8.5. 公開されたパスに関する推奨事項

リバースプロキシーを使用する場合、Red Hat build of Keycloak では特定のパスのみを公開する必要があります。次の表は、公開が推奨されるパスを示しています。

Expand

Red Hat build of Keycloak のパス	リバースプロキシーパス	公開	理由
/	-	いいえ	すべてのパスを公開すると、管理パスが不必要に公開されます。
/admin/	-	いいえ	管理パスが公開されると、不要な攻撃ベクトルが発生します。
/realms/	/realms/	はい	このパスは、たとえば OIDC エンドポイントなどで正しく機能するために必要です。
/resources/	/resources/	はい	このパスは、アセットを正しく提供するために必要です。Red Hat build of Keycloak のパスではなく、CDN から提供される場合があります。
/.well-known/	/.well-known/	はい	このパスは、RFC8414 で認可サーバーメタデータおよびその他の情報を解決するために必要です。
/metrics	-	いいえ	メトリクスが公開されると、不要な攻撃ベクトルが発生します。
/health	-	いいえ	ヘルスチェックが公開されると、不要な攻撃ベクトルが発生します。

Red Hat build of Keycloak をリバースプロキシー/ゲートウェイのパブリック API のルートパス / で実行していることを前提としています。そうでない場合は、パスの前に任意の接頭辞を追加します。

注記

サーバーで http-relative-path を設定した場合は、次のように検出を行い、RFC8414: サーバー上の接頭辞のない /.well-known/ パスをマップするようにリバースプロキシーを設定します。

トップに戻る