Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

3.9. レルムキーの設定

Keycloak で使用される認証プロトコルには、暗号化署名が必要であり、場合によっては暗号化も必要です。Red Hat build of Keycloak は、これを実現するために非対称の鍵ペア (秘密鍵と公開鍵) を使用します。

Red Hat build of Keycloak では、アクティブな鍵ペアは常に 1 つだけですが、複数のパッシブな鍵を保持することもできます。アクティブな鍵ペアは新しい署名の作成に使用され、パッシブな鍵ペアは以前の署名の検証に使用できます。これにより、ダウンタイムやユーザーへの影響なしに、定期的に鍵をローテーションすることが可能になります。

レルムが作成されると、鍵ペアと自己署名証明書が自動的に生成されます。

手順

  1. メニューで Realm settings をクリックします。
  2. Keys をクリックします。
  3. フィルタードロップダウンから Passive keys を選択して、パッシブな鍵を表示します。
  4. フィルタードロップダウンから Disabled keys を選択して、無効な鍵を表示します。

鍵ペアのステータスが Active であっても、レルムの現在アクティブな鍵ペアとして選択されない場合があります。署名に使用されるアクティブな鍵ペアは、アクティブな鍵ペアを提供できる鍵プロバイダーのうち、優先度が最も高いものが選択されます。

3.9.1. 鍵のローテーション
リンクのコピー

鍵は定期的にローテーションすることを推奨します。まず、既存のアクティブな鍵よりも優先度の高い新しい鍵を作成してください。代わりに、同じ優先度を持つ新しい鍵を作成し、以前の鍵をパッシブにすることもできます。

新しい鍵が利用可能になり次第、その新しい鍵ですべての新しいトークンと Cookie が署名されます。ユーザーがアプリケーションに対して認証されると、SSO Cookie が新しい署名で更新されます。OpenID Connect トークンが更新されると、新しいトークンが新しい鍵で署名されます。最終的には、すべての Cookie とトークンが新しい鍵を使用するようになり、しばらくすると古い鍵を削除できるようになります。

古い鍵を削除する頻度を決定する際には、セキュリティーと、すべての Cookie とトークンの確実な更新との間で、トレードオフが発生します。3 - 6 カ月ごとに新しい鍵を作成し、新しい鍵を作成してから 1 - 2 カ月後に古い鍵を削除することを検討してください。新しい鍵が追加されてから古い鍵が削除されるまでの期間にユーザーが非アクティブだった場合、そのユーザーは再認証を行う必要があります。

鍵のローテーションは、オフライントークンにも適用されます。トークンを最新の状態にするために、アプリケーションは古い鍵が削除される前にトークンを更新する必要があります。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る