスコープマッピングを設定し、クライアントスコープメニュー を使用して、クライアントスコープをクライアントに割り当てることもできます。

クライアントのオフラインスコープを削除すると、クライアントに長期間有効なオフライントークンを発行する機能も削除され、ユーザーによるセッションの制御が向上します。

デフォルトでは、すべてのスコープが OpenID Connect 検出エンドポイントに含まれます。検出されにくくし、OSINT による露出を減らすために、各スコープを除外するように設定できます。