Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

16.16. サーバーサイドリクエストフォージェリー (SSRF) の軽減

サーバーサイドリクエストフォージェリー (SSRF) とは、攻撃者がサーバー (この場合は Red Hat build of Keycloak) を誘導して、意図しない宛先にリクエストを送信させるセキュリティー上の脆弱性です。Red Hat build of Keycloak では、このリスクは主に、JWKS URI など、サーバーからのリクエストをトリガーするクライアントフィールドに関連しています。

これらのフィールドが厳密に検証されていない場合、悪意のある管理者、侵害されたアカウント、または動的クライアント登録により、フィールドが内部ネットワークのリソースやループバックインターフェイス (例: http://localhost:8080/any) に向けて誘導される可能性があります。攻撃者はこれを利用して、Red Hat build of Keycloak サーバー自体から内部インフラストラクチャーを調査または攻撃することができます。

この脅威を軽減するために、Red Hat build of Keycloak は クライアントポリシー を使用したソリューションを提供しています。これには、トランスポートセキュリティーとワイルドカードに対する基本的な保護を提供する Secure Client URIs などのエグゼキューターが含まれますが、特に Secure Client URIs Pattern エグゼキューターの使用が効果的です。

16.16.1. Secure Client URIs Pattern Executor
リンクのコピー

このエグゼキューターは、クライアント URI を パターンの許可リスト と照合することで、厳格なセキュリティーポリシーを適用します。URI が 1 つ以上の設定されたパターンにマッチしなかった場合、クライアントの作成または更新が拒否されます。

これは、JWKS URI だけでなく、rootUrladminUrlredirectUriswebOrigins など、クライアントで使用可能なすべての URI フィールドを検証するために使用できます。

Expand
表16.1 設定プロパティー
設定説明

Allowed URI Patterns

正規表現のリスト。クライアント URI は、リスト内のパターンの少なくとも 1 つにマッチする場合に のみ 有効とみなされます。このリストが空または無効な場合、エグゼキューターは すべて の URI をブロックします。

Client URI Fields to validate

検証対象となる特定のクライアントフィールドのリスト (例: jwksUriadminUrl)。空欄のままにした場合、サポートされている すべて の URI フィールドがデフォルトで検証されます。リストは設定で確認できます。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る