Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

サーバー設定ガイド

Red Hat build of Keycloak 26.4

ガイド

概要

このガイドには、Red Hat build of Keycloak 26.4 の設定に関する管理者向け情報が記載されています。

第1章 Red Hat build of Keycloak の設定
リンクのコピー

Red Hat build of Keycloak を設定して起動します。

この章では、Red Hat build of Keycloak の設定方法と、設定を開始して適用する方法を説明します。これには、Red Hat build of Keycloak を最適化して起動を高速化し、メモリー使用量を減らすための設定ガイドラインが含まれています。

1.1. Red Hat build of Keycloak のソース設定
リンクのコピー

Red Hat build of Keycloak は、次の 4 つのソースから設定をロードします。ここでは適用順にリストされています。

  1. コマンドラインパラメーター
  2. 環境変数
  3. conf/keycloak.conf ファイルまたはユーザーが作成した設定ファイルで定義されたオプション
  4. ユーザーが作成した Java KeyStore ファイルで定義された機密オプション

オプションが複数のソースに設定されている場合、そのオプションの値はリストの最初にあるソースにより決定されます。たとえば、コマンドラインパラメーターにより設定されたオプションの値は、同じオプションの環境変数よりも優先されます。

1.1.1. 例: db-url-host パラメーターの設定
リンクのコピー

次の例は、db-url 値が 4 つの設定ソースでどのように設定されるかを示しています。

Expand
ソース形式

コマンドラインパラメーター

--db-url=cliValue

環境変数

KC_DB_URL=envVarValue

設定ファイル

db-url=confFileValue

Java KeyStore ファイル

kc.db-url=keystoreValue

アプリケーションの優先順位に基づくと、最も優先順位が高いのはコマンドラインであるため、起動時に使用される値は cliValue になります。

--db-url=cliValue が使用されていない場合、適用される値は KC_DB_URL=envVarValue になります。値がコマンドラインまたは環境変数によって適用されていない場合は、db-url=confFileValue が使用されます。前述の値がいずれも適用されていない場合は、使用可能な設定ソースの中で優先順位が最も低いため、kc.db-url=keystoreValue の値が使用されます。

1.2. 設定用の形式
リンクのコピー

この設定では、ソースごとに統一された 形式が使用されており、キー/値ペアの、ある設定ソースから別の設定ソースへの変換が簡素化されます。この形式は spi オプションにも適用されることに注意してください。

コマンドラインパラメーターの形式
コマンドラインの値には、--<key-with-dashes>=<value> の形式が使用されます。一部の値は、-<abbreviation>=<value> の省略表現もあります。
環境変数の形式
環境変数の値には、大文字の KC_<key_with_underscores>=<value> 形式が使用されます。
設定ファイルの形式
設定ファイルに格納される値には、<key-with-dashes>=<value> 形式が使用されます。
KeyStore 設定ファイルの形式
KeyStore 設定ファイルに格納される値には、kc.<key-with-dashes> 形式が使用されます。<value> は、KeyStore に保存されているパスワードです。

設定の各章の最後で、該当する設定形式を定義する 関連オプション の見出しを探してください。すべての設定オプションは、すべての設定 を参照してください。ユースケースに適用できる設定ソースと形式を選択します。

1.2.1. 例 - 設定ソースに基づく代替形式
リンクのコピー

次の例は、3 つの設定ソースにおける db-url-host の設定形式を示しています。

コマンドラインパラメーター

bin/kc.[sh|bat] start --db-url-host=mykeycloakdb

環境変数

export KC_DB_URL_HOST=mykeycloakdb

conf/keycloak.conf

db-url-host=mykeycloakdb

1.2.2. コマンドラインパラメーターの形式
リンクのコピー

Red Hat build of Keycloak には、設定用の多くのコマンドラインパラメーターが同梱されています。使用可能な設定形式を確認するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --help

または、すべての設定 ですべてのサーバーオプションを確認できます。

1.2.3. 環境変数を参照するための形式
リンクのコピー

${ENV_VAR} 構文を使用することで、keycloak.conf ファイル内の環境変数から環境固有の値をプレースホルダーを使用して解決できます。 

db-url-host=${MY_DB_HOST}

環境変数を解決できない場合は、フォールバック値を指定できます。ここで示すとおり、mydb の前に : (コロン) を使用します。 

db-url-host=${MY_DB_HOST:mydb}

1.2.4. 特定の設定ファイルを含める形式
リンクのコピー

デフォルトでは、サーバーは常に conf/keycloak.conf ファイルから設定オプションを取得します。新規インストールの場合、このファイルには、実稼働環境で実行する際の設定案がコメントとして格納されているだけです。

次のコマンドを入力し、[-cf|--config-file] オプションを使用して設定ファイルの場所を明示的に指定することもできます。 

bin/kc.[sh|bat] --config-file=/path/to/myconfig.conf start

このオプションを設定すると、Red Hat build of Keycloak は conf/keycloak.conf ではなく指定されたファイルから設定を読み取ります。

1.2.5. Java KeyStore ファイルを使用して機密オプションを設定する
リンクのコピー

Keystore 設定ソースにより、[--config-keystore] および [--config-keystore-password] オプションを使用して Java KeyStore からプロパティーを直接ロードできます。必要に応じて、[--config-keystore-type] オプションを使用して KeyStore タイプを指定できます。デフォルトの KeyStore タイプは PKCS12 です。

KeyStore 内のシークレットは、PBE (パスワードベースの暗号化) キーアルゴリズムを使用して保存する必要があります。この場合のキーは、KeyStore のパスワードから導出します。次の keytool コマンドを使用して、このような KeyStore を生成できます。 

keytool -importpass -alias kc.db-password -keystore keystore.p12 -storepass keystorepass -storetype PKCS12 -v

コマンドを実行すると、Enter the password to be stored というプロンプトが表示されます。これは、上記の kc.db-password プロパティーの値を表します。

KeyStore が作成されると、次のパラメーターを使用してサーバーを起動できます。 

bin/kc.[sh|bat] start --config-keystore=/path/to/keystore.p12 --config-keystore-password=keystorepass --config-keystore-type=PKCS12

1.2.6. raw Quarkus プロパティーの形式
リンクのコピー

ほとんどの場合、使用可能な設定オプションでサーバーを設定できます。ただし、Red Hat build of Keycloak 設定に欠けている特定の動作または機能は、基礎となる Quarkus フレームワークのプロパティーを使用できます。

可能であれば、Quarkus から直接プロパティーを使用することは避けてください。それらは Red Hat build of Keycloak でサポートされていません。どうしても必要な場合は、まず 機能拡張リクエスト を作成することを検討してください。このアプローチは、ニーズに合わせて Red Hat build of Keycloak の設定を改善するのに役立ちます。

拡張リクエストが不可能な場合は、raw Quarkus プロパティーを使用してサーバーを設定できます。

  1. conf ディレクトリーに、quarkus.properties ファイルを作成します。

  2. そのファイルで、必要なプロパティーを定義します。

    Quarkus ドキュメント で定義されている Quarkus エクステンションの サブセット のみ使用できます。以下に示す、Quarkus プロパティーの違いにも注意してください。

    • Quarkus ドキュメント に示される Quarkus プロパティーの鍵アイコンは、ビルド時のプロパティーを表しています。このプロパティーを適用するには、build コマンドを実行します。ビルドコマンドの詳細は、Red Hat build of Keycloak の最適化に関する後続セクションを参照してください。
    • Quarkus ガイドの鍵アイコンがないプロパティーは、Quarkus および Red Hat build of Keycloak のランタイムプロパティーです。

Quarkus プロパティーを Java KeyStore に保存することもできます。

quarkus.http.port や同様の必須プロパティーなど、一部の Quarkus プロパティーはすでに Red Hat build of Keycloak 設定にマップされていることに注意してください。プロパティーが Red Hat build of Keycloak によって使用されている場合、quarkus.properties でそのプロパティーキーを定義しても効果はありません。Red Hat build of Keycloak の設定値は、Quarkus のプロパティー値よりも優先されます。

1.2.7. 値に特殊文字を使用する
リンクのコピー

Red Hat build of Keycloak は、Quarkus と MicroProfile に依存して設定値を処理します。評価式がサポートされていることに注意してください。たとえば、${some_key}some_key の値と評価されます。

式の評価を無効にするには、\ 文字をエスケープ文字として使用します。特に、$ で式を定義する場合や $ が繰り返し現れる場合、\ によって $ の使用をエスケープする必要があります。たとえば、設定値 my$$password が必要な場合は、代わりに my\$\$password を使用します。ほとんどの Unix シェルを使用する場合、またはプロパティーファイルに現れる場合は、\ 文字を追加でエスケープするか、引用符で囲む必要があることに注意してください。たとえば、bash で一重引用符を使用すると、単一のバックスラッシュ --db-password='my\$\$password' が保持されます。また、bash で二重引用符を使用する場合は、バックスラッシュがもう 1 つ --db-password="my\\$\\$password" が必要です。同様に、プロパティーファイルでも、バックスラッシュ文字をエスケープする必要があります (kc.db-password=my\\$\\$password)。

Windows 固有の考慮事項

設定値で Windows ファイルパスを指定する場合は、バックスラッシュもエスケープする必要があります。たとえば、パス C:\path\to\file を指定する場合は、C:\\path\\to\\file と記述する必要があります。または、C:/path/to/file のように、エスケープする必要のないスラッシュを使用することもできます。

PowerShell を使用し、値にコンマなどの特殊文字が含まれている場合は、二重引用符を一重引用符で囲みます。 

.\kc.bat start --log-level='"INFO,org.hibernate:debug"'

PowerShell では引用符を異なる方法で処理します。引用符で囲まれた文字列を kc.bat スクリプトに渡す前に解釈し、外側の引用符文字を削除します。したがって、値の構造を保持するには、引用符の追加レイヤーが必要です。そうでない場合、コンマは区切り文字として解釈されます。Windows CMD では、二重引用符を直接使用できます。

1.2.8. 特殊文字を含む環境変数キーの形式
リンクのコピー

設定キー内の英数字以外の文字は、対応する環境変数キーで _ に変換する必要があります。

環境変数は、名前を小文字にし、_- に置き換えることで、通常のオプションキーに変換されます。ロギングのワイルドカードは例外で、カテゴリー内の _. に置き換えられます。ロギングカテゴリーは一般にクラス/パッケージ名であり、- ではなく . が使用される可能性が高くなります。

警告

環境変数キーをオプションキーに自動マッピングすると、意図したキーが保持されない場合があります。

たとえば、kc.log-level-package.class_name は、環境変数キー KC_LOG_LEVEL_PACKAGE_CLASS_NAME になります。これは、ロギングカテゴリーの _. に置き換えられるため、自動的に kc.log-level-package.class.name にマッピングされます。残念ながら、これは kc.log-level-package.class_name の意図と一致しません。

この場合、いくつかのオプションがあります。

  • 選択した環境変数を参照するエントリーを keycloak.conf ファイルに作成します (例: kc.log-level-package.class_name=${CLASS_NAME_LEVEL})。参照する環境変数の詳細は、「環境変数を参照するための形式」 を参照してください。
  • または、keycloak.conf の変更が容易でない状況では、環境変数 KC_UNIQUEIFIER=valueKCKEY_UNIQUEIFIER=key のペアを使用できます (例: KC_MYKEY=debugKCKEY_MYKEY=log-level-package.class_name、または KC_LOG_LEVEL_PACKAGE_CLASS_NAME=debugKCKEY_LOG_LEVEL_PACKAGE_CLASS_NAME=log-level-package.class_name)。

1.3. Red Hat build of Keycloak の起動
リンクのコピー

Red Hat build of Keycloak は、development mode または production mode で起動できます。各モードでは、対象となる環境に応じて異なるデフォルトが提供されます。

1.3.1. Red Hat build of Keycloak を開発モードで起動する
リンクのコピー

開発モードは、Red Hat build of Keycloak を初めて試す場合に、すばやく起動するために使用します。このモードは、Red Hat build of Keycloak の開発など、開発者にとって便利なデフォルト設定を提供します。

開発モードで起動するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start-dev

デフォルト

開発モードでは、次のデフォルト設定が適用されます。

  • HTTP は有効
  • 厳密なホスト名解決は無効
  • キャッシュはローカルに設定 (高可用性のため、分散キャッシュメカニズムは使用されません)
  • テーマとテンプレートのキャッシュは無効

1.3.2. Red Hat build of Keycloak を実稼働モードで起動する
リンクのコピー

Red Hat build of Keycloak を実稼働環境にデプロイするには、実稼働モードを使用します。このモードは、セキュアバイデフォルト (デフォルトでセキュア) の原則に従います。

実稼働モードで起動するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start

追加で設定を行わなければ、このコマンドを実行しても Red Hat build of Keycloak は起動せず、代わりにエラーが表示されます。Red Hat build of Keycloak は セキュアバイデフォルト の原則に従っているため、この応答は意図的なものです。実稼働モードでは、起動時にホスト名を設定し、HTTPS/TLS 設定を使用可能にすることが想定されています。

デフォルト

実稼働モードでは、次のデフォルトが設定されます。

  • トランスポート層セキュリティー (HTTPS) が必須であるため、HTTP は無効になっています。
  • ホスト名の設定が想定されています。
  • HTTPS/TLS の設定が想定されています。

Red Hat build of Keycloak を実稼働環境にデプロイする前に、必ず 実稼働環境向けの Red Hat build of Keycloak の設定 に記載されている手順に従ってください。

デフォルトでは、実稼働モードの設定オプション例は、デフォルトの conf/keycloak.conf ファイル内でコメント化されています。これらのオプションは、実稼働環境で Red Hat build of Keycloak を実行する際に考慮すべき主要な設定についてアイデアを提供します。

1.4. 初期管理者ユーザーの作成
リンクのコピー

初期管理者ユーザーは、ローカル接続 (localhost) を使用してアクセスする Web フロントエンドを使用して作成できます。代わりに、環境変数を使用してこのユーザーを作成することもできます。初期管理者ユーザー名には KC_BOOTSTRAP_ADMIN_USERNAME=<username> を設定し、初期管理者パスワードには KC_BOOTSTRAP_ADMIN_PASSWORD=<password> を設定します。

Red Hat build of Keycloak は、初回起動時にこれらの値を解析して、管理者権限を持つ最初のユーザーを作成します。管理者権限を持つ最初のユーザーが存在する場合は、管理コンソールまたはコマンドラインツール kcadm.[sh|bat] を使用して追加のユーザーを作成できます。

初期管理者がすでに存在し、起動時に環境変数がまだ存在している場合は、初期管理者の作成が失敗したことを示すエラーメッセージがログに表示されます。Red Hat build of Keycloak はこの値を無視し、正しく起動します。

1.5. Red Hat build of Keycloak の起動を最適化する
リンクのコピー

Red Hat build of Keycloak を実稼働環境にデプロイする前に、Red Hat build of Keycloak を最適化して起動を高速化し、メモリー消費量を改善することが推奨されます。このセクションでは、最適なパフォーマンスと実行時の動作を実現するために、Red Hat build of Keycloak の最適化を適用する方法を説明します。

1.5.1. 最適化された Red Hat build of Keycloak ビルドの作成
リンクのコピー

デフォルトでは、start または start-dev コマンドを使用すると、Red Hat build of Keycloak は便宜上、内部で build コマンドを実行します。

この build コマンドは、起動時と実行時の動作に対して一連の最適化を実行します。ビルドプロセスには数秒かかる場合があります。特に、Kubernetes や OpenShift などのコンテナー化された環境で Red Hat build of Keycloak を実行する場合、起動時間は重要です。無駄な時間を発生させないために、起動前に build (CI/CD パイプラインの別のステップなど) を明示的に実行します。

1.5.1.1. 最初のステップ: build を明示的に実行する
リンクのコピー

build を実行するには、次のコマンドを入力します。 

bin/kc.[sh|bat] build <build-options>

このコマンドは、入力した build options を表示します。Red Hat build of Keycloak は、build コマンドの実行時に使用できる ビルドオプション と、サーバーの起動時に使用できる 設定オプション を区別します。

Red Hat build of Keycloak の起動が最適化されていない場合、この区別には意味がありません。ただし、起動前に build を実行する場合、build コマンドではオプションのサブセットしか使用できません。この制限は、最適化された Red Hat build of Keycloak イメージに対して build オプションが永続化されることが原因です。たとえば、db-password (設定オプション) などの認証情報の設定は、セキュリティー上の理由から永続化することは禁止されています。

警告

すべてのビルドオプションは、プレーンテキストで保持されます。機密データは、ビルドオプションとして保存しないでください。これは、KeyStore Config Source を含む、使用可能なすべての設定ソースに適用されます。したがって、ビルドオプションを Java Keystore に保存することも推奨されません。設定オプションに関しては、主に機密データの保存に KeyStore Config Source を使用することが推奨されます。機密性のないデータの場合は、残りの設定ソースを使用できます。

ビルドオプションは、すべての設定 でツールアイコンによって示されています。利用可能なビルドオプションを見つけるには、次のコマンドを入力します。 

bin/kc.[sh|bat] build --help

例: 起動前に build を実行してデータベースを PostgreSQL に設定する

bin/kc.[sh|bat] build --db=postgres

1.5.1.2. 2 番目のステップ: --optimized を使用して Red Hat build of Keycloak を起動する
リンクのコピー

ビルドが成功すると、次のコマンドを入力して Red Hat build of Keycloak を起動し、デフォルトの起動動作をオフにできます。 

bin/kc.[sh|bat] start --optimized <configuration-options>

--optimized パラメーターは、Red Hat build of Keycloak に対して、事前にビルドおよび最適化された Red Hat build of Keycloak の使用を前提とするように指示します。その結果、Red Hat build of Keycloak の起動時にビルドの直接確認と実行は行われず、時間が短縮されます。

起動時にすべての設定オプションを入力できます。設定オプションは、すべての設定 の中にある、ツールアイコンが 付いていない オプションです。

  • 起動時に、build の入力時に使用した値と同じ値のビルドオプションが見つかった場合、--optimized パラメーターを使用すると、そのオプションは暗黙的に無視されます。
  • そのオプションの値が、ビルドの入力時に使用した値と異なる場合、ログに警告が表示され、以前にビルドした値が使用されます。この値を有効にするには、起動する前に新しい build を実行します。

最適化されたビルドを作成する

次の例は、Red Hat build of Keycloak の起動時に、--optimized パラメーターを使用して最適化されたビルドを作成する方法を示しています。

  1. build コマンドを使用して、PostgreSQL データベースベンダーのビルドオプションを設定します。 

    bin/kc.[sh|bat] build --db=postgres

  2. conf/keycloak.conf ファイルで、postgres の実行時設定オプションを設定します。 

    db-url-host=keycloak-postgres
db-username=keycloak
db-password=change_me
hostname=mykeycloak.acme.com
https-certificate-file

  3. 最適化されたパラメーターでサーバーを起動します。 

    bin/kc.[sh|bat] start --optimized

build コマンドを使用すると、起動時と実行時の動作のほとんどを最適化できます。また、keycloak.conf ファイルを設定ソースとして使用すると、CLI 自体の初期化など、コマンドラインパラメーターが必要となる起動時の一部の手順を回避できます。その結果、サーバーの起動時間がさらに短縮されます。

1.6. レルム設定でのシステム変数の使用
リンクのコピー

一部のレルム機能により、管理者はレルムとそのコンポーネントの設定時に、環境変数やシステムプロパティーなどのシステム変数を参照できます。

デフォルトでは、Red Hat build of Keycloak ではシステム変数の使用は許可されておらず、spi-admin--allowed-system-variables 設定オプションで明示的に指定された変数のみ使用できます。このオプションを使用すると、最終的に同じキーを持つシステム変数の値に解決されるキーのコンマ区切りリストを指定できます。

  1. サーバーを起動し、一連のシステム変数をサーバーランタイムに公開します。 

    bin/kc.[sh|bat] start --spi-admin--allowed-system-variables=FOO,BAR

今後のリリースでは、レルム設定でのシステム変数の使用を防止するために、この機能は削除されます。

1.7. 基礎となる概念
リンクのコピー

このセクションでは、Red Hat build of Keycloak が使用する基礎となる概念、特に起動の最適化にかかわる概念を説明します。

Red Hat build of Keycloak は、Quarkus フレームワークと再拡張/mutable-jar アプローチを内部で使用します。このプロセスは、build コマンドが実行されると開始されます。

以下は、build コマンドにより実行される最適化の一部です。

  • インストールされているプロバイダーに関する閉世界仮説が作成されます。つまり、Red Hat build of Keycloak の起動ごとに、レジストリーを再作成してファクトリーを初期化する必要がなくなります。
  • 設定ファイルは、サーバー起動時の I/O を削減するために事前に解析されます。
  • データベース固有のリソースは、特定のデータベースベンダーに対して実行するように設定および準備されています。
  • ビルドオプションをサーバーイメージに対して永続化すると、サーバーは設定オプションを解釈して自身を (再) 設定するための追加の手順を実行しません。

詳細は、該当する Quarkus ガイド を参照してください。

第2章 実稼働環境向けの Red Hat build of Keycloak の設定
リンクのコピー

Red Hat build of Keycloak を実稼働環境で使用するために準備します。

Red Hat build of Keycloak の実稼働環境は、数千人のユーザーをサポートするオンプレミスのデプロイメントから数百万のユーザーにサービスを提供するデプロイメントまで、幅広いデプロイメントに対してセキュアな認証と認可を提供します。

この章では、実稼働に対応した Red Hat build of Keycloak 環境に必要な設定に関する一般的な情報を提供します。この情報は、環境に応じて異なる実際の実装ではなく、一般的な概念に重点を置いています。この章で説明する重要な側面は、コンテナー化、オンプレミス、GitOps、Ansible のいずれかにかかわらず、すべての環境に当てはまります。

2.1. セキュアな通信のための TLS
リンクのコピー

Red Hat build of Keycloak は、継続的に機密データを交換します。つまり、Red Hat build of Keycloak との間のすべての通信には、セキュアな通信チャネルが必要です。さまざまな攻撃ベクトルを防ぐには、そのチャネルに対して HTTP over TLS (HTTPS) を有効にします。

Red Hat build of Keycloak のためにセキュアな通信チャネルを設定するには、TLS の設定 および 送信 HTTP 要求の設定 を参照してください。

Red Hat build of Keycloak のキャッシュ通信を保護するには、分散キャッシュの設定 を参照してください。

2.2. Red Hat build of Keycloak のホスト名
リンクのコピー

通常、実稼働環境では、Red Hat build of Keycloak インスタンスはプライベートネットワークで実行されます。しかし、保護すべきアプリケーションと通信するために、Red Hat build of Keycloak は特定のパブリック向けエンドポイントを公開する必要があります。

エンドポイントのカテゴリーの詳細と、それらのパブリックホスト名を設定する方法は、ホスト名 (v2) の設定 を参照してください。

2.2.1. Red Hat build of Keycloak 管理 API と UI を別のホスト名で公開する
リンクのコピー

ログインフローなどで使用されるパブリックフロントエンド URL に使用されるものとは異なるホスト名またはコンテキストパスで Red Hat build of Keycloak 管理 REST API とコンソールを公開することが、ベストプラクティスと見なされます。このように分けることで、管理インターフェイスがパブリックインターネットに公開されなくなり、攻撃対象領域が縮小されます。

警告

REST API を公開する予定がない場合は、リバースプロキシーレベルで REST API へのアクセスをブロックする必要があります。

詳細は、ホスト名 (v2) の設定 を参照してください。

2.3. 分散環境でのリバースプロキシー
リンクのコピー

ホスト名 (v2) の設定 に加えて、実稼働環境には通常、リバースプロキシー/ロードバランサーのコンポーネントが含まれています。これは、会社や組織が使用するネットワークへのアクセスの分離や統合を行います。Red Hat build of Keycloak の実稼働環境では、このコンポーネントが推奨されます。

Red Hat build of Keycloak でプロキシー通信モードを設定する方法の説明は、リバースプロキシーの設定 を参照してください。Red Hat build of Keycloak がアプリケーションを保護するために、パブリックアクセスから隠すべきパスと、公開すべきパスに関する推奨も記載されています。

2.4. キューに入れる要求の数の制限
リンクのコピー

実稼働環境では、過負荷状態から保護して、可能な限り多くの有効な要求に応答し、状況が正常に戻ったときに通常の操作を継続できるようにする必要があります。これを実現する 1 つの方法は、特定のしきい値に達したときに追加の要求を拒否することです。

負荷制限は、環境内のロードバランサーを含むすべてのレベルで実装する必要があります。さらに、Red Hat build of Keycloak には、すぐに処理できないためキューに入れる必要がある要求の数を制限する機能があります。デフォルトでは制限は設定されていません。オプション http-max-queued-requests を設定すると、キューに入れる要求の数を、環境に合わせて特定のしきい値に制限できます。この制限を超える要求には、即時に 503 Server not Available 応答が返されます。

2.5. 実稼働グレードのデータベース
リンクのコピー

Red Hat build of Keycloak で使用されるデータベースは、Red Hat build of Keycloak の全体的なパフォーマンス、可用性、信頼性、整合性において非常に重要です。サポートされているデータベースの設定方法の詳細は、データベースの設定 を参照してください。

2.6. クラスター内での Red Hat build of Keycloak の実行
リンクのコピー

Red Hat build of Keycloak インスタンスがダウンした場合もユーザーのログインを継続するために、一般的な実稼働環境には Red Hat build of Keycloak インスタンスが 2 つ以上含まれています。

Red Hat build of Keycloak は、JGroups および Infinispan 上で実行されます。これらは、クラスター化されている場合に高い信頼性と可用性を提供します。デフォルトのセットアップでは、ノード間の通信は TLS を使用して暗号化されます。

複数のノード、さまざまなキャッシュ、および環境に適したスタックを使用する方法の詳細は、分散キャッシュの設定 を参照してください。

2.6.1. ファイアウォールポートの設定
リンクのコピー

Red Hat build of Keycloak サーバー間の正常なネットワーク通信を可能にするには、一連のネットワークポートを開く必要があります。分散キャッシュの設定 を参照してください。開く必要があるポートとその使用方法を説明します。

2.7. Red Hat build of Keycloak サーバーで IPv4 または IPv6 を設定する
リンクのコピー

システムプロパティーである java.net.preferIPv4Stackjava.net.preferIPv6Addresses を使用して、IPv4 または IPv6 アドレスを使用するように JVM を設定できます。

デフォルトでは、Red Hat build of Keycloak は、同時に IPv4 アドレスと IPv6 アドレスを介してアクセスできます。IPv4 アドレスのみで実行する場合は、プロパティー java.net.preferIPv4Stack=true を指定する必要があります。そうすることで、ホスト名から IP アドレスへの変換では必ず IPv4 アドレスのバリアントが返されるようになります。

これらのシステムプロパティーは、JAVA_OPTS_APPEND 環境変数を使用して容易に設定できます。たとえば、IP スタック設定を IPv4 に変更するには、次のように環境変数を設定します。 

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=true"

IPv6 専用サーバーを設定するには、分散キャッシュがクラスターを形成するように環境変数を次のように設定します。 

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true"

詳細は、分散キャッシュの設定 を参照してください。

第3章 管理者アカウントのブートストラップと回復
リンクのコピー

Red Hat build of Keycloak をブートストラップし、一時的な管理者アカウントを作成してアクセスを回復します。

3.1. 一時的な管理者アカウント
リンクのコピー

以下に説明するいずれかの方法を使用して作成されたユーザーまたはサービス管理者アカウントは 一時的 なものです。つまり、アカウントは、永続的でよりセキュアな管理者アクセスを取得するために必要な操作を実行するために必要な期間のみ存在する必要があります。その後、アカウントを手動で削除する必要があります。管理コンソールの警告バナー、ラベル、ログメッセージなどのさまざまな UI/UX 要素によって、アカウントが一時的であることが Red Hat build of Keycloak 管理者に通知されます。

3.2. Red Hat build of Keycloak の起動時に一時的な管理者アカウントをブートストラップする
リンクのコピー

Red Hat build of Keycloak の start および start-dev コマンドは、一時的な管理者ユーザーと管理サービスアカウントの両方をブートストラップするためのオプションをサポートします。これらのオプションは標準の設定オプションであるため、環境変数や CLI パラメーターなどの任意の 設定ソース で指定できます。たとえば、次の例は、CLI パラメーターを指定した start コマンドと start-dev コマンドを使用して、それぞれ一時的な管理者ユーザーと管理者サービスアカウントをブートストラップする方法を示しています。 

bin/kc.[sh|bat] start --bootstrap-admin-username tmpadm --bootstrap-admin-password pass
 
bin/kc.[sh|bat] start-dev --bootstrap-admin-client-id tmpadm --bootstrap-admin-client-secret secret

ユーザー名またはクライアント ID の値は省略できます。詳細は、以下の 「デフォルト値」 セクションを参照してください。

これらのオプションの目的は、一時的な管理者アカウントをブートストラップすることだけです。これらのアカウントは、マスターレルムがまだ存在しないときに、Red Hat build of Keycloak サーバーの初期起動時にのみ作成されます。アカウントは常にマスターレルムに作成されます。失われた管理者アクセスを回復するには、以下のセクションで説明する専用コマンドを使用します。

bootstrap-admin コマンドは、Red Hat build of Keycloak を初めて起動する前でも実行できます。このコマンドを使用する前に、すべての Red Hat build of Keycloak ノードを停止する必要があることに注意してください。これを実行すると、初期マスターレルムの作成がトリガーされ、その結果、後でサーバーが初めて起動されるときに、管理者ユーザーとサービスアカウントをブートストラップするための起動オプションは無視されます。

さらに、Red Hat build of Keycloak サーバーの起動時と同じオプション (例: db オプション) を指定して専用コマンドを使用することを強く推奨します。

Red Hat build of Keycloak の設定 で説明されているように、build コマンドを使用して Red Hat build of Keycloak の最適化バージョンをビルドした場合は、コマンドラインオプション --optimized を使用して、起動時間を短縮するために Red Hat build of Keycloak がビルドチェックをスキップするようにします。その際には、コマンドラインからビルド時オプションを削除し、実行時オプションのみを保持します。

注記

--optimized を使用しない場合、bootstrap-admin コマンドによって暗黙的に最適化されたビルドが作成または更新される可能性があることに注意してください。サーバーインスタンスと同じマシンからコマンドを実行している場合、サーバーの次回の起動に影響する可能性があります。

3.3.1. 管理者ユーザーの作成
リンクのコピー

一時的な管理者ユーザーを作成するには、次のコマンドを実行します。 

bin/kc.[sh|bat] bootstrap-admin user

他のパラメーターが指定されていない場合、または対応する環境変数が設定されていない場合は、ユーザーは必要な情報を入力するよう求められます。ユーザー名の値を省略してデフォルト値を使用できます。詳細は、以下の 「デフォルト値」 セクションと 「環境変数」 セクションを参照してください。

または、コマンド内でパラメーターを直接指定することもできます。 

bin/kc.[sh|bat] bootstrap-admin user --username tmpadm --password:env PASS_VAR

このコマンドは、ユーザー名 tmpadm と環境変数から取得したパスワードを持つ一時的な管理者ユーザーを作成します。

3.3.2. サービスアカウントの作成
リンクのコピー

自動化されたシナリオでは、一時的な管理者ユーザーの代わりに、一時的な管理者サービスアカウントを使用する方が適している場合があります。

一時的な管理者サービスアカウントを作成するには、次のコマンドを実行します。 

bin/kc.[sh|bat] bootstrap-admin service

同様に、対応する環境変数または追加のパラメーターが設定されていない場合、ユーザーは必要な情報を入力するよう求められます。デフォルト値を使用する場合は、クライアント ID 値を省略できます。詳細は、以下の 「デフォルト値」 セクションと 「環境変数」 セクションを参照してください。

または、コマンド内でパラメーターを直接指定することもできます。 

bin/kc.[sh|bat] bootstrap-admin service --client-id tmpclient --client-secret:env=SECRET_VAR

このコマンドは、クライアント ID tmpclient と環境変数から取得したシークレットを使用して、一時的な管理サービスアカウントを作成します。

3.4. セキュリティーを強化してレルムへのアクセスを取り戻す
リンクのコピー

管理者アクセスが失われたレルムに対して、パスワードレス、OTP、またはその他の高度な認証方法を適用できます。このような場合、レルムへの失われた管理者アクセスを回復するには、管理者サービスアカウントを作成する必要があります。サービスアカウントが作成された後、必要なすべての操作を実行するには、Red Hat build of Keycloak インスタンスに対する認証が必要です。 

bin/kcadm.[sh|bat] config credentials --server http://localhost:8080 --realm master --client <service_account_client_name> --secret <service_account_secret>

次に、credentialId を取得します。この例では、OTP 認証情報が関連する認証情報です。次のコマンドを使用して、CredentialRepresentation オブジェクトの配列を取得し、typeotp に設定されているオブジェクトを見つけます。 

bin/kcadm.[sh|bat] get users/{userId}/credentials -r {realm-name}

最後に、取得した ID を使用して、高度な認証方法 (この場合は OTP) を削除できます。 

bin/kcadm.[sh|bat] delete users/{userId}/credentials/{credentialId} -r {realm-name}

3.5. デフォルト値
リンクのコピー

起動および専用コマンドの両方のシナリオでは、ユーザー名とクライアント ID はオプションであり、ユーザーアカウントとサービスアカウントの両方でそれぞれ temp-admin がデフォルトになります。

3.6. パラメータープロンプトを無効にする
リンクのコピー

--no-prompt パラメーターを使用して、パラメーターのプロンプトを無効化できます。以下に例を示します。 

bin/kc.[sh|bat] bootstrap-admin user --username tmpadm --no-prompt

対応する環境変数が設定されていない場合、コマンドは失敗し、必要なパスワードパラメーターがないことを示すエラーメッセージが表示されます。

--no-prompt パラメーターは、ユーザー名またはクライアント ID を省略する必要がある場合に役立ちます。以下に例を示します。 

bin/kc.[sh|bat] bootstrap-admin user --password:env PASS_VAR --no-prompt

これにより、確認を求めることなく、デフォルトのユーザー名を持つ一時的な管理者ユーザーが作成されます。詳細は、上記の 「デフォルト値」 セクションを参照してください。

3.7. 環境変数
リンクのコピー

bootstrap-admin user コマンドでは、ユーザー名とパスワードの両方をオプションで環境変数として設定できます。 

bin/kc.[sh|bat] bootstrap-admin user --username:env <YourUsernameEnv> --password:env <YourPassEnv>

bootstrap-admin service コマンドの場合、クライアント ID はオプションで、デフォルトは temp-admin ですが、クライアントシークレットは環境変数として設定する必要があります。 

bin/kc.[sh|bat] bootstrap-admin service --client-id:env <YourClientIdEnv> --client-secret:env <YourSecretEnv>

第4章 ディレクトリー構造
リンクのコピー

インストールルートの下のディレクトリーの目的を説明します。

4.1. インストールの場所
リンクのコピー

zip ファイルからインストールする場合、デフォルトでは rhbk-26.4.11 のインストールルートディレクトリーが作成されます。このディレクトリーは、ファイルシステム上の任意の場所に作成できます。

/opt/keycloak は、Red Hat build of Keycloak で示されるすべてのコンテナー化された使用法におけるサーバーのルートインストールロケーションです。

注記

ドキュメントの残りの部分では、相対パスはインストールルートからの相対パスとして理解されます。たとえば、conf/file.xml<install root>/conf/file.xml を意味します。

4.2. ディレクトリー構造
リンクのコピー

Red Hat build of Keycloak のインストールルートの下には、いくつかのフォルダーが存在します。

  • bin/ - kc.sh|batkcadm.sh|batkcreg.sh|bat など、サーバーのすべてのシェルスクリプトが含まれます。

    • client/ - 内部的に使用される

  • conf/ - keycloak.conf を含む設定ファイルに使用されるディレクトリー - Red Hat build of Keycloak の設定 を参照してください。設定ファイルを指定するための多くのオプションでは、このディレクトリーに対する相対パスが想定されています。

  • data/ - トランザクションログなどのランタイム情報を保存するサーバーのディレクトリー

    • logs/ - ファイルロギングのデフォルトディレクトリー - ロギングの設定 を参照してください。
  • lib/ - 内部的に使用される
  • providers/ - ユーザーが提供する依存関係のディレクトリー - サーバーを拡張する場合は プロバイダーの設定 を、JDBC ドライバーの追加例の場合は データベースの設定 を参照してください。
  • themes/ - 管理コンソールのカスタマイズ用のディレクトリー - テーマの開発 を参照してください。

第5章 コンテナー内での Red Hat build of Keycloak の実行
リンクのコピー

コンテナーイメージから Red Hat build of Keycloak を実行します。

この章では、コンテナーを実行する際に最適なエクスペリエンスを実現するために、Red Hat build of Keycloak コンテナーイメージを最適化して実行する方法を説明します。

警告

この章は、OpenShift 環境で実行するイメージのビルドにのみ適用されます。このイメージは OpenShift 環境のみをサポートします。他の Kubernetes ディストリビューションで実行する場合はサポートされません。

5.1. カスタマイズおよび最適化されたコンテナーイメージの作成
リンクのコピー

デフォルトの Red Hat build of Keycloak コンテナーイメージは、すぐに設定および最適化できる状態で出荷されます。

Red Hat build of Keycloak コンテナーを最適に起動するには、コンテナーのビルド中に build ステップを実行してイメージをビルドします。この手順を実行することで、後に続くコンテナーイメージの各起動フェーズで時間を節約できます。

5.1.1. 最適化された Red Hat build of Keycloak Containerfile の記述
リンクのコピー

次の Containerfile は、ヘルスおよびメトリクスのエンドポイントとトークン交換機能を有効にし、PostgreSQL データベースを使用する、事前設定済みの Red Hat build of Keycloak イメージを作成します。

Containerfile:

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4 AS builder

# Enable health and metrics support
ENV KC_HEALTH_ENABLED=true
ENV KC_METRICS_ENABLED=true

# Configure a database vendor
ENV KC_DB=postgres

WORKDIR /opt/keycloak
# for demonstration purposes only, please make sure to use proper certificates in production instead
RUN keytool -genkeypair -storepass password -storetype PKCS12 -keyalg RSA -keysize 2048 -dname "CN=server" -alias server -ext "SAN:c=DNS:localhost,IP:127.0.0.1" -keystore conf/server.keystore
RUN /opt/keycloak/bin/kc.sh build

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4
COPY --from=builder /opt/keycloak/ /opt/keycloak/

# change these values to point to a running postgres instance
ENV KC_DB=postgres
ENV KC_DB_URL=<DBURL>
ENV KC_DB_USERNAME=<DBUSERNAME>
ENV KC_DB_PASSWORD=<DBPASSWORD>
ENV KC_HOSTNAME=localhost
ENTRYPOINT ["/opt/keycloak/bin/kc.sh"]

ビルドプロセスには複数の段階が含まれます。

  • build コマンドを実行してサーバーのビルドオプションを設定し、最適化されたイメージを作成します。
  • build 段階で生成されたファイルが、新しいイメージにコピーされます。
  • 最後のイメージで、ホスト名とデータベースの追加の設定オプションが設定されているため、コンテナーの実行時にそれらを再度設定する必要はありません。
  • エントリーポイントで、kc.sh により、すべてのディストリビューションのサブコマンドがアクセス可能になります。

カスタムプロバイダーは、JAR ファイルを /opt/keycloak/providers ディレクトリーに含めるステップを定義するだけでインストールできます。このステップは、以下のように、build コマンドを RUNs 行の前に配置する必要があります。 

# A example build step that downloads a JAR file from a URL and adds it to the providers directory
FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4 as builder

...

# Add the provider JAR file to the providers directory
ADD --chown=keycloak:keycloak --chmod=644 <MY_PROVIDER_JAR_URL> /opt/keycloak/providers/myprovider.jar

...

# Context: RUN the build command
RUN /opt/keycloak/bin/kc.sh build

5.1.2. 追加の RPM パッケージをインストールする
リンクのコピー

FROM registry.redhat.io/rhbk/keycloak-rhel9 段階で新しいソフトウェアをインストールしようとすると、microdnfdnf、さらには rpm がインストールされていないことがわかります。また、利用できるパッケージは非常に少なく、bash シェルと Red Hat build of Keycloak 自体の実行に必要なものしかありません。これは、Red Hat build of Keycloak の攻撃対象領域を減らすセキュリティー強化対策によるものです。

まず、ユースケースを別の方法で実装できるかどうかを検討し、なるべく最終的なコンテナーへの新規 RPM のインストールを回避します。

  • Containerfile 内の RUN curl 命令は、リモート URL をネイティブにサポートしているため、ADD に置き換えることができます。
  • 一部の一般的な CLI ツールは、Linux ファイルシステムを創造的に使用することで置き換えることができます。たとえば、ip addr show tap0cat /sys/class/net/tap0/address にすることができます。
  • RPM を必要とするタスクはイメージビルドの前の段階に移動し、代わりに結果をコピーできます。

以下は例です。前のビルド段階で update-ca-trust を実行し、後の段階に結果をコピーします。 

FROM registry.access.redhat.com/ubi9 AS ubi-micro-build
COPY mycertificate.crt /etc/pki/ca-trust/source/anchors/mycertificate.crt
RUN update-ca-trust

FROM registry.redhat.io/rhbk/keycloak-rhel9
COPY --from=ubi-micro-build /etc/pki /etc/pki

絶対に必要な場合は、ubi-micro で確立された次の 2 段階のパターンに従い、新しい RPM をインストールできます。 

FROM registry.access.redhat.com/ubi9 AS ubi-micro-build
RUN mkdir -p /mnt/rootfs
RUN dnf install --installroot /mnt/rootfs <package names go here> --releasever 9 --setopt install_weak_deps=false --nodocs -y && \
    dnf --installroot /mnt/rootfs clean all && \
    rpm --root /mnt/rootfs -e --nodeps setup

FROM registry.redhat.io/rhbk/keycloak-rhel9
COPY --from=ubi-micro-build /mnt/rootfs /

このアプローチでは chroot (/mnt/rootfs) を使用します。これにより、指定したパッケージとその依存関係のみがインストールされるため、当て推量で作業することなく、それらを第 2 段階に簡単にコピーできます。

警告

一部のパッケージには、依存関係の大きなツリーがあります。新しい RPM をインストールすると、コンテナーの攻撃対象領域が意図せず増大する可能性があります。インストールされているパッケージのリストを慎重に確認してください。

5.1.3. カスタム ENTRYPOINT シェルスクリプト
リンクのコピー

カスタムエントリーポイントスクリプトを使用する場合は、グレースフルなシャットダウンに不可欠な終了シグナルを受信するために、Red Hat build of Keycloak を exec で起動します。

ENTRYPOINT シェルスクリプトの正しいアプローチ

#!/bin/bash

# (add your custom logic here)

# Run the 'exec' command as the last step of the script.
# As it replaces the current shell process, no additional shell commands will run after the 'exec' command.
exec /opt/keycloak/bin/kc.sh start "$@"

警告

exec を使用しない場合、シェルスクリプトはコンテナー内で PID 1 のままとなり、SIGTERM などのシグナルが Red Hat build of Keycloak に到達するのをブロックします。これにより、グレースフルなシャットダウンが妨げられ、キャッシュの不整合やデータの損失が発生する可能性があります。

5.1.4. コンテナーイメージのビルド
リンクのコピー

実際のコンテナーイメージをビルドするには、Containerfile を含むディレクトリーから次のコマンドを実行します。 

podman build . -t mykeycloak -f Containerfile
注記

Podman はイメージの作成またはカスタマイズにのみ使用できます。実稼働環境での Red Hat build of Keycloak の実行に Podman はサポートされていません。

5.1.5. 最適化された Red Hat build of Keycloak コンテナーイメージの起動
リンクのコピー

イメージを起動するには、以下を実行します。 

podman run --name mykeycloak -p 8443:8443 -p 9000:9000 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        mykeycloak \
        start --optimized --hostname=localhost

Red Hat build of Keycloak は、セキュアな HTTPS 通信のみを使用して実稼働モードで開始され、https://localhost:8443 で使用できます。

ヘルスチェックエンドポイントは、https://localhost:9000/healthhttps://localhost:9000/health/readyhttps://localhost:9000/health/live で使用できます。

https://localhost:9000/metrics を開くと、モニタリングソリューションで使用できる運用メトリクスを含むページが表示されます。

5.1.6. Docker の既知の問題
リンクのコピー

  • RUN dnf install コマンドに時間がかかり過ぎていると思われる場合は、Docker systemd サービスのファイル制限 LimitNOFILE が正しく設定されていない可能性があります。適切な値 (1024000 など) を使用するようにサービス設定を更新するか、RUN コマンドで ulimit を直接使用してください。 
...
RUN ulimit -n 1024000 && dnf install --installroot ...
...
  • プロバイダー JAR が含まれており、プロバイダー JAR が変更されたという通知が表示されてコンテナーが start --optimized に失敗する場合、Docker がファイル変更タイムスタンプを切り捨てたか、build コマンドで記録された内容から実行時に表示される内容に変更したことが失敗の原因です。その場合は、build を実行する前に、touch コマンドを使用して選択した既知のタイムスタンプをイメージが使用するように強制する必要があります。 
...
# ADD or copy one or more provider jars
ADD --chown=keycloak:keycloak --chmod=644 some-jar.jar /opt/keycloak/providers/
...
RUN touch -m --date=@1743465600 /opt/keycloak/providers/*
RUN /opt/keycloak/bin/kc.sh build
...

5.2. コンテナーを別のポートに公開する
リンクのコピー

デフォルトで、サーバーはポート 80808443 を使用して、それぞれ http 要求と https 要求をリッスンします。

別のポートを使用してコンテナーを公開する場合は、それに応じて hostname を設定する必要があります。

  1. デフォルトポート以外のポートを使用してコンテナーを公開する 
podman run --name mykeycloak -p 3000:8443 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        mykeycloak \
        start --optimized --hostname=https://localhost:3000

hostname オプションを完全な URL に設定すると、https://localhost:3000 でサーバーにアクセスできるようになります。

5.3. 開発モードで Red Hat build of Keycloak を試用する
リンクのコピー

開発またはテスト目的でコンテナーから Red Hat build of Keycloak を試用する場合、開発モードが最適です。start-dev コマンドを使用します。 

podman run --name mykeycloak -p 127.0.0.1:8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        registry.redhat.io/rhbk/keycloak-rhel9:26.4 \
        start-dev

このコマンドを呼び出すと、Red Hat build of Keycloak サーバーが開発モードで起動します。

このモードはデフォルトがセキュアではないため、実稼働環境では絶対に使用しないでください。Red Hat build of Keycloak を実稼働環境で実行する方法の詳細は、実稼働環境向けの Red Hat build of Keycloak の設定 を参照してください。

5.4. 標準の Red Hat build of Keycloak コンテナーを実行する
リンクのコピー

イミュータブルインフラストラクチャーなどの概念に従い、コンテナーは定期的に再プロビジョニングする必要があります。これらの環境では、素早く起動するコンテナーが必要なため、前のセクションで説明したように、最適化されたイメージを作成する必要があります。ただし、環境に異なる要件がある場合は、start コマンドを実行するだけで標準の Red Hat build of Keycloak イメージを実行できます。以下に例を示します。 

podman run --name mykeycloak -p 127.0.0.1:8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        registry.redhat.io/rhbk/keycloak-rhel9:26.4 \
        start \
        --hostname=localhost --http-enabled=true
        --db=postgres --features=token-exchange \
        --db-url=<JDBC-URL> --db-username=<DB-USER> --db-password=<DB-PASSWORD> \
        --https-key-store-file=<file> --https-key-store-password=<password>

このコマンドを実行すると、最初にビルドオプションを検出して適用する Red Hat build of Keycloak サーバーが起動します。この例では、--db=postgres --features=token-exchange の行でデータベースベンダーが PostgreSQL に設定され、トークン交換機能が有効になります。

その後、Red Hat build of Keycloak が起動し、設定が環境に適用されます。このアプローチでは起動時間が大幅に増加し、ミュータブルなイメージが作成されますが、これはベストプラクティスではありません。

5.5. コンテナー内での実行時に初期の管理者認証情報を入力する
リンクのコピー

Red Hat build of Keycloak では、ローカルネットワーク接続からのみ初期管理者ユーザーを作成できます。コンテナー内で実行する場合、これは当てはまりません。そのため、イメージ実行時に次の環境変数を指定する必要があります。 

# setting the admin username
-e KC_BOOTSTRAP_ADMIN_USERNAME=<admin-user-name>

# setting the initial password
-e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me

5.6. 起動時にレルムをインポートする
リンクのコピー

Red Hat build of Keycloak コンテナーには、ディレクトリー /opt/keycloak/data/import があります。ボリュームマウントまたはその他の手段でこのディレクトリーに 1 つ以上のインポートファイルを配置し、起動引数 --import-realm を追加すると、Red Hat build of Keycloak コンテナーが起動時にそのデータをインポートします。これは、開発モードでのみの使用が合理的です。 

podman run --name keycloak_unoptimized -p 127.0.0.1:8080:8080 \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        -v /path/to/realm/data:/opt/keycloak/data/import \
        registry.redhat.io/rhbk/keycloak-rhel9:26.4 \
        start-dev --import-realm

管理者ブートストラッププロセスの機能強化は、誰でも参加できる GitHub ディスカッション があります。お気軽にご参加ください。

5.7. 異なるメモリー設定を指定する
リンクのコピー

Red Hat build of Keycloak コンテナーでは、初期ヒープサイズと最大ヒープサイズにハードコード値を指定せずに、コンテナーの合計メモリーに対する相対値を使用します。この動作は、JVM オプション -XX:MaxRAMPercentage=70 および -XX:InitialRAMPercentage=50 によって実現されます。

-XX:MaxRAMPercentage オプションは、最大ヒープサイズをコンテナーメモリーの合計の 70% として表します。-XX:InitialRAMPercentage オプションは、初期ヒープサイズをコンテナーメモリー全体の 50% として表します。これらの値は、Red Hat build of Keycloak メモリー管理の詳細な分析に基づいて選択されています。

ヒープサイズはコンテナーの合計メモリーに基づいて動的に計算されるため、コンテナーの メモリー制限を必ず設定 してください。以前は、最大ヒープサイズは 512 MB に設定されていましたが、同じ値に近づけるには、メモリー制限を少なくとも 750 MB に設定する必要があります。小規模な実稼働環境対応のデプロイメントの場合、推奨されるメモリー制限は 2 GB です。

ヒープに関連する JVM オプションは、環境変数 JAVA_OPTS_KC_HEAP を設定することによってオーバーライドされる可能性があります。JAVA_OPTS_KC_HEAP のデフォルト値は、kc.sh または kc.bat スクリプトのソースコードにあります。

たとえば、環境変数とメモリー制限を次のように指定できます。 

podman run --name mykeycloak -p 127.0.0.1:8080:8080 -m 1g \
        -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=change_me \
        -e JAVA_OPTS_KC_HEAP="-XX:MaxHeapFreeRatio=30 -XX:MaxRAMPercentage=65" \
        registry.redhat.io/rhbk/keycloak-rhel9:26.4 \
        start-dev
警告

メモリー制限が設定されていない場合、ヒープサイズがコンテナーの合計メモリーの最大 70% まで増加する可能性があるため、メモリー消費量が急激に増加します。JVM がメモリーを割り当てると、現在の Red Hat build of Keycloak の GC 設定により、そのメモリーが消極的に OS に返されます。

5.8. 関連するオプション
リンクのコピー

Expand
 

db 🛠

データベースベンダー

実稼働モードでは、dev-file のデフォルト値は非推奨であるため、代わりに db を明示的に指定する必要があります。

名前付きキー: db-kind-<datasource> 🛠

CLI: --db
環境変数: KC_DB

dev-file (デフォルト), dev-mem, mariadb, mssql, mysql, oracle, postgres, tidb

db-password

データベースユーザーアカウントのパスワード

名前付きキー: db-password-<datasource>

CLI: --db-password
環境変数: KC_DB_PASSWORD

 

db-url

データベースの完全な JDBC URL

指定しない場合、選択したデータベースベンダーに基づきデフォルト URL が設定されます。たとえば、postgres を使用している場合、デフォルトの JDBC URL は jdbc:postgresql://localhost/keycloak になります。

名前付きキー: db-url-full-<datasource>

CLI: --db-url
環境変数: KC_DB_URL

 

db-username

データベースユーザーのユーザー名

名前付きキー: db-username-<datasource>

CLI: --db-username
環境変数: KC_DB_USERNAME

 

features 🛠

1 つ以上の機能セットを有効にします。

CLI: --features
環境変数: KC_FEATURES

account-api[:v1], account[:v3], admin-api[:v1], admin-fine-grained-authz[:v1,v2], admin[:v2], authorization[:v1], ciba[:v1], client-auth-federated[:v1], client-policies[:v1], client-secret-rotation[:v1], client-types[:v1], clusterless[:v1], db-tidb[:v1], declarative-ui[:v1], device-flow[:v1], docker[:v1], dpop[:v1], dynamic-scopes[:v1], fips[:v1], hostname[:v2], impersonation[:v1], instagram-broker[:v1], ipa-tuura-federation[:v1], kerberos[:v1], kubernetes-service-accounts[:v1], log-mdc[:v1], login[:v2,v1], logout-all-sessions[:v1], multi-site[:v1], oid4vc-vci[:v1], opentelemetry[:v1], organization[:v1], par[:v1], passkeys-conditional-ui-authenticator[:v1], passkeys[:v1], persistent-user-sessions[:v1], preview, quick-theme[:v1], recovery-codes[:v1], rolling-updates[:v1,v2], scripts[:v1], spiffe[:v1], step-up-authentication[:v1], token-exchange-external-internal[:v2], token-exchange-standard[:v2], token-exchange[:v1], transient-users[:v1], update-email[:v1], user-event-metrics[:v1], web-authn[:v1], workflows[:v1]

hostname

サーバーが公開されているアドレス。

完全な URL またはホスト名のみを指定できます。ホスト名のみが指定されている場合、スキーム、ポート、コンテキストパスはリクエストから解決されます。

CLI: --hostname
環境変数: KC_HOSTNAME

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

https-key-store-file

個別のファイルを指定する代わりに、証明書情報を保持するキーストア。

CLI: --https-key-store-file
環境変数: KC_HTTPS_KEY_STORE_FILE

 

https-key-store-password

キーストアファイルのパスワード

CLI: --https-key-store-password
環境変数: KC_HTTPS_KEY_STORE_PASSWORD

password (デフォルト)

health-enabled 🛠

サーバーがヘルスチェックエンドポイントを公開する必要があるかどうか。

有効にすると、/health/health/ready、および /health/live エンドポイントでヘルスチェックが利用可能になります。

CLI: --health-enabled
環境変数: KC_HEALTH_ENABLED

truefalse (デフォルト)

metrics-enabled 🛠

サーバーがメトリクスを公開する必要があるかどうか。

有効にすると、/metrics エンドポイントでメトリクスを利用できるようになります。

CLI: --metrics-enabled
環境変数: KC_METRICS_ENABLED

truefalse (デフォルト)

第6章 TLS の設定
リンクのコピー

受信リクエストと送信リクエストに対して Red Hat build of Keycloak の https 証明書を設定します。

Transport Layer Security (略称: TLS) は、保護されたチャネル上でデータを交換するために重要です。実稼働環境では、Red Hat build of Keycloak が他のアプリケーションと交換する内容の中核に機密データが含まれるため、HTTP 経由で Red Hat build of Keycloak エンドポイントを公開しないでください。この章では、HTTPS/TLS を使用するように Red Hat build of Keycloak を設定する方法を説明します。

Red Hat build of Keycloak は、PEM 形式のファイルを使用するか、Java Keystore から、必要な証明書インフラストラクチャーをロードするように設定できます。両方の手段が設定されている場合、PEM ファイルが Java Keystore よりも優先されます。

6.1. PEM 形式の証明書を指定する
リンクのコピー

PEM 形式の証明書ファイルと秘密鍵ファイルのペアを使用する場合は、次のコマンドを実行して、それらを使用するように Red Hat build of Keycloak を設定します。 

bin/kc.[sh|bat] start --https-certificate-file=/path/to/certfile.pem --https-certificate-key-file=/path/to/keyfile.pem

Red Hat build of Keycloak は、メモリー内のこれらのファイルからキーストアを作成し、以降はこのキーストアを使用します。

6.2. キーストアの提供
リンクのコピー

キーストアファイルが明示的に設定されておらず、http-enabled が false に設定されている場合、Red Hat build of Keycloak は conf/server.keystore ファイルを探します。

代わりに、次のコマンドを実行して既存のキーストアを使用することもできます。 

bin/kc.[sh|bat] start --https-key-store-file=/path/to/existing-keystore-file

キーストアで認識されるファイル拡張子:

  • pkcs12 ファイルの場合は .p12.pkcs12.pfx
  • jks ファイルの場合は .jks、および .keystore
  • pem ファイルの場合は .key.crt.pem

ファイルタイプに一致する拡張子がキーストアにない場合は、https-key-store-type オプションも設定する必要があります。

6.2.1. Keystore のパスワードを設定する
リンクのコピー

https-key-store-password オプションを使用して、キーストアにセキュアなパスワードを設定できます。 

bin/kc.[sh|bat] start --https-key-store-password=<value>

パスワードが設定されていない場合は、デフォルトのパスワードである password が使用されます。

6.2.1.1. 認証情報の保護
リンクのコピー

CLI を使用するか、conf/keycloak.conf ファイルにパスワードを追加するなどして、プレーンテキストでのパスワード設定を回避してください。代わりに、vault/マウントされたシークレットを使用するなどの適切な方法を使用してください。詳細は、vault の使用 および 実稼働環境向けの Red Hat build of Keycloak の設定 を参照してください。

6.3. TLS プロトコルの設定
リンクのコピー

デフォルトでは、Red Hat build of Keycloak は非推奨の TLS プロトコルを有効にしません。クライアントが非推奨のプロトコルのみをサポートしている場合は、クライアントのアップグレードを検討してください。一時的な回避策として、次のコマンドを実行し、非推奨のプロトコルを有効にできます。 

bin/kc.[sh|bat] start --https-protocols=<protocol>[,<protocol>]

たとえば、TLSv1.3 のみを有効にするには、kc.sh start --https-protocols=TLSv1.3 のコマンドを使用します。

6.4. HTTPS ポートの切り替え
リンクのコピー

Red Hat build of Keycloak は、ポート 8443 で HTTPS トラフィックをリッスンします。このポートを変更するには、次のコマンドを使用します。 

bin/kc.[sh|bat] start --https-port=<port>

6.5. 証明書とキーの再ロード
リンクのコピー

デフォルトでは、Red Hat build of Keycloak は、https-* オプションで指定された証明書、キー、およびキーストアを 1 時間ごとに再ロードします。サーバーキーを頻繁にローテーションする必要がある環境では、サーバーを再起動せずにローテーションを実行できます。https-certificates-reload-period オプションを使用してデフォルトをオーバーライドできます。https-* オプションによって参照されるキーストア、トラストストア、および証明書ファイルを再ロードする間隔。値は、java.time.Duration 値、秒数を表す整数、または整数の後に時間単位 [mshmsd] のいずれかが続く値になります。30 秒より長くする必要があります。無効にするには -1 を使用します。

6.6. 関連するオプション
リンクのコピー

Expand
 

http-enabled

HTTP リスナーを有効にします。

開発モードではデフォルトで有効になっています。通常、サーバーの前面に TLS Termination プロキシーがない限り、実稼働環境では有効になりません。

CLI: --http-enabled
環境変数: KC_HTTP_ENABLED

truefalse (デフォルト)

https-certificate-file

PEM 形式のサーバー証明書または証明書チェーンへのファイルパス。

CLI: --https-certificate-file
環境変数: KC_HTTPS_CERTIFICATE_FILE

 

https-certificate-key-file

PEM 形式の秘密鍵へのファイルパス。

CLI: --https-certificate-key-file
環境変数: KC_HTTPS_CERTIFICATE_KEY_FILE

 

https-certificates-reload-period

https-* オプションによって参照されるキーストア、トラストストア、および証明書ファイルを再ロードする間隔。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。30 秒より長くする必要があります。無効にするには -1 を使用します。

CLI: --https-certificates-reload-period
環境変数: KC_HTTPS_CERTIFICATES_RELOAD_PERIOD

1h (デフォルト)

https-cipher-suites

使用する暗号スイート。

指定されていない場合、適切なデフォルトが選択されます。

CLI: --https-cipher-suites
環境変数: KC_HTTPS_CIPHER_SUITES

 

https-key-store-file

個別のファイルを指定する代わりに、証明書情報を保持するキーストア。

CLI: --https-key-store-file
環境変数: KC_HTTPS_KEY_STORE_FILE

 

https-key-store-password

キーストアファイルのパスワード

CLI: --https-key-store-password
環境変数: KC_HTTPS_KEY_STORE_PASSWORD

password (デフォルト)

https-key-store-type

キーストアファイルの型。

指定されていない場合、タイプはファイルエクステンションに基き自動的に型が検出されます。fips-modestrict に設定され、値が設定されていない場合、デフォルトの BCFKS になります。

CLI: --https-key-store-type
環境変数: KC_HTTPS_KEY_STORE_TYPE

 

https-port

使用される HTTPS ポート。

CLI: --https-port
環境変数: KC_HTTPS_PORT

8443 (デフォルト)

https-protocols

明示的に有効にするプロトコルのリスト。

値が JRE/セキュリティー設定でサポートされていない場合は通知なしに無視されます。

CLI: --https-protocols
環境変数: KC_HTTPS_PROTOCOLS

TLSv1.3TLSv1.2、または任意。

6.6.1. 管理サーバー
リンクのコピー

Expand
 

https-management-certificate-file

管理サーバーの PEM 形式のサーバー証明書または証明書チェーンへのファイルパス。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificate-file
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATE_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-certificate-key-file

管理サーバーの PEM 形式の秘密鍵へのファイルパス。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificate-key-file
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATE_KEY_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-certificates-reload-period

管理サーバーの https-management-* オプションによって参照されるキーストア、トラストストア、および証明書ファイルを再読み込みする間隔。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。30 秒より長くする必要があります。無効にするには -1 を使用します。指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificates-reload-period
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATES_RELOAD_PERIOD

http-management-scheme が継承されている場合にのみ使用可能です。

1h (デフォルト)

https-management-key-store-file

管理サーバーに個別のファイルを指定する代わりに、証明書情報を保持するキーストア。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-key-store-file
環境変数: KC_HTTPS_MANAGEMENT_KEY_STORE_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-key-store-password

管理サーバーのキーストアファイルのパスワード。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-key-store-password
環境変数: KC_HTTPS_MANAGEMENT_KEY_STORE_PASSWORD

http-management-scheme が継承されている場合にのみ使用可能です。

password (デフォルト)

第7章 ホスト名 (v2) の設定
リンクのコピー

Red Hat build of Keycloak によって公開されるフロントエンドおよびバックチャネルのエンドポイントを設定します。

7.1. ホスト名オプションの設定の重要性
リンクのコピー

デフォルトでは、Red Hat build of Keycloak では hostname オプションの設定が必須であり、URL は動的に解決されません。これはセキュリティー対策です。

Red Hat build of Keycloak は、OIDC Discovery エンドポイントを通じて、またはメール内のパスワードリセットリンクの一部として、独自の URL を自由に公開します。ホスト名がホスト名ヘッダーから動的に解釈されると、潜在的な攻撃者にメール内の URL を操作し、ユーザーを攻撃者の偽のドメインにリダイレクトし、アクショントークンやパスワードなどの機密データを盗む機会を与える可能性があります。

hostname オプションを明示的に設定することで、不正な発行者によってトークンが発行される状況を回避します。次のコマンドを使用して、明示的なホスト名でサーバーを起動できます。 

bin/kc.[sh|bat] start --hostname my.keycloak.org
注記

この例では、Red Hat build of Keycloak インスタンスを実稼働モードで起動します。通信を保護するには、公開証明書と秘密鍵が必要です。詳細は、実稼働環境向けの Red Hat build of Keycloak の設定 を参照してください。

7.2. ホスト名オプションの特定の部分の定義
リンクのコピー

前の例で示したように、スキームとポートは明示的には必要ありません。このような場合、Red Hat build of Keycloak はこれらの側面を自動的に処理します。たとえば、上記の例では、サーバーは https://my.keycloak.org:8443 でアクセスできます。ただし、リバースプロキシーは通常、デフォルトのポート (例: 443) で Red Hat build of Keycloak を公開します。その場合、URL の一部を動的に保つのではなく、hostname オプションで完全な URL を指定することが望ましいです。その後、次のコマンドでサーバーを起動できます。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org

同様に、リバースプロキシーは、異なるコンテキストパスで Red Hat build of Keycloak を公開する場合があります。hostname および hostname-admin オプションを使用して、それを反映するように Red Hat build of Keycloak を設定できます。以下の例を参照してください。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org:123/auth

7.3. クライアント間の通信に内部 URL を利用する
リンクのコピー

Red Hat build of Keycloak には、バックチャネルリクエスト用に別の URL を提供できる機能があり、フロントチャネルリクエスト用のパブリック URL の使用を維持しながら内部通信を可能にします。さらに、バックチャネルは受信ヘッダーに基づいて動的に解決されます。以下の例を考慮してください。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-backchannel-dynamic true

この方法では、クライアントと呼ばれるアプリケーションは、ローカルネットワークを介して Red Hat build of Keycloak に接続できますが、サーバーは https://my.keycloak.org でパブリックにアクセス可能なままになります。

7.4. エッジ TLS Termination の使用
リンクのコピー

ご覧のとおり、HTTPS プロトコルは、Red Hat build of Keycloak のセキュリティーのベストプラクティスへの取り組みに準拠したデフォルトの選択です。ただし、Red Hat build of Keycloak では、必要に応じてユーザーが HTTP を選択できる柔軟性も提供されます。これは、HTTP リスナーを指定するだけで実現できます。詳細は、TLS の設定 を参照してください。エッジ TLS-termination プロキシーを使用すると、次のようにサーバーを起動できます。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --http-enabled true

この設定の結果、プロキシーが HTTP とポート 8080 を使用してインスタンスと対話する一方で、HTTPS 経由で https://my.keycloak.org にある Red Hat build of Keycloak に引き続きアクセスできます。

7.5. リバースプロキシーの使用
リンクのコピー

プロキシーが http または再暗号化された TLS 要求を転送する場合は、proxy-headers オプションを設定する必要があります。ホスト名の設定に応じて、URL の一部またはすべてが動的に決定される場合があります。

警告

forwarded または xforwarded のいずれかを選択した場合は、リバースプロキシーによって Forwarded または X-Forwarded-* ヘッダーが適切に設定して上書きされることを確認してください。これらのヘッダーを設定するには、リバースプロキシーのドキュメントを参照してください。設定を誤ると、Red Hat build of Keycloak がセキュリティー上の脆弱性にさらされることになります。

7.5.1. 完全に動的な URL。
リンクのコピー

たとえば、リバースプロキシーが Forwarded ヘッダーを正しく設定し、ホスト名をハードコードしたくない場合は、Red Hat build of Keycloak でこれに対応できます。次のようにサーバーを単に起動する必要があります。 

bin/kc.[sh|bat] start --hostname-strict false --proxy-headers forwarded

この設定では、サーバーは Forwarded ヘッダーによって設定された値を考慮します。これは、すべてのエンドポイントが動的に解決されることも意味します。

7.5.2. 部分的に動的な URL
リンクのコピー

hostname オプションが完全な URL として指定されていない場合、proxy-headers オプションを使用して URL を部分的に動的に解決することもできます。以下に例を示します。 

bin/kc.[sh|bat] start --hostname my.keycloak.org --proxy-headers xforwarded

この場合、スキームおよびポートは X-Forwarded-* ヘッダーから動的に解決されますが、ホスト名は my.keycloak.org として静的に定義されます。

7.5.3. 固定 URL
リンクのコピー

proxy-headers は、ヘッダーがリクエストの発信元を判断するために使用されるため、hostname を完全な URL に設定しても引き続き有効です。以下に例を示します。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --proxy-headers xforwarded

この場合、X-Forwarded-* ヘッダーからは何も動的に解決されませんが、X-Forwarded-* ヘッダーはリクエストの正しい送信元を判別するために使用されます。

7.6. 管理コンソールを別のホスト名で公開する
リンクのコピー

別のホストで管理コンソールを公開する場合は、次のコマンドを使用します。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-admin https://admin.my.keycloak.org:8443

これにより、バックエンドは引き続き https://my.keycloak.org を使用しながら、https://my.keycloak.org にある Red Hat build of Keycloak と https://admin.my.keycloak.org:8443 にある管理コンソールにアクセスできるようになります。

注記

ホスト名とプロキシーオプションによって、サーバーがリッスンするポートが変更されないことに注意してください。代わりに、プロキシーの前で使用される JavaScript および CSS リンク、OIDC の既知のエンドポイント、リダイレクト URI などの静的リソースのポートのみ変更します。サーバーがリッスンしている実際のポートを変更するには、HTTP 設定オプションを使用する必要があります。詳細は、すべての設定 を参照してください。

警告

hostname-admin オプションを使用しても、hostname オプションで指定されたフロントエンド URL を通じて管理 REST API エンドポイントへのアクセスを防ぐことはできません。管理 REST API へのアクセスを制限する場合は、リバースプロキシーレベルで実行する必要があります。管理コンソールは、hostname-admin オプションで指定された URL を使用して暗黙的に API にアクセスします。

7.7. 背景 - サーバーエンドポイント
リンクのコピー

Red Hat build of Keycloak は、それぞれ目的が異なる複数のエンドポイントを公開します。これらは通常、アプリケーション間の通信やサーバーの管理に使用されます。3 つの主要なエンドポイントグループを認識しています。

  • フロントエンド
  • バックエンド
  • 管理

これらのエンドポイントのいずれかを使用する場合は、ベース URL を設定する必要があります。ベース URL は複数の部分で構成されます。

  • スキーム (例: https プロトコル)
  • ホスト名 (例: example.keycloak.org)
  • ポート (例: 8443)
  • パス (例: /auth)

各グループのベース URL は、トークンの発行方法と検証方法、ユーザーを Red Hat build of Keycloak にリダイレクトする必要があるアクション (メールリンクを通じてパスワードをリセットする場合など) のリンクの作成方法、さらにはアプリケーションが realms/{realm-name}/.well-known/openid-configuration から OpenID Connect Discovery Document を取得する際にこれらのエンドポイントを検出する方法に重要な影響を与えます。

7.7.1. フロントエンド
リンクのコピー

ユーザーとアプリケーションは、フロントエンド URL を使用して、フロントチャネル経由で Red Hat build of Keycloak にアクセスします。フロントチャネルは、公開されているアクセス可能な通信チャネルです。たとえば、ブラウザーベースのフロー (ログインページへのアクセス、パスワードをリセットするためのリンクのクリック、トークンのバインド) は、フロントチャネルリクエストと見なすことができます。

フロントエンド URL 経由で Red Hat build of Keycloak にアクセスできるようにするには、hostname オプションを設定する必要があります。 

bin/kc.[sh|bat] start --hostname my.keycloak.org

7.7.2. バックエンド
リンクのコピー

バックエンドエンドポイントは、パブリックドメインまたはプライベートネットワークを通じてアクセスできるエンドポイントです。これらは、Red Hat build of Keycloak とクライアント (Red Hat build of Keycloak によって保護されたアプリケーション) 間の直接的なバックエンド通信に関連しています。このような通信は、リバースプロキシーを回避してローカルネットワーク経由で行われる可能性があります。このグループに属するエンドポイントの例としては、認可エンドポイント、トークンおよびトークンイントロスペクションエンドポイント、ユーザー情報エンドポイント、JWKS URI エンドポイントなどがあります。

hostname-backchannel-dynamic オプションのデフォルト値は false です。これは、バックチャネル URL がフロントチャネル URL と同じであることを意味します。次のオプションを設定することで、受信リクエストヘッダーからのバックチャネル URL の動的な解決を有効にできます。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-backchannel-dynamic true

hostname オプションは URL に設定する必要があることに注意してください。詳細は、以下の 「検証」 セクションを参照してください。

7.7.3. 管理
リンクのコピー

ベースフロントエンド URL と同様に、管理コンソールのリソースとエンドポイントのベース URL も設定できます。サーバーは、特定の URL を使用して管理コンソールと静的リソースを公開します。この URL は、リダイレクト URL、リソース (CSS、JS) のロード、管理 REST API などに使用されます。これは、hostname-admin オプションを設定することで実行できます。 

bin/kc.[sh|bat] start --hostname https://my.keycloak.org --hostname-admin https://admin.my.keycloak.org:8443

繰り返しますが、hostname オプションは URL に設定する必要があります。詳細は、以下の 「検証」 セクションを参照してください。

7.8. URL を解決するためのソース
リンクのコピー

前のセクションで示したように、URL はいくつかの方法で解決できます。動的に生成することも、ハードコードすることも、あるいはその両方の組み合わせで解決することもできます。

  • 受信リクエストからの動的:

    • ホストヘッダー、スキーム、サーバーポート、コンテキストパス
    • プロキシー設定ヘッダー: Forwarded および X-Forwarded-*

  • ハードコード:

    • サーバー全体の設定 (例: hostnamehostname-admin など)
    • フロントエンド URL のレルム設定

7.9. 検証
リンクのコピー

  • hostname URL と hostname-admin URL では、スキームとホスト名を含む完全な URL が使用されていることが検証されます。ポートは存在する場合にのみ検証され、存在しない場合は指定されたプロトコルのデフォルトポート (80 または 443) が想定されます。

  • プロダクションプロファイル (kc.sh|bat start) では、--hostname または --hostname-strict false のいずれかを明示的に設定する必要があります。

    • これは、--hostname-strict false がデフォルト値である dev プロファイル (kc.sh|bat start-dev) には適用されません。

  • --hostname が設定されていない場合:

    • hostname-backchannel-dynamic は、false に設定する必要があります。
    • hostname-strict は false に設定する必要があります。
  • hostname-admin が設定されている場合、hostname は (ホスト名だけではなく) URL に設定する必要があります。そうしないと、Red Hat build of Keycloak は、管理コンソールにアクセスするときに正しいフロントエンド URL (ポートなどを含む) が何であるかを認識できません。
  • hostname-backchannel-dynamic が true に設定されている場合、hostname は (ホスト名だけでなく) URL に設定する必要があります。そうしないと、Red Hat build of Keycloak は、動的に解決されるバックチャネル経由でアクセスされた際に、正しいフロントエンド URL (ポートなどを含む) が何であるかを認識できません。

さらに、ホスト名が設定されている場合、hostname-strict は無視されます。

7.10. トラブルシューティング
リンクのコピー

ホスト名の設定に対してトラブルシューティングを行うには、次のように有効にできる専用のデバッグツールを使用します。

Red Hat build of Keycloak の設定:

bin/kc.[sh|bat] start --hostname=mykeycloak --hostname-debug=true

Red Hat build of Keycloak が正常に起動したら、ブラウザーを開いて http://mykeycloak:8080/realms/<your-realm>/hostname-debug にアクセスします。

7.11. 関連するオプション
リンクのコピー

Expand
表7.1 デフォルトでは、このエンドポイントは無効になっています (--hostname-debug=false)
 

hostname

サーバーが公開されているアドレス。

完全な URL またはホスト名のみを指定できます。ホスト名のみが指定されている場合、スキーム、ポート、コンテキストパスはリクエストから解決されます。

CLI: --hostname
環境変数: KC_HOSTNAME

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

hostname-admin

管理コンソールにアクセスするためのアドレス。

hostname オプションで指定されたアドレスとは異なるアドレスで、リバースプロキシーを使用して管理コンソールを公開する場合は、このオプションを使用します。

CLI: --hostname-admin
環境変数: KC_HOSTNAME_ADMIN

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

hostname-backchannel-dynamic

ホスト名、スキーム、ポート、コンテキストパスを含むバックチャネル URL の動的な解決を有効にします。

アプリケーションがプライベートネットワーク経由で Keycloak にアクセスする場合は true に設定します。true に設定する場合、hostname オプションを完全な URL として指定する必要があります。

CLI: --hostname-backchannel-dynamic
環境変数: KC_HOSTNAME_BACKCHANNEL_DYNAMIC

ホスト名:v2 機能が有効な場合にのみ使用可能です。

truefalse (デフォルト)

hostname-debug

/realms/master/hostname-debug でアクセスできるホスト名のデバッグページを切り替えます。

CLI: --hostname-debug
環境変数: KC_HOSTNAME_DEBUG

ホスト名:v2 機能が有効な場合にのみ使用可能です。

truefalse (デフォルト)

hostname-strict

要求ヘッダーからのホスト名の動的解決を無効にします。

リバースプロキシーが Host ヘッダーを上書きしない限り、実稼働環境では常に true に設定する必要があります。有効な場合は、hostname オプションを指定する必要があります。

CLI: --hostname-strict
環境変数: KC_HOSTNAME_STRICT

ホスト名:v2 機能が有効な場合にのみ使用可能です。

true (デフォルト)、false

第8章 リバースプロキシーの設定
リンクのコピー

リバースプロキシー、API ゲートウェイ、またはロードバランサーを使用して Red Hat build of Keycloak を設定します。

分散環境では、頻繁にリバースプロキシーの使用が必要になります。Red Hat build of Keycloak は、このような環境とのセキュアな統合を実現するためのオプションをいくつか備えています。

8.1. プロキシーするポート
リンクのコピー

Red Hat build of Keycloak はデフォルトで次のポートで実行されます。

  • 8443 (--http-enabled=true で明示的に HTTP を有効にした場合は 8080)
  • 9000

ポート 8443 (HTTP が有効な場合は 8080) は、ホスト名 (v2) の設定 の章で説明されているように、管理 UI、アカウントコンソール、SAML および OIDC エンドポイント、および管理 REST API に使用されます。

ポート 9000 は管理に使用されます。これには、管理インターフェイスの設定 の章で説明されているように、ヘルスチェックとメトリクスのエンドポイントが含まれます。

実稼働環境向けの Red Hat build of Keycloak の設定 で説明されているように、フロントエンド/バックエンド用と管理用に異なるホスト名を使用する場合でも、プロキシ経由で通信させる必要があるのはポート 8443 (または 8080) だけです。ポート 9000 はプロキシー経由にしないでください。このポートはヘルスチェックとメトリクスが直接使用し、このような情報を外部の呼び出し元に公開するべきではないためです。

8.2. リバースプロキシーヘッダーの設定
リンクのコピー

Red Hat build of Keycloak は、proxy-headers オプションに基づいてリバースプロキシーヘッダーを解析します。このオプションは、次のいくつかの値を受け入れます。

  • デフォルトでは、オプションが指定されていない場合、リバースプロキシーヘッダーは解析されません。これは、プロキシーが使用されていない場合、または https パススルーを使用している場合に使用する必要があります。
  • forwarded は、RFC7239 に従って Forwarded ヘッダーの解析を有効にします。
  • xforwarded は、X-Forwarded-ForX-Forwarded-ProtoX-Forwarded-HostX-Forwarded-Port などの非標準の X-Forwarded-* ヘッダーの解析を有効にします。
注記

https パススルー以外の目的でリバースプロキシーを使用しており、proxy-headers オプションを設定していない場合は、デフォルトでは、オリジンチェックを実行するプロキシー経由の要求に対して 403 Forbidden 応答が表示されます。

以下に例を示します。 

bin/kc.[sh|bat] start --proxy-headers forwarded
警告

forwarded または xforwarded のいずれかを選択した場合は、リバースプロキシーによって Forwarded または X-Forwarded-* ヘッダーが適切に設定して上書きされることを確認してください。これらのヘッダーを設定するには、リバースプロキシーのドキュメントを参照してください。https パススルーでは forwarded または xforwarded を使用しないでください。設定を誤ると、Red Hat build of Keycloak がセキュリティー上の脆弱性にさらされることになります。

クライアントアドレスが、リバースプロキシーにより Forwarded ヘッダーまたは X-Forwarded-For ヘッダーを介して適切に設定されていることを、特に注意して確認してください。このヘッダーが正しく設定されていない場合、不正なクライアントがこのヘッダーを設定し、クライアントが実際のアドレスとは異なる IP アドレスから接続しているという誤った認識を Red Hat build of Keycloak が持つ可能性があります。IP アドレスの拒否リストまたは許可リストを作成する場合、このような注意はさらに重要です。

注記

xforwarded 設定を使用する場合、X-Forwarded-PortX-Forwarded-Host に含まれるポートよりも優先されます。

注記

TLS 接続がリバースプロキシー (Edge Termination) で終了する場合は、http-enabled 設定で HTTP を有効にする必要があります。

8.3. リバースプロキシー上のさまざまなコンテキストパス
リンクのコピー

Red Hat build of Keycloak では、Red Hat build of Keycloak が設定されているのと同じコンテキストパスで、リバースプロキシーを通じて公開されることが想定されています。デフォルトでは、Red Hat build of Keycloak はルート (/) を通じて公開されます。これは、/ 上のリバースプロキシーを通じての公開が想定されていることを意味します。このような場合には、hostname オプションに完全な URL を使用できます。たとえば、Red Hat build of Keycloak が /auth のリバースプロキシーを通じて公開されている場合は、--hostname=https://my.keycloak.org/auth を使用します。

管理 REST API およびコンソールを含む異なるホスト名またはコンテキストパスで Red Hat build of Keycloak を公開する方法の詳細は、ホスト名 (v2) の設定 を参照してください。

あるいは、http-relative-path オプションを使用して、Red Hat build of Keycloak 自体のコンテキストパスをリバースプロキシーのコンテキストパスに一致するように変更することもできます。これにより、リバースプロキシーが使用するコンテキストパスと一致するように、Red Hat build of Keycloak 自体のコンテキストパスが変更されます。

8.4. スティッキーセッションの有効化
リンクのコピー

通常のクラスターデプロイメントは、プライベートネットワークにあるロードバランサー (リバースプロキシー) および 2 つ以上の Red Hat build of Keycloak サーバーで構成されます。パフォーマンスの観点からは、ロードバランサーが特定のブラウザーセッションに関連するすべての要求を同じ Red Hat build of Keycloak バックエンドノードに転送すると便利です。

なぜなら、Red Hat build of Keycloak は、現在の認証セッションとユーザーセッションに関連するデータを保存する裏で、Infinispan の分散キャッシュを使用しているためです。Infinispan 分散キャッシュは、所有者の数が制限されて設定されています。つまり、セッション関連のデータは一部のクラスターノードにのみ保存され、他のノードがそのデータにアクセスするにはリモートでデータを検索する必要があります。

たとえば、ID 123 の認証セッションが node1 の Infinispan キャッシュに保存され、node2 がこのセッションを検索する必要がある場合は、特定のセッションエンティティーを返すために、ネットワーク経由で要求を node1 に送信する必要があります。

特定のセッションエンティティーが常にローカルで利用可能な場合に利点があります。これは、スティッキーセッションを使用して実行できます。パブリックフロントエンドロードバランサーと 2 つのバックエンド Red Hat build of Keycloak ノードを持つクラスター環境のワークフローは次のようになります。

  • ユーザーは、Red Hat build of Keycloak のログイン画面を表示するために、最初の要求を送信します。
  • この要求はフロントエンドロードバランサーにより提供されます。このロードバランサーは、これをランダムなノード (例: node1) に転送します。厳密に言えば、ノードはランダムである必要はなく、他の基準 (クライアント IP アドレスなど) に従って選択できます。これらはすべて、基盤のロードバランサーの実装および設定 (逆引きプロキシー) によって異なります。
  • Red Hat build of Keycloak は、ランダム ID (例: 123) で認証セッションを作成し、Infinispan キャッシュに保存します。
  • Infinispan の分散キャッシュは、セッション ID のハッシュに基づいてセッションのプライマリー所有者を割り当てます。詳細は、Infinispan のドキュメントを参照してください。Infinispan が、このセッションの所有者として node2 を割り当てたとします。
  • Red Hat build of Keycloak は、<session-id>.<owner-node-id> のような形式で cookie AUTH_SESSION_ID を作成します。この例では、123.node2 になります。
  • ブラウザーで、Red Hat build of Keycloak ログイン画面と cookie (AUTH_SESSION_ID) を持つユーザーに応答が返されます。

この観点から、ロードバランサーが次の要求をすべて node2 に転送することは有用です。なぜなら、これは ID 123 の認証セッションの所有者であるノードであり、Infinispan がこのセッションをローカルで検索できるからです。認証が終了すると、認証セッションはユーザーセッションに変換されます。その場合も ID 123 と同じになるため、node2 に保存されます。

クラスターの設定にスティッキーセッションは必須ではありませんが、上記の理由でパフォーマンスの観点から推奨されます。ロードバランサーを設定して、AUTH_SESSION_ID cookie でスティッキーセッションを有効にする必要があります。この変更を行うための適切な手順は、ロードバランサーによって異なります。

プロキシーがバックエンドノードからの cookie を処理せずにセッションアフィニティーをサポートする場合は、ノードを cookie にアタッチせず、リバースプロキシー機能に依存するのみにするために、spi-sticky-session-encoder--infinispan--should-attach-route オプションを false に設定する必要があります。 

bin/kc.[sh|bat] start --spi-sticky-session-encoder--infinispan--should-attach-route=false

デフォルトでは、spi-sticky-session-encoder--infinispan--should-attach-route オプションの値は true であるため、ノード名は cookie にアタッチされ、リバースプロキシーには後続の要求の送信先であるノードが示されます。

8.5. 公開されたパスに関する推奨事項
リンクのコピー

リバースプロキシーを使用する場合、Red Hat build of Keycloak では特定のパスのみを公開する必要があります。次の表は、公開が推奨されるパスを示しています。

Expand
Red Hat build of Keycloak のパスリバースプロキシーパス公開理由

/

-

いいえ

すべてのパスを公開すると、管理パスが不必要に公開されます。

/admin/

-

いいえ

管理パスが公開されると、不要な攻撃ベクトルが発生します。

/realms/

/realms/

はい

このパスは、たとえば OIDC エンドポイントなどで正しく機能するために必要です。

/resources/

/resources/

はい

このパスは、アセットを正しく提供するために必要です。Red Hat build of Keycloak のパスではなく、CDN から提供される場合があります。

/.well-known/

/.well-known/

はい

このパスは、RFC8414 を介して Authorization Server Metadata およびその他の情報を解決するために必要です。

/metrics

-

いいえ

メトリクスが公開されると、不要な攻撃ベクトルが発生します。

/health

-

いいえ

ヘルスチェックが公開されると、不要な攻撃ベクトルが発生します。

Red Hat build of Keycloak をリバースプロキシー/ゲートウェイのパブリック API のルートパス / で実行していることを前提としています。そうでない場合は、パスの前に任意の接頭辞を追加します。

注記

サーバー上で http-relative-path を設定した場合、RFC8414 による検出を使用するには、次の手順に従います。接頭辞のない /.well-known/ パスを、サーバー上の接頭辞のあるパスにマッピングするようにリバースプロキシーを設定します。

8.6. 信頼できるプロキシー
リンクのコピー

プロキシーヘッダーが信頼できるプロキシーからのみ使用されるようにするには、proxy-trusted-addresses オプションを、IP アドレス (IPv4 または IPv6) または Classless Inter-Domain Routing (CIDR) 表記のコンマ区切りリストに設定します。

以下に例を示します。 

bin/kc.[sh|bat] start --proxy-headers forwarded --proxy-trusted-addresses=192.168.0.32,127.0.0.0/8

8.7. PROXY プロトコル
リンクのコピー

proxy-protocol-enabled オプションは、プロキシーの背後からの要求を処理するときにサーバーが HA PROXY プロトコルを使用するかどうかを制御します。true に設定すると、返されるリモートアドレスは実際の接続クライアントからのアドレスになります。proxy-headers オプションを使用する場合、値を true にすることはできません。

これは、リクエストヘッダーを操作できないため、互換性のある https パススループロキシーの背後で実行する場合に役立ちます。

以下に例を示します。 

bin/kc.[sh|bat] start --proxy-protocol-enabled true

8.8. クライアント証明書ルックアップを有効にする
リンクのコピー

プロキシーが TLS Termination プロキシーとして設定されている場合、クライアント証明書情報は特定の HTTP 要求ヘッダーを通じてサーバーに転送され、クライアントの認証に使用されます。使用しているプロキシーに応じて、サーバーがクライアント証明書情報を取得する方法を設定できます。

警告

X.509 認証のプロキシーヘッダーを介したクライアント証明書の検索は、セキュリティー上重要であると考えられます。誤って設定された場合、偽造されたクライアント証明書ヘッダーが認証に使用される可能性があります。プロキシーヘッダー経由で渡されるクライアント証明書情報が信頼できることを確認するために、特別な予防措置を講じる必要があります。

  • ユースケースで再暗号化またはエッジ TLS Termination が必要かどうかを再確認してください。これは、クライアント証明書の検索にプロキシーヘッダーを使用することを意味します。X.509 認証が必要な場合は、プロキシーヘッダー経由で証明書を渡す必要がない TLS パススルーが、よりセキュアなオプションとして推奨されます。プロキシーヘッダーからのクライアント証明書の検索は、再暗号化とエッジ TLS Termination にのみ適用されます。

  • パススルーが選択できない場合は、次のセキュリティー対策を実装してください。

    • Red Hat build of Keycloak が分離され、プロキシーからの接続のみを受け入れるようにネットワークを設定します。
    • プロキシーが、spi-x509cert-lookup--<provider>--ssl-client-cert オプションで設定されているヘッダーを必ず上書きするようにします。
    • spi-x509cert-lookup--<provider>--trust-proxy-verification の設定には、特に注意してください。プロキシーが必ずクライアント証明書を検証すると信頼できる場合にのみ、これを有効にしてください。プロキシーがクライアント証明書チェーンを検証せずに spi-x509cert-lookup--<provider>--trust-proxy-verification=true を設定すると、Red Hat build of Keycloak が偽造されたクライアント証明書が認証に使用できるという脆弱性に Red Hat build of Keycloak がさらされることになります。

サーバーは、次のような最も一般的な TLS Termination プロキシーのいくつかをサポートしています。

Expand
ProxyProvider

Apache HTTP サーバー

apache

HAProxy

haproxy

NGINX

nginx

要求からクライアント証明書を取得する方法を設定するには、以下を実行する必要があります。

対応するプロキシープロバイダーを有効にする

bin/kc.[sh|bat] build --spi-x509cert-lookup--provider=<provider>

HTTP ヘッダーを設定する

bin/kc.[sh|bat] start --spi-x509cert-lookup--<provider>--ssl-client-cert=SSL_CLIENT_CERT --spi-x509cert-lookup--<provider>--ssl-cert-chain-prefix=CERT_CHAIN --spi-x509cert-lookup--<provider>-certificate-chain-length=10

HTTP ヘッダーを設定する際には、使用している値が、プロキシーによってクライアント証明書情報とともに転送されるヘッダーの名前に対応していることを確認する必要があります。

プロバイダーの設定に使用できるオプションは次のとおりです。

Expand
オプション説明

ssl-client-cert

クライアント証明書を保持するヘッダーの名前

ssl-cert-chain-prefix

チェーン内の追加の証明書を保持するヘッダーの接頭辞。チェーンの長さに応じて個々の証明書を取得するために使用されます。たとえば CERT_CHAIN の値は、certificate-chain-length10 に設定されている場合に、ヘッダー CERT_CHAIN_0 から CERT_CHAIN_9 まで追加の証明書をロードするようにサーバーに指示します。

certificate-chain-length

証明書チェーンの最大長。

trust-proxy-verification

証明書を Red Hat build of Keycloak に転送して Red Hat build of Keycloak で検証するのではなく、信頼している NGINX プロキシー証明書の検証を有効にします。

cert-is-url-encoded

転送された証明書が URL エンコードされているかどうか。NGINX では、これは $ssl_client_cert および $ssl_client_escaped_cert 変数に対応します。これは、クライアント証明書をエンコードせずに送信するため、Traefik PassTlsClientCert ミドルウェアにも使用できます。

8.8.1. NGINX プロバイダーを設定する
リンクのコピー

NGINX SSL/TLS モジュールは、クライアント証明書チェーンを公開しません。Red Hat build of Keycloak の NGINX 証明書ルックアッププロバイダーは、Red Hat build of Keycloak トラストストアを使用してそれを再構築します。

このプロバイダーを使用している場合は、Red Hat build of Keycloak トラストストアを設定する方法について、信頼済み証明書の設定 を参照してください。

8.9. 関連するオプション
リンクのコピー

Expand
 

hostname

サーバーが公開されているアドレス。

完全な URL またはホスト名のみを指定できます。ホスト名のみが指定されている場合、スキーム、ポート、コンテキストパスはリクエストから解決されます。

CLI: --hostname
環境変数: KC_HOSTNAME

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

hostname-admin

管理コンソールにアクセスするためのアドレス。

hostname オプションで指定されたアドレスとは異なるアドレスで、リバースプロキシーを使用して管理コンソールを公開する場合は、このオプションを使用します。

CLI: --hostname-admin
環境変数: KC_HOSTNAME_ADMIN

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

http-relative-path 🛠

リソースの提供に使用する、/ に相対するパスを設定します。

パスは / で始まる必要があります。

CLI: --http-relative-path
環境変数: KC_HTTP_RELATIVE_PATH

/ (デフォルト)

proxy-headers

サーバーが受け入れる必要があるプロキシーヘッダー。

設定を誤ると、サーバーがセキュリティー上の脆弱性にさらされる可能性があります。非推奨のプロキシーオプションよりも優先されます。

CLI: --proxy-headers
環境変数: KC_PROXY_HEADERS

forwardedxforwarded

proxy-protocol-enabled

プロキシーの背後からのリクエストを処理するときに、サーバーが HA PROXY プロトコルを使用するかどうか。

true に設定すると、返されるリモートアドレスは実際の接続クライアントからのアドレスになります。proxy-headers が使用されている場合は有効にできません。

CLI: --proxy-protocol-enabled
環境変数: KC_PROXY_PROTOCOL_ENABLED

truefalse (デフォルト)

proxy-trusted-addresses

信頼できるプロキシーアドレスのコンマ区切りリスト。

設定されている場合、他のアドレスからのプロキシーヘッダーは無視されます。デフォルトではすべてのアドレスが信頼されます。信頼できるプロキシーアドレスは、IP アドレス (IPv4 または IPv6) または Classless Inter-Domain Routing (CIDR) 表記として指定されます。proxy-headers が設定されている場合にのみ使用可能です。

CLI: --proxy-trusted-addresses
環境変数: KC_PROXY_TRUSTED_ADDRESSES

 

第9章 データベースの設定
リンクのコピー

ユーザー、クライアント、およびレルムデータを保存するために、Red Hat build of Keycloak のリレーショナルデータベースを設定します。

この章では、データをリレーショナルデータベースに保存するために、Red Hat build of Keycloak サーバーを設定する方法を説明します。

9.1. サポートされているデータベース
リンクのコピー

サーバーには、各種データベースのサポートが組み込まれています。db 設定オプションの期待値を表示することで、使用可能なデータベースをクエリーできます。次の表は、サポート対象のデータベースとそのテスト済みバージョンを示しています。

Expand
データベースオプションの値テスト済みバージョンサポート対象バージョン

MariaDB Server

mariadb

11.8

11.8 (LTS)、11.4 (LTS)、10.11 (LTS)、10.6 (LTS)

Microsoft SQL Server

mssql

2022

2022、2019

MySQL

mysql

8.4

8.4 (LTS)、8.0 (LTS)

Oracle データベース

oracle

23.5

23.x (つまり 23.5+)、19c (19.3+) (注記: 同じデータベースエンジンバージョン (例: 23.5+、19.3+) を使用している場合は、Oracle RAC もサポートされます)

PostgreSQL

postgres

17

17.x、16.x、15.x、14.x

EnterpriseDB Advanced

postgres

17

17

Amazon Aurora PostgreSQL

postgres

17.5

17.x、16.x、15.x

Azure SQL Database

mssql

latest

latest

Azure SQL Managed Instance

mssql

latest

latest

注記

基礎となるデータベース固有の Hibernate 方言が、記載されているバージョンと異なるバージョンの使用を許可していたとしても、それはサポートされる構成にはなりません。

デフォルトでは、サーバーは dev-file データベースを使用します。これはサーバーがデータを保持するために使用するデフォルトのデータベースであり、開発ユースケースに限定されています。dev-file データベースは実稼働環境のユースケースには適していないため、実稼働環境にデプロイする前に置き換える必要があります。

9.2. データベースドライバーのインストール
リンクのコピー

データベースドライバーは、Oracle Database および Microsoft SQL Server ドライバーを除き、Red Hat build of Keycloak の一部として出荷されます。

これらのデータベースのいずれかに接続する場合は、不足している必要なドライバーを手動でインストールしてください。データベースドライバーがすでに含まれている別のデータベースに接続する場合は、このセクションをスキップしてください。

注記

組み込みデータベースドライバーをオーバーライドしたり、独自のドライバーを提供したりすることは、サポート対象外と見なされます。サポートされている唯一の例外は、Oracle Database ドライバーのように、このガイドに明示的に文書化されているものです。

9.2.1. Oracle データベースドライバーをインストールする
リンクのコピー

Red Hat build of Keycloak 用の Oracle Database ドライバーをインストールするには、以下を実行します。

  1. 次のいずれかのソースから ojdbc17 および orai18n JAR ファイルをダウンロードします。

    1. Oracle ドライバーダウンロードページ圧縮された JDBC driver and Companion Jars バージョン 23.6.0.24.10。
    2. ojdbc17 および orai18n 経由の Maven Central。
    3. 使用しているデータベースのデータベースベンダーが推奨するインストールメディア。
  2. 展開した配布物を実行する場合: ojdbc17 および orai18n JAR ファイルを Red Hat build of Keycloak の providers フォルダーに配置します。

  3. コンテナーを実行する場合: カスタムの Red Hat build of Keycloak イメージをビルドし、providers フォルダーに JAR を追加します。Operator 用のカスタムイメージをビルドする場合、そのイメージは Red Hat build of Keycloak セットのすべてのビルド時オプションを使用して最適化されたイメージである必要があります。

    Red Hat build of Keycloak Operator で使用でき、Maven Central からダウンロードした Oracle Database JDBC ドライバーを含むイメージをビルドするための最小限の Containerfile は、次のようになります。 

    FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4
ADD --chown=keycloak:keycloak --chmod=644 https://repo1.maven.org/maven2/com/oracle/database/jdbc/ojdbc17/23.6.0.24.10/ojdbc17-23.6.0.24.10.jar /opt/keycloak/providers/ojdbc17.jar
ADD --chown=keycloak:keycloak --chmod=644 https://repo1.maven.org/maven2/com/oracle/database/nls/orai18n/23.6.0.24.10/orai18n-23.6.0.24.10.jar /opt/keycloak/providers/orai18n.jar
# Setting the build parameter for the database:
ENV KC_DB=oracle
# Add all other build parameters needed, for example enable health and metrics:
ENV KC_HEALTH_ENABLED=true
ENV KC_METRICS_ENABLED=true
# To be able to use the image with the Red Hat build of Keycloak Operator, it needs to be optimized, which requires Red Hat build of Keycloak's build step:
RUN /opt/keycloak/bin/kc.sh build

    最適化されたイメージをビルドする方法の詳細は、コンテナー内での Red Hat build of Keycloak の実行 の章を参照してください。

次のセクションの説明に従い、引き続きデータベースを設定します。

9.2.2. Microsoft SQL Server ドライバーをインストールする
リンクのコピー

Red Hat build of Keycloak 用の Microsoft SQL Server ドライバーをインストールするには、以下を実行します。

  1. 次のいずれかのソースから、mssql-jdbc JAR ファイルをダウンロードします。

    1. Microsoft JDBC Driver for SQL Server ページから、バージョンをダウンロードする。
    2. mssql-jdbc 経由の Maven Central。
    3. 使用しているデータベースのデータベースベンダーが推奨するインストールメディア。
  2. 展開済みのディストリビューションを実行している場合: mssql-jdbc を、Red Hat build of Keycloak の providers フォルダーに配置します。

  3. コンテナーを実行する場合: カスタムの Red Hat build of Keycloak イメージをビルドし、providers フォルダーに JAR を追加します。Red Hat build of Keycloak Operator のカスタムイメージをビルドする場合、それらのイメージは Red Hat build of Keycloak セットのすべてのビルド時オプションを使用して最適化されたイメージである必要があります。

    Red Hat build of Keycloak Operator で使用でき、Maven Central からダウンロードした Microsoft SQL Server JDBC ドライバーを含むイメージをビルドするための最小限の Containerfile は、次のようになります。 

    FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4
ADD --chown=keycloak:keycloak --chmod=644 https://repo1.maven.org/maven2/com/microsoft/sqlserver/mssql-jdbc/13.2.1.jre11/mssql-jdbc-13.2.1.jre11.jar /opt/keycloak/providers/mssql-jdbc.jar
# Setting the build parameter for the database:
ENV KC_DB=mssql
# Add all other build parameters needed, for example enable health and metrics:
ENV KC_HEALTH_ENABLED=true
ENV KC_METRICS_ENABLED=true
# To be able to use the image with the Red Hat build of Keycloak Operator, it needs to be optimized, which requires Red Hat build of Keycloak's build step:
RUN /opt/keycloak/bin/kc.sh build

    最適化されたイメージをビルドする方法の詳細は、コンテナー内での Red Hat build of Keycloak の実行 の章を参照してください。

次のセクションの説明に従い、引き続きデータベースを設定します。

9.3. データベースを設定する
リンクのコピー

サーバーでは、各サポート対象データベース用に、データベース設定を簡略化するための独自のデフォルトがいくつか提供されています。データベースホストや認証情報などの重要な設定を指定すると、設定が完了します。

設定は、build コマンドまたは start コマンドの実行中に設定できます。

  1. build コマンドの後に最適化された start コマンドを使用する (推奨)

    まず、データベースに接続するために必要な最小限の設定を conf/keycloak.conf で指定できます。 

    # The database vendor.
db=postgres

# The username of the database user.
db-username=keycloak

# The password of the database user.
db-password=change_me

# Sets the hostname of the default JDBC URL of the chosen vendor
db-url-host=keycloak-postgres

    次に、次のコマンドは、設定オプションに基づいて新しい最適化されたサーバーイメージを作成し、サーバーを起動します。 

    bin/kc.[sh|bat] build
bin/kc.[sh|bat] start --optimized

  2. start コマンドのみ を使用する (--optimized なし) 

    bin/kc.[sh|bat] start --db postgres --db-url-host keycloak-postgres --db-username keycloak --db-password change_me
警告

上記の例には、データベースへの接続に必要な最小限の設定が含まれていますが、データベースのパスワードが公開されるため、推奨されません。少なくともパスワードは、上記の conf/keycloak.conf、環境変数、またはキーストアを使用します。

デフォルトのスキーマは keycloak ですが、db-schema 設定オプションを使用して変更できます。

レルムのインポートとエクスポート、または 管理者アカウントのブートストラップと回復 を実行する際にデータベースを設定することもできます。 

bin/kc.[sh|bat] import --help
bin/kc.[sh|bat] export --help
bin/kc.[sh|bat] bootstrap-admin --help

詳細は、Red Hat build of Keycloak の設定 を参照してください。

9.4. デフォルトの接続設定をオーバーライドする
リンクのコピー

サーバーは、データベースとの通信の基盤となるテクノロジーとして JDBC を使用します。デフォルトの接続設定が不十分な場合は、db-url 設定オプションを使用して JDBC URL を指定できます。

以下は、PostgreSQL データベースのサンプルコマンドです。 

bin/kc.[sh|bat] start --db postgres --db-url jdbc:postgresql://mypostgres/mydatabase

; などの特殊なシェル文字を含むコマンドを呼び出す場合は、CLI を使用して文字をエスケープする必要があることに注意してください。代わりに設定ファイルにそれを設定することが推奨されます。

9.5. データベースの Unicode サポートを設定する
リンクのコピー

すべてのフィールドの Unicode サポートは、データベースが VARCHAR および CHAR フィールドで Unicode 文字セットの使用を許可するかどうかによって異なります。

  • これらのフィールドが設定可能な場合、通常、Unicode はフィールド長を犠牲にして機能します。
  • データベースが NVARCHAR フィールドと NCHAR フィールドでのみ Unicode をサポートしている場合、サーバースキーマは VARCHAR フィールドと CHAR フィールドを広範囲に使用するため、すべてのテキストフィールドの Unicode サポートは機能しない可能性があります。

データベーススキーマは、次の特殊フィールドでのみ Unicode 文字列のサポートを提供します。

  • Realms: 表示名、HTML 表示名、ローカリゼーションテキスト (キーと値)
  • Federation プロバイダー: 表示名
  • Users: ユーザー名、名、姓、属性名、値
  • Groups: 名前、属性名、値
  • Roles: 名前
  • オブジェクトの説明

それ以外の場合、データベースエンコーディングに含まれる文字に制限され、多くの場合それは 8 ビットです。ただし、データベースシステムによっては、Unicode 文字の UTF-8 エンコーディングを有効にし、すべてのテキストフィールドで完全な Unicode 文字セットを使用できます。特定のデータベースでは、この選択により、最大文字列長が 8 ビットエンコーディングでサポートされる最大文字列長よりも短くなる可能性があります。

9.5.1. Oracle データベースの Unicode サポートを設定する
リンクのコピー

Oracle データベースが VARCHAR フィールドおよび CHAR フィールドで Unicode をサポートするように作成されている場合、そのデータベースでは Unicode 文字がサポートされます。たとえば、AL32UTF8 をデータベース文字セットとして設定したとします。この場合、JDBC ドライバーに特別な設定は必要ありません。

データベースが Unicode をサポートするように作成されていない場合、特殊フィールドで Unicode 文字をサポートするように JDBC ドライバーを設定する必要があります。2 つのプロパティーを設定します。これらのプロパティーは、システムプロパティーまたは接続プロパティーとして設定できることに注意してください。

  1. oracle.jdbc.defaultNChartrue に設定します。

  2. 必要に応じて、oracle.jdbc.convertNcharLiteralstrue に設定します。

    注記

    これらのプロパティーとパフォーマンスへの影響の詳細は、Oracle JDBC ドライバーの設定ドキュメントを参照してください。

9.5.2. Microsoft SQL Server データベースの Unicode サポート
リンクのコピー

Unicode 文字は、Microsoft SQL Server データベースの特殊フィールドでのみサポートされます。データベースには特別な設定は必要ありません。

パフォーマンスを大幅に向上させるには、JDBC ドライバーの sendStringParametersAsUnicode プロパティーを false に設定する必要があります。このパラメーターがないと、Microsoft SQL Server はインデックスを使用できない可能性があります。

9.5.3. MySQL データベースの Unicode サポートを設定する
リンクのコピー

CREATE DATABASE コマンドの使用時に VARCHAR フィールドと CHAR フィールドで Unicode サポートを指定してデータベースが作成されている場合、MySQL データベースで Unicode 文字がサポートされます。

utf8 文字セットとはストレージ要件が異なるため、utf8mb4 文字セットはサポートされていないことに注意してください。詳細は、MySQL のドキュメントを参照してください。この状況では、バイト数ではなく文字数を収容するように列が作成されるため、非特殊フィールド以外の長さ制限は適用されません。データベースのデフォルト文字セットで Unicode を保存できない場合、特殊フィールドのみが Unicode 値を保存できます。

  1. Start MySQL Server.
  2. JDBC ドライバー設定で、JDBC 接続設定 を見つけます。
  3. 接続プロパティー characterEncoding=UTF-8 を追加します。

9.5.4. PostgreSQL データベースの Unicode サポートを設定する
リンクのコピー

データベースの文字セットが UTF8 の場合、Unicode は PostgreSQL データベースでサポートされます。任意のフィールドで Unicode 文字を使用でき、非特殊フィールドでフィールド長の削減はありません。JDBC ドライバーに特別な設定は必要ありません。文字セットは、PostgreSQL データベースの作成時に決定されます。

  1. 次の SQL コマンドを入力して、PostgreSQL クラスターのデフォルトの文字セットを確認します。 

    show server_encoding;

  2. デフォルトの文字セットが UTF 8 ではない場合は、次のようなコマンドを使用して、デフォルトの文字セットが UTF8 のデータベースを作成します。 

    create database keycloak with encoding 'UTF8';

9.6. PostgreSQL の準備
リンクのコピー

9.6.1. ライターおよびリーダーインスタンス
リンクのコピー

PostgreSQL のリーダーインスタンスとライターインスタンスを実行する場合、Red Hat build of Keycloak は作業を実行するために常にライターインスタンスに接続する必要があります。オリジナルの PostgreSQL ドライバーを使用する場合、Red Hat build of Keycloak は PostgreSQL JDBC ドライバーの targetServerType プロパティーを primary に設定し、常に書き込み可能なプライマリーインスタンスに接続し、フェイルオーバーやスイッチオーバーのシナリオでセカンダリーリーダーインスタンスに接続しないようにします。

DB URL または追加のプロパティーで targetServerType に独自の値を設定することで、この動作をオーバーライドできます。

注記

追加のデータソースの場合は要件が異なる可能性があるため、targetServerType はプライマリーデータソースにのみ自動的に適用されます。

9.6.2. データベースユーザーの権限
リンクのコピー

効率的なアップグレードを実現するために、データベースユーザーが pg_classpg_namespace テーブルに対する SELECT 権限を持っていることを確認してください。

これは、Red Hat build of Keycloak のアップグレード時に、テーブル内の行数を推定するために使用されます。Red Hat build of Keycloak は、これらのテーブルにアクセスする権限を持っていない場合、ログに警告を記録したうえで、スキーマ変更の影響を受けるテーブルの行数を特定するために、アップグレード中に効率の低い SELECT COUNT(*) ... 操作を実行します。

9.7. Amazon Aurora PostgreSQL の準備
リンクのコピー

Amazon Aurora PostgreSQL を使用する場合は、Amazon Web Services JDBC ドライバー で、マルチ AZ セットアップでライターインスタンスが変更されたときのデータベース接続の転送など、追加機能を利用できます。このドライバーはディストリビューションの一部ではないため、使用する前にインストールする必要があります。

このドライバーをインストールするには、次の手順に従います。

  1. 展開したディストリビューションを実行する場合: Amazon Web Services JDBC ドライバーリリースページ から JAR ファイルをダウンロードし、Red Hat build of Keycloak の providers フォルダーに配置します。

  2. コンテナーを実行する場合: カスタムの Red Hat build of Keycloak イメージをビルドし、providers フォルダーに JAR を追加します。

    Red Hat build of Keycloak Operator で使用できるイメージをビルドするための最小限の Containerfile は、次のようになります。 

    FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4
ADD --chmod=0666 https://github.com/awslabs/aws-advanced-jdbc-wrapper/releases/download/2.5.6/aws-advanced-jdbc-wrapper-2.5.6.jar /opt/keycloak/providers/aws-advanced-jdbc-wrapper.jar

    最適化されたイメージをビルドする方法の詳細は、コンテナー内での Red Hat build of Keycloak の実行 の章を参照してください。また、Red Hat build of Keycloak Operator を使用して最適化されたイメージと最適化されていないイメージを実行する方法の詳細は、カスタム Red Hat build of Keycloak イメージの使用 の章を参照してください。

  3. 次のパラメーターを使用して Red Hat build of Keycloak を実行するように設定します。

    db-url
    通常の PostgreSQL JDBC URL に aws-wrapper を挿入すると、jdbc:aws-wrapper:postgresql://... のような URL になります。
    db-driver
    AWS JDBC ラッパーを使用するには、software.amazon.jdbc.Driver に設定します。
注記

AWS JDBC ドライバーの wrapperPlugins オプションをオーバーライドする場合は、フェイルオーバーまたはスイッチオーバーのシナリオでも Red Hat build of Keycloak が常にライターインスタンスに接続するように、failover または failover2 プラグインを常に含めます。

9.8. MySQL サーバーの準備
リンクのコピー

MySQL 8.0.30 以降、MySQL は、明示的なプライマリーキーなしで作成されたすべての InnoDB テーブルに対して生成された非表示のプライマリーキーをサポートしています (詳細は、こちら を参照してください)。この機能を有効にすると、データベーススキーマの初期化と移行が失敗し、エラーメッセージ Multiple primary key defined (1068) が表示されます。その場合、Red Hat build of Keycloak をインストールまたはアップグレードする前に、MySQL サーバー設定でパラメーター sql_generate_invisible_primary_keyOFF に設定して無効にする必要があります。

9.9. クラスター設定でデータベースロックタイムアウトを変更する
リンクのコピー

クラスターノードは同時に起動できるため、データベースのアクションに余分な時間がかかります。たとえば、起動中のサーバーインスタンスは、データベースの移行、インポート、または初回の初期化を実行する場合があります。データベースロックは、クラスターノードが同時に起動する際に起動アクションが相互に競合するのを防ぎます。

このロックの最大タイムアウトは 900 秒です。ノードがタイムアウトを超えてロックを待機すると、起動は失敗します。デフォルト値を変更する必要はほぼありませんが、変更する場合は次のコマンドを入力します。 

bin/kc.[sh|bat] start --spi-dblock--jpa--lock-wait-timeout 900

9.10. XA トランザクションをサポートするデータベースベンダーの使用
リンクのコピー

Red Hat build of Keycloak は、デフォルトで XA 以外のトランザクションと適切なデータベースドライバーを使用します。

ドライバーが提供する XA トランザクションサポートを使用する場合は、次のコマンドを入力します。 

bin/kc.[sh|bat] build --db=<vendor> --transaction-xa-enabled=true

Red Hat build of Keycloak は、ベンダーに適した JDBC ドライバーを自動的に選択します。

注記

Azure SQL や MariaDB Galera などの特定のベンダーは、XA トランザクションメカニズムをサポートしていないか、それらに依存していません。

XA リカバリーはデフォルトで有効になっており、ファイルシステムロケーション KEYCLOAK_HOME/data/transaction-logs を使用してトランザクションログを保存します。

注記

コンテナー化された環境で XA トランザクションを有効にしても、そのパスで安定したストレージが利用できない限り、XA リカバリーは完全にはサポートされません。

9.11. migrationStrategy の JPA プロバイダー設定オプションを設定する
リンクのコピー

JPA migrationStrategy (手動/更新/検証) を設定するには、次のように JPA プロバイダーを設定する必要があります。

connections-jpa SPI の quarkus プロバイダーの migration-strategy を設定する

bin/kc.[sh|bat] start --spi-connections-jpa--quarkus--migration-strategy=manual

DB 初期化用の SQL ファイルも取得する場合は、次の SPI initializeEmpty (true/false) を追加する必要があります。

connections-jpa SPI の quarkus プロバイダーの initialize-empty を設定する

bin/kc.[sh|bat] start --spi-connections-jpa--quarkus--initialize-empty=false

同様に、migrationExport が特定のファイルと場所を指すようにします。

connections-jpa SPI の quarkus プロバイダーの migration-export を設定する

bin/kc.[sh|bat] start --spi-connections-jpa--quarkus--migration-export=<path>/<file.sql>

詳細は、データベースの移行 に関するドキュメントを参照してください。

9.12. 接続プールの設定
リンクのコピー

9.12.1. MySQL および MariaDB
リンクのコピー

'No operations allowed after connection closed' (接続が閉じられた後は操作は許可されません) という例外がスローされるのを防ぐために、Red Hat build of Keycloak の接続プールの接続最大有効期間が、サーバーの設定された wait_timeout よりも短くなるようにする必要があります。MySQL および MariaDB データベースを使用する場合、Red Hat build of Keycloak はデフォルトの最大有効期間を 7 時間 50 分に設定します。これは、デフォルトのサーバー値の 8 時間よりも短いためです。

データベースで wait_timeout を明示的に設定している場合は、db-pool-max-lifetime の値をその wait_timeout よりも小さく設定することが必要です。推奨されるベストプラクティスは、この値を wait_timeout から数分引いた値に定義することです。db-pool-max-lifetime を正しく設定しないと、Red Hat build of Keycloak の起動時に警告が記録されます。

9.13. 複数のデータソースを設定する
リンクのコピー

Red Hat build of Keycloak を使用すると、エクステンションから別のデータベースにアクセスする必要がある場合に、追加のデータソースを指定できます。これは、ユーザーなどのカスタムデータを保存するために、メインの Red Hat build of Keycloak のデータソースを使用することが実行可能オプションではない場合に役立ちます。

独自のユーザーデータベースに接続する方法の詳細は、{developerguide_userstoragespi_name} のドキュメントを参照してください。

複数のデータソースを定義することは、単一のデータソースを定義することと同じように機能しますが、1 つ重要な変更点があります。それは、設定オプション名の一部として、各データソースに名前を指定する必要があることです。

9.13.1. 必須設定
リンクのコピー

追加のデータソースを有効にするには、JPA persistence.xml ファイルと Red Hat build of Keycloak 設定の 2 つを設定する必要があります。persistence.xml ファイルは、Jakarta Persistence API の標準の一部として永続性ユニットを指定する役割を果たし、Hibernate ORM フレームワークへの適切な設定の伝播に必要です。persistence.xml ファイルの作成が完了したら、それに応じて Red Hat build of Keycloak の設定をセットアップする必要があります。

追加のデータソースプロパティーは、CLI、keycloak.conf、または環境変数などの標準的な設定ソースを通じて指定できます。

追加のデータソースは、メインデータソースと同様の方法で設定できます。これは、設定オプションに追加のデータソース名を含めるという、類似した名前を使用することで実現されます。たとえば、メインデータソースが db-username を使用する場合、追加のデータソースは db-username-<datasource> になります。完全なリストについては、関連オプションの章を参照してください。

9.13.1.1. 1.JPA persistence.xml ファイル
リンクのコピー

persistence.xml は、管理するエンティティー、データソース名、JDBC 設定、JPA/Hibernate カスタム設定など、Jakarta Persistence API (JPA) の設定を提供します。そのファイルは、カスタムの Red Hat build of Keycloak エクステンションの META-INF/persistence.xml フォルダーに配置する必要があります。

注記

Quarkus は、persistence.xml ファイルを使用する代わりに、Hibernate ORM プロパティーを介して JPA 永続性ユニットを設定する機能を提供することに注意してください。ただし、Red Hat build of Keycloak でサポートされている方法は、persistence.xml ファイルを使用することであり、このファイルが存在する場合、Quarkus プロパティーは無視されます。

Red Hat build of Keycloak では、ほとんどの設定は自動で行われるため、データソース名とトランザクションタイプなどの基本的な設定の詳細を指定するだけで済みます。

Red Hat build of Keycloak では、追加データソースのトランザクションタイプを JTA に設定する必要があります。この最小限の persistence.xml ファイルでは、トランザクションタイプとデータソース名を次のように設定できます。 

<persistence xmlns="https://jakarta.ee/xml/ns/persistence"
                         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                         xsi:schemaLocation="https://jakarta.ee/xml/ns/persistence https://jakarta.ee/xml/ns/persistence/persistence_3_0.xsd"
                         version="3.0">
    <persistence-unit name="user-store-pu" transaction-type="JTA">
        <class>org.your.extension.UserEntity</class>
        <properties>
            <property name="jakarta.persistence.jtaDataSource" value="user-store" />
        </properties>
    </persistence-unit>
</persistence>
注記

データソース名を適切に設定するには、jakarta.persistence.jtaDataSource プロパティーを設定する必要があります。設定されていない場合は、代わりに永続ユニット名がデータソース名として使用されます (この場合は user-store-pu)。上記の例では、結果のデータソース名は user-store になります。データソース名は、永続性ユニット名と同じにすることができます。

独自の JPA エンティティーを使用するには、この永続性ユニットによって管理され、特定のデータソースに向けられる JPA エンティティーをマークする <class> プロパティーを指定する必要があります。上記の例では、org.your.extension.UserEntity JPA エンティティーは、user-store データソースに誘導される永続性ユニット user-store-pu によって管理されます。

9.13.1.2. 2. 必須プロパティー
リンクのコピー

persistence.xml をセットアップしたら、Red Hat build of Keycloak 側での最小限の設定は、指定されたデータソースに対する DB の種類/ベンダーのセットアップです。ビルド時オプション db-kind-<name> を指定する必要があります。ここで、<name> はデータソースの名前で、persistence.xml ファイルで指定されているものと 同じ である必要があります。

したがって、追加のデータソース user-store を次のように有効化できます (postgres の例)。 

bin/kc.[sh|bat] start --db-kind-user-store=postgres

データソースに対して db-kind を指定すると、メインのデータソースと同様に、すべてのデータベースの種類に固有のデフォルト値 (ドライバーやダイアレクトなど) が自動的に適用されます。

9.13.2. 環境変数による設定
リンクのコピー

CLI または keycloak.conf プロパティーを使用してデータソースを設定したくない場合は、環境変数を使用できます。

次のように、環境変数 (user-store データソースの場合) を介して DB の種類を設定できます。 

export KC_DB_KIND_USER_STORE=postgres
export KC_DB_USERNAME_USER_STORE=my-username

環境変数の _ (アンダースコア) から - (ダッシュ) へのデフォルトのマッピングにより、これは db-kind-user-store および db-username-user-store Red Hat build of Keycloak プロパティーにマッピングされます。ただし、データソースの名前に _$、または . などの特殊文字が含まれる場合があります。

Red Hat build of Keycloak 環境変数を使用して適切に設定するには、データソースのキーがどのようになるべきかを明示的に指定する必要があります。特殊なケースとして、KCKEY_ を使用した一対のユニークな Red Hat build of Keycloak 環境変数を使用できます。

たとえば、user_store$marketing という名前のデータソースの場合、次のように環境変数を設定できます。 

export KC_USER_STORE_DB_KIND=mariadb
export KCKEY_USER_STORE_DB_KIND=db-kind-user_store$marketing

詳細は、Red Hat build of Keycloak の設定 ガイドの 特殊文字を含む環境変数キーの形式 サブセクションを参照してください。

9.13.3. quarkus.properties の下位互換性
リンクのコピー

以前は、いくつかの場所では、raw Quarkus プロパティーを使用して、追加のデータソースを設定するようにユーザーに指示していました。ただし、conf/quarkus.properties ファイルでの Quarkus プロパティーの使用は サポート対象外 と見なされるため、上記のように専用の追加データソースオプションを使用することが強く推奨されます。

専用オプションに移行する前に、次のように Quarkus プロパティーを使用してデータソース設定を指定できます。 

quarkus.datasource.user-store.db-kind=h2
quarkus.datasource.user-store.username=sa
quarkus.datasource.user-store.jdbc.url=jdbc:h2:mem:user-store;DB_CLOSE_DELAY=-1
quarkus.datasource.user-store.jdbc.transactions=xa
警告

データソース名には、引用符なし で Quarkus プロパティーを使用してください。引用符付きのデータソース名を使用すると、新しいデータソースオプションのマッピングと競合するからです。したがって、問題を回避するには、quarkus.datasource."user-store".db-kind=h2 ではなく、quarkus.datasource.user-store.db-kind=h2 を使用してください。

9.14. 関連するオプション
リンクのコピー

Expand
 

db 🛠

データベースベンダー

実稼働モードでは、dev-file のデフォルト値は非推奨であるため、代わりに db を明示的に指定する必要があります。

名前付きキー: db-kind-<datasource> 🛠

CLI: --db
環境変数: KC_DB

dev-file (デフォルト), dev-mem, mariadb, mssql, mysql, oracle, postgres, tidb

db-debug-jpql

JPA SQL ステートメントの生成をデバッグするには、SQL ステートメントにコメントとして JPQL 情報を追加します。

名前付きキー: db-debug-jpql-<datasource>

CLI: --db-debug-jpql
環境変数: KC_DB_DEBUG_JPQL

truefalse (デフォルト)

db-driver 🛠

JDBC ドライバーの完全修飾名。

設定されていない場合、選択したデータベースに応じてデフォルトのドライバーが設定されます。

名前付きキー: db-driver-<datasource> 🛠

CLI: --db-driver
環境変数: KC_DB_DRIVER

 

db-log-slow-queries-threshold

設定されたしきい値よりも遅い SQL ステートメントを logger org でログに記録します。

hibernate.SQL_SLOW およびログレベルの情報。

名前付きキー: db-log-slow-queries-threshold-<datasource>

CLI: --db-log-slow-queries-threshold
環境変数: KC_DB_LOG_SLOW_QUERIES_THRESHOLD

10000 (デフォルト)

db-password

データベースユーザーアカウントのパスワード

名前付きキー: db-password-<datasource>

CLI: --db-password
環境変数: KC_DB_PASSWORD

 

db-pool-initial-size

接続プールの初期サイズ。

名前付きキー: db-pool-initial-size-<datasource>

CLI: --db-pool-initial-size
環境変数: KC_DB_POOL_INITIAL_SIZE

 

db-pool-max-lifetime

接続がプール内に留まる最大時間。この時間が経過すると接続は戻ったときに閉じられ、必要に応じて置き換えられます。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。

CLI: --db-pool-max-lifetime
環境変数: KC_DB_POOL_MAX_LIFETIME

 

db-pool-max-size

接続プールの最大サイズ。

名前付きキー: db-pool-max-size-<datasource>

CLI: --db-pool-max-size
環境変数: KC_DB_POOL_MAX_SIZE

100 (デフォルト)

db-pool-min-size

接続プールの最小サイズ。

名前付きキー: db-pool-min-size-<datasource>

CLI: --db-pool-min-size
環境変数: KC_DB_POOL_MIN_SIZE

 

db-schema

使用するデータベーススキーマ

名前付きキー: db-schema-<datasource>

CLI: --db-schema
環境変数: KC_DB_SCHEMA

 

db-url

データベースの完全な JDBC URL

指定しない場合、選択したデータベースベンダーに基づきデフォルト URL が設定されます。たとえば、postgres を使用している場合、デフォルトの JDBC URL は jdbc:postgresql://localhost/keycloak になります。

名前付きキー: db-url-full-<datasource>

CLI: --db-url
環境変数: KC_DB_URL

 

db-url-database

選択したベンダーのデフォルト JDBC URL のデータベース名を設定します。

db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-database-<datasource>

CLI: --db-url-database
環境変数: KC_DB_URL_DATABASE

 

db-url-host

選択したベンダーのデフォルト JDBC URL のホスト名を設定します。

db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-host-<datasource>

CLI: --db-url-host
環境変数: KC_DB_URL_HOST

 

db-url-port

選択したベンダーのデフォルト JDBC URL のポートを設定します。

db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-port-<datasource>

CLI: --db-url-port
環境変数: KC_DB_URL_PORT

 

db-url-properties

選択したベンダーのデフォルト JDBC URL のプロパティーを設定します。

データベースベンダーが想定する形式に従ってプロパティーを設定し、そのプロパティー値の先頭に正しい文字を追加してください。db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-properties-<datasource>

CLI: --db-url-properties
環境変数: KC_DB_URL_PROPERTIES

 

db-username

データベースユーザーのユーザー名

名前付きキー: db-username-<datasource>

CLI: --db-username
環境変数: KC_DB_USERNAME

 

transaction-xa-enabled 🛠

true に設定すると、XA データソースが使用されます。

名前付きキー: transaction-xa-enabled-<datasource> 🛠

CLI: --transaction-xa-enabled
環境変数: KC_TRANSACTION_XA_ENABLED

truefalse (デフォルト)

9.14.1. 追加のデータソースオプション
リンクのコピー

Expand
 

db-debug-jpql-<datasource>

名前付き <datasource> に使用されます。

JPA SQL ステートメントの生成をデバッグするには、SQL ステートメントにコメントとして JPQL 情報を追加します。

CLI: --db-debug-jpql-<datasource>
環境変数: KC_DB_DEBUG_JPQL_<DATASOURCE>

truefalse (デフォルト)

db-driver-<datasource> 🛠

名前付き <datasource> に使用されます。

JDBC ドライバーの完全修飾名。設定されていない場合、選択したデータベースに応じてデフォルトのドライバーが設定されます。

CLI: --db-driver-<datasource>
環境変数: KC_DB_DRIVER_<DATASOURCE>

 

db-enabled-<datasource>

名前付きデータソース <datasource> をランタイムに有効にするかどうか。

CLI: --db-enabled-<datasource>
環境変数: KC_DB_ENABLED_<DATASOURCE>

true (デフォルト)、false

db-kind-<datasource> 🛠

名前付き <datasource> に使用されます。

データベースベンダー。実稼働モードでは、dev-file のデフォルト値は非推奨となり、代わりに db を明示的に指定する必要があります。

CLI: --db-kind-<datasource>
環境変数: KC_DB_KIND_<DATASOURCE>

dev-file, dev-mem, mariadb, mssql, mysql, oracle, postgres, tidb

db-log-slow-queries-threshold-<datasource>

名前付き <datasource> に使用されます。

設定されたしきい値よりも遅い SQL ステートメントを、ロガー org.hibernate.SQL_SLOW と log-level 情報を使用してログに記録します。

CLI: --db-log-slow-queries-threshold-<datasource>
環境変数: KC_DB_LOG_SLOW_QUERIES_THRESHOLD_<DATASOURCE>

10000 (デフォルト)

db-password-<datasource>

名前付き <datasource> に使用されます。

データベースユーザーアカウントのパスワード

CLI: --db-password-<datasource>
環境変数: KC_DB_PASSWORD_<DATASOURCE>

 

db-pool-initial-size-<datasource>

名前付き <datasource> に使用されます。

接続プールの初期サイズ。

CLI: --db-pool-initial-size-<datasource>
環境変数: KC_DB_POOL_INITIAL_SIZE_<DATASOURCE>

 

db-pool-max-size-<datasource>

名前付き <datasource> に使用されます。

接続プールの最大サイズ。

CLI: --db-pool-max-size-<datasource>
環境変数: KC_DB_POOL_MAX_SIZE_<DATASOURCE>

100 (デフォルト)

db-pool-min-size-<datasource>

名前付き <datasource> に使用されます。

接続プールの最小サイズ。

CLI: --db-pool-min-size-<datasource>
環境変数: KC_DB_POOL_MIN_SIZE_<DATASOURCE>

 

db-schema-<datasource>

名前付き <datasource> に使用されます。

使用するデータベーススキーマ

CLI: --db-schema-<datasource>
環境変数: KC_DB_SCHEMA_<DATASOURCE>

 

db-url-database-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のデータベース名を設定します。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-database-<datasource>
環境変数: KC_DB_URL_DATABASE_<DATASOURCE>

 

db-url-full-<datasource>

名前付き <datasource> に使用されます。

データベースの完全な JDBC URL。指定しない場合、選択したデータベースベンダーに基づきデフォルト URL が設定されます。たとえば、postgres を使用している場合、デフォルトの JDBC URL は jdbc:postgresql://localhost/keycloak になります。

CLI: --db-url-full-<datasource>
環境変数: KC_DB_URL_FULL_<DATASOURCE>

 

db-url-host-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のホスト名を設定します。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-host-<datasource>
環境変数: KC_DB_URL_HOST_<DATASOURCE>

 

db-url-port-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のポートを設定します。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-port-<datasource>
環境変数: KC_DB_URL_PORT_<DATASOURCE>

 

db-url-properties-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のプロパティーを設定します。データベースベンダーが想定する形式に従ってプロパティーを設定し、そのプロパティー値の先頭に正しい文字を追加してください。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-properties-<datasource>
環境変数: KC_DB_URL_PROPERTIES_<DATASOURCE>

 

db-username-<datasource>

名前付き <datasource> に使用されます。

データベースユーザーのユーザー名

CLI: --db-username-<datasource>
環境変数: KC_DB_USERNAME_<DATASOURCE>

 

transaction-xa-enabled-<datasource> 🛠

true に設定すると、<datasource> データソースの XA が使用されます。

CLI: --transaction-xa-enabled-<datasource>
環境変数: KC_TRANSACTION_XA_ENABLED_<DATASOURCE>

true (デフォルト)、false

第10章 分散キャッシュの設定
リンクのコピー

キャッシュレイヤーを設定して、複数の Red Hat build of Keycloak インスタンスをクラスター化し、パフォーマンスを高めます。

Red Hat build of Keycloak は、高可用性とマルチノードのクラスター化セットアップ向けに設計されています。現在の分散キャッシュ実装は、高性能で分散可能なインメモリーデータグリッドである Infinispan の上にビルドされています。

10.1. 分散キャッシュを有効にする
リンクのコピー

start コマンドを使用して Red Hat build of Keycloak を実稼働モードで開始すると、キャッシュが有効になり、ネットワーク上の Red Hat build of Keycloak ノードがすべて検出されます。

デフォルトでは、キャッシュは TCP トランスポートに基づく jdbc-ping スタックを使用し、設定されたデータベースを使用してクラスターに参加するノードを追跡します。この章で後述するとおり、Red Hat build of Keycloak では、事前定義されたデフォルトのトランスポートスタックのセットから選択することも、独自のカスタムスタックを定義することもできます。

分散 Infinispan キャッシュを明示的に有効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --cache=ispn

start-dev コマンドを使用して Red Hat build of Keycloak を開発モードで開始すると、Red Hat build of Keycloak はローカルキャッシュのみを使用し、分散キャッシュは --cache=local オプションを暗黙的に設定することによって完全に無効になります。local キャッシュモードは、開発目的およびテスト目的に限定されています。

10.2. キャッシュを設定する
リンクのコピー

Red Hat build of Keycloak は、conf/cache-ispn.xml にある通常の {infinispan_configuring_docs}[Infinispan configuration file] を提供します。このファイルには、キャッシュコンテナーと JGroups トランスポートに使用されるデフォルト設定が含まれています。

次の表は、Red Hat build of Keycloak が使用する特定のキャッシュの概要を示しています。

Expand
キャッシュ名キャッシュタイプ説明

realms

Local

永続化されたレルムデータをキャッシュします

users

Local

永続化されたユーザーデータをキャッシュします

authorization

Local

永続化された認可データをキャッシュします

keys

Local

外部公開鍵をキャッシュします

crl

Local

X.509 オーセンティケーター CRL のキャッシュ

work

Replicated (レプリケート)

無効化メッセージをノード間で伝播します

authenticationSessions

Distributed (分散)

認証プロセス中に作成/破棄された、または期限切れになった認証セッションをキャッシュします。

sessions

Distributed (分散)

永続的なユーザーセッションデータをキャッシュする

clientSessions

Distributed (分散)

永続的なクライアントセッションデータをキャッシュする

offlineSessions

Distributed (分散)

永続的なオフラインユーザーセッションデータをキャッシュする

offlineClientSessions

Distributed (分散)

永続的なオフラインクライアントセッションデータをキャッシュする

loginFailures

Distributed (分散)

失敗したログイン (不正の検知) を追跡します

actionTokens

Distributed (分散)

アクショントークンをキャッシュします

10.2.1. キャッシュタイプとデフォルト
リンクのコピー

ローカルキャッシュ

Red Hat build of Keycloak は、データベースへの不必要なラウンドトリップを回避するために、永続データをローカルにキャッシュします。

次のデータは、ローカルキャッシュを使用して、クラスター内の各ノードのローカルに保持されます。

  • レルム と、クライアント、ロール、グループなどの関連データ。
  • ユーザー と、付与されたロールやグループメンバーシップなどの関連データ。
  • 認可 と、リソース、権限、ポリシーなどの関連データ。
  • keys

レルム、ユーザー、認可のローカルキャッシュは、デフォルトで最大 10,000 エントリーを保持するように設定されています。デフォルトで、ローカルキーキャッシュは最大 1,000 エントリーを保持でき、1 時間ごとに期限切れになります。したがって、外部クライアントまたはアイデンティティープロバイダーからキーを定期的にダウンロードする必要があります。

最適な実行時間を実現し、データベースへの追加のラウンドトリップを回避するには、各キャッシュの設定で、エントリーの最大数がデータベースのサイズと一致していることを確認する必要があります。キャッシュできるエントリーが増えると、サーバーがデータベースからデータを取得しなければならない回数が少なくなります。メモリーの使用率とパフォーマンスの間で何が犠牲になるかを評価する必要があります。

ローカルキャッシュの無効化

ローカルキャッシュによりパフォーマンスは向上しますが、マルチノードセットアップでは課題が発生します。

1 つの Red Hat build of Keycloak ノードが共有データベース内のデータを更新すると、他のすべてのノードはそれを認識する必要があるため、キャッシュからそのデータを無効にします。

work キャッシュはレプリケートされたキャッシュであり、これらの無効化メッセージの送信に使用されます。このキャッシュのエントリー/メッセージは有効期限が非常に短いため、このキャッシュのサイズが時間の経過とともに増加することを想定する必要はありません。

認証セッション

ユーザーが認証を試みるたびに、認証セッションが作成されます。これらは、認証プロセスが完了するか、有効期限に達すると自動的に破棄されます。

authenticationSessions 分散キャッシュは、認証プロセス中に、認証セッションとそれに関連する他のデータを保存するために使用されます。

分散可能キャッシュに依存すると、クラスター内のどのノードでも認証セッションを利用できるため、ユーザーは認証状態を失うことなく任意のノードにリダイレクトできます。ただし、実稼働環境に対応したデプロイメントでは、常にセッションアフィニティーを考慮し、セッションが最初に作成されたノードにユーザーをリダイレクトすることを優先する必要があります。これにより、ノード間の不要な状態遷移が回避され、CPU、メモリー、ネットワークの使用率が向上します。

ユーザーセッション

ユーザーが認証されると、ユーザーセッションが作成されます。ユーザーセッションはアクティブユーザーとその状態を追跡するため、認証情報を再度要求されることなく、あらゆるアプリケーションに対してシームレスに認証できるようになります。アプリケーションごとに、ユーザーはクライアントセッションで認証されるため、サーバーはユーザーが認証されているアプリケーションとその状態をアプリケーションごとに追跡できます。

ユーザーセッションとクライアントセッションは、ユーザーがログアウトを実行するとき、クライアントがトークンの取り消しを実行するとき、または有効期限に達したときに自動的に破棄されます。

セッションデータはデフォルトでデータベースに保存され、オンデマンドで次のキャッシュにロードされます。

  • sessions
  • clientSessions

分散可能キャッシュに依存することで、キャッシュされたユーザーおよびクライアントセッションはクラスター内の任意のノードで利用できるようになり、データベースからセッションデータをロードすることなく、ユーザーを任意のノードにリダイレクトできるようになります。ただし、実稼働環境に対応したデプロイメントでは、常にセッションアフィニティーを考慮し、セッションが最初に作成されたノードにユーザーをリダイレクトすることを優先する必要があります。これにより、ノード間の不要な状態遷移が回避され、CPU、メモリー、ネットワークの使用率が向上します。

ユーザーセッションとクライアントセッションのこれらのメモリー内キャッシュは、デフォルトではノードあたり 10000 エントリーに制限されているため、大規模なインストールでは Red Hat build of Keycloak の全体的なメモリー使用量が削減されます。内部キャッシュは、キャッシュエントリーごとに 1 人の所有者のみで実行されます。

オフラインユーザーセッション

サーバーは、OpenID Connect プロバイダーとしてユーザーを認証し、オフライントークンを発行できます。認証が成功した後にオフライントークンを発行すると、サーバーはオフラインユーザーセッションとオフラインクライアントセッションを作成します。

次のキャッシュは、オフラインセッションを保存するために使用されます。

  • offlineSessions
  • offlineClientSessions

ユーザーセッションキャッシュおよびクライアントセッションキャッシュと同様に、オフラインのユーザーセッションキャッシュおよびクライアントセッションキャッシュは、デフォルトでノードあたり 10000 エントリーに制限されます。メモリーから退避されたアイテムは、必要に応じてデータベースからオンデマンドでロードされます。

パスワードのブルートフォース検出

loginFailures 分散キャッシュは、失敗したログイン試行に関するデータを追跡するために使用されます。このキャッシュは、マルチノード Red Hat build of Keycloak セットアップでブルートフォース保護機能が動作するために必要です。

アクショントークン

アクショントークンは、たとえばパスワードを忘れた場合のフローで送信されるメールなど、アクションを非同期で確認する必要がある場合に使用されます。actionTokens 分散キャッシュは、アクショントークンに関するメタデータを追跡するために使用されます。

ヒント

--log-level=info,org.keycloak.connections.infinispan.DefaultInfinispanConnectionProviderFactory:debug を設定すると、適用された Infinispan 設定をログで確認できます。

10.2.2. 揮発性のユーザーセッション
リンクのコピー

デフォルトでは、通常のユーザーセッションはデータベースに保存され、オンデマンドでキャッシュに読み込まれます。Red Hat build of Keycloak を設定して、通常のユーザーセッションをキャッシュにのみ保存し、データベースへの呼び出しを最小限に抑えることができます。

このセットアップのすべてのセッションはメモリー内に保存されるため、これに関連する 2 つの影響があります。

  • すべての Red Hat build of Keycloak ノードが再起動するとセッションが失われます。
  • メモリー消費量が増加します。

揮発性のユーザーセッションを使用する場合、キャッシュはユーザーセッションとクライアントセッションの信頼できるソースになります。Red Hat build of Keycloak は、メモリーに保存できるエントリーの数を自動的に調整し、コピーの数を増やしてデータの損失を防ぎます。

このセットアップを有効にするには、次の手順に従います。

  1. 次のコマンドを使用して、persistent-user-sessions 機能を無効にします。 

    bin/kc.sh start --features-disabled=persistent-user-sessions ...
注記

multi-site 機能が有効になっている場合、persistent-user-sessions を無効化できません。

10.2.3. キャッシュの最大サイズの設定
リンクのコピー

メモリー使用量を削減するために、特定のキャッシュに保存されるエントリーの数に上限を設定することが可能です。キャッシュの上限を指定するには、次のコマンドライン引数 --cache-embedded-${CACHE_NAME}-max-count= を指定する必要があります。${CACHE_NAME} は、上限を適用するキャッシュの名前に置き換えます。たとえば、offlineSessions キャッシュに上限 1000 を適用するには、--cache-embedded-offline-sessions-max-count=1000 のように設定します。次のキャッシュでは上限を定義できません: actionTokenauthenticationSessionsloginFailureswork

揮発性セッションが有効になっている場合、sessionsclientSessionsofflineSessions、および offlineClientSessions の最大キャッシュサイズの設定はサポートされません。

10.2.4. 独自のキャッシュ設定ファイルを指定する
リンクのコピー

独自のキャッシュ設定ファイルを指定するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --cache-config-file=my-cache-file.xml

設定ファイルは conf/ ディレクトリーに相対的です。

10.2.5. キャッシュ設定のデフォルトの変更
リンクのコピー

Red Hat build of Keycloak は、必要なすべてのキャッシュを期待される設定で自動的に作成します。conf/cache-ispn.xml または --cache-config-file で提供される独自のファイルで、追加のキャッシュを追加したり、デフォルトのキャッシュ設定をオーバーライドしたりできます。

適用された Infinispan 設定をログに表示するには、--log-level=info,org.keycloak.connections.infinispan.DefaultInfinispanConnectionProviderFactory:debug を設定します。

警告

XML 経由でデフォルトのキャッシュ設定をオーバーライドすることは技術的には可能ですが、サポートされていません。これは、デフォルトのキャッシュ設定に問題があることが証明されている高度なユースケースにのみ推奨されます。デフォルトのキャッシュ設定を変更する唯一のサポートされている方法は、cache-... オプションを使用することです。

変更されたデフォルトのキャッシュ設定が検出された際に警告がログに記録されないようにするには、次のオプションを追加します。 

bin/kc.[sh|bat] start --cache-config-mutate=true

10.2.6. リモートサーバーの CLI オプション
リンクのコピー

高可用性用およびマルチノードのクラスター化セットアップ用に Red Hat build of Keycloak サーバーを設定するために、CLI オプション cache-remote-hostcache-remote-portcache-remote-usernamecache-remote-password が導入され、XML ファイル内の設定が簡素化されました。宣言された CLI パラメーターのいずれかが存在する場合、XML ファイルにはリモートストアに関連する設定は存在しないはずです。

10.2.6.1. セキュアではない Infinispan サーバーへの接続
リンクのコピー
警告

実稼働環境ではセキュリティーを無効にすることは推奨されません。

開発環境やテスト環境では、セキュアではない Infinispan サーバーを起動する方が簡単です。これらのユースケースでは、CLI オプション cache-remote-tls-enabled により、Red Hat build of Keycloak と Data Grid 間の暗号化 (TLS) が無効になります。Data Grid サーバーが暗号化された接続のみを受け入れるように設定されている場合、Red Hat build of Keycloak は起動に失敗します。

CLI オプション cache-remote-usernamecache-remote-password はオプションであり、設定されていない場合は、Red Hat build of Keycloak は認証情報を提示せずに Data Grid サーバーに接続します。Data Grid サーバーで認証が有効になっている場合、Red Hat build of Keycloak は起動に失敗します。

10.3. トポロジーを考慮したデータ分散
リンクのコピー

Red Hat build of Keycloak をネットワークトポロジーを認識するように設定すると、Infinispan によってデータが正しく分散されるようになるため、ハードウェア障害が発生した場合でもデータの可用性が向上します。たとえば、キャッシュに num_owners=2 が設定されている場合、可能な場合は 2 人の所有者が同じノードに保存されないようになります。

注記

デフォルトでは、ユーザーセッションとクライアントセッションはデータベースに安全に保存され、これらの設定の影響を受けません。残りの分散キャッシュはこの設定の影響を受けます。

次のトポロジー情報を設定できます。

サイト名

Red Hat build of Keycloak クラスターが異なるデータセンター間にデプロイされている場合は、このオプションを使用して、データのレプリカが別のデータセンターに保存されるようにします。データセンターがオフラインになったり障害が発生したりしても、データの損失を防ぎます。

SPI オプション spi-cache-embedded--default--site-name (または環境変数 KC_SPI_CACHE_EMBEDDED__DEFAULT__SITE_NAME) を使用してください。値自体は重要ではありませんが、各データセンターには一意の値が必要です。

例: --spi-cache-embedded--default--site-name=site-1

ラック名

Red Hat build of Keycloak クラスターがデータセンター上の異なるラックで実行されている場合は、このオプションを設定して、データのレプリカが別の物理ラックに保存されるようにします。ラックが突然切断されたり故障したりした場合でも、データの損失を防ぎます。

SPI オプション spi-cache-embedded--default--rack-name (または環境変数 KC_SPI_CACHE_EMBEDDED__DEFAULT__RACK_NAME) を使用してください。値自体は重要ではありませんが、各ラックには一意の値が必要です。

例: --spi-cache-embedded--default--rack-name=rack-1

マシン名

同じ物理マシン上で複数の Red Hat build of Keycloak インスタンスが実行されている場合 (たとえば、仮想マシンまたはコンテナーを使用している場合) は、このオプションを使用して、データのレプリカが異なる物理マシンに保存されるようにします。物理的なマシン障害によるデータ損失を防ぎます。

SPI オプション spi-cache-embedded--default--machine-name (または環境変数 KC_SPI_CACHE_EMBEDDED__DEFAULT__MACHINE_NAME) を使用してください。値自体は重要ではありませんが、各マシンは一意の値を持つ必要があります。

例: --spi-cache-embedded--default--machine-name=machine-1

注記

Red Hat build of Keycloak Operator は、Kubernetes ノードに基づいてマシン名を自動的に設定します。これにより、複数の Pod が同じノードにスケジュールされている場合でも、可能な場合はデータのレプリカが個別のノード間で引き続きレプリケートされるようになります。複数の Pod が同じノードにスケジュールされるのを防ぎ、シングルノードの障害によってデータ損失が発生するリスクをさらに軽減するために、アンチアフィニティールールやトポロジー拡散制約をセットアップすることを推奨します。

10.4. トランスポートスタック
リンクのコピー

トランスポートスタックにより、クラスター内の Red Hat build of Keycloak ノードが確実に信頼性の高い方法で通信できるようになります。Red Hat build of Keycloak は、幅広いトランスポートスタックをサポートしています。

  • jdbc-ping
  • kubernetes (非推奨)
  • jdbc-ping-udp (非推奨)
  • tcp (非推奨)
  • udp (非推奨)
  • ec2 (非推奨)
  • azure (非推奨)
  • google (非推奨)

特定のキャッシュスタックを適用するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --cache-stack=<stack>

分散キャッシュが有効な場合、デフォルトのスタックは jdbc-ping に設定され、これは Red Hat build of Keycloak の 26.x リリースストリームのデフォルト設定と下位互換性があります。

10.4.1. 利用可能なトランスポートスタック
リンクのコピー

次の表は --cache-stack ランタイムオプションを使用する以外に追加の設定なしで使用できるトランスポートスタックを示しています。

Expand
スタック名トランスポートプロトコル検出

jdbc-ping

TCP

JGroups JDBC_PING2 プロトコルを使用するデータベースレジストリー。

jdbc-ping-udp (非推奨)

UDP

JGroups JDBC_PING2 プロトコルを使用するデータベースレジストリー。

次の表は、--cache-stack ランタイムオプションと最小設定を使用して使用できるトランスポートスタックを示しています。

Expand
スタック名トランスポートプロトコル検出

kubernetes (非推奨)

TCP

JGroups DNS_PING プロトコルを使用した DNS 解決。jgroups.dns.query は、ヘッドレスサービスの FQDN に設定する必要があります。

tcp (非推奨)

TCP

JGroups MPING プロトコルを使用した IP マルチキャスト。各クラスターに一意の jgroups.mcast_addr または jgroups.mcast_port を設定する方法は、以下を参照してください。

udp (非推奨)

UDP

JGroups PING プロトコルを使用した IP マルチキャスト。各クラスターに一意の jgroups.mcast_addr または jgroups.mcast_port を設定する方法は、以下を参照してください。

tcpudp、または jdbc-ping-udp スタックを使用する場合、ノードが個別のクラスターを形成するように各クラスターは異なるマルチキャストアドレスやポートを使用する必要があります。デフォルトでは、Red Hat build of Keycloak は、jgroups.mcast_addr のマルチキャストアドレスとして 239.6.7.8 を使用し、マルチキャストポート jgroups.mcast_port として 46655 を使用します。

注記

-D<property>=<value> を使用して、JAVA_OPTS_APPEND 環境変数または CLI コマンド経由でプロパティーを渡します。

追加のスタック

上記の利用可能なスタックのいずれかを使用することを推奨します。追加のスタックは Infinispan によって提供されますが、それらを設定する方法はこのガイドの対象外です。詳細なドキュメントは、Infinispan クラスタートランスポートの設定 および JGroups スタックのカスタマイズ を参照してください。

10.5. トランスポートスタックの保護
リンクのコピー

TLS を使用した暗号化は、TCP ベースのトランスポートスタックでデフォルトで有効になっており、これがデフォルトの設定でもあります。TCP ベースのトランスポートスタックを使用している限り、追加の CLI オプションやキャッシュ XML の変更は必要ありません。

注記

UDP または TCP_NIO2 に基づくトランスポートスタックを使用している場合は、次の手順に従ってトランスポートスタックの暗号化を設定します。

  1. オプション cache-embedded-mtls-enabledfalse に設定します。
  2. JGroups Encryption ドキュメント および クラスタートランスポートの暗号化 ドキュメントに従ってください。

TLS を有効にすると、Red Hat build of Keycloak は接続を保護するために自己署名 RSA 2048 ビット証明書を自動生成し、TLS 1.3 を使用して通信を保護します。キーと証明書はデータベースに保存されるため、すべてのノードで使用できます。デフォルトでは、証明書の有効期間は 60 日間で、30 日ごとに実行中にローテーションされます。これを変更するには、オプション cache-embedded-mtls-rotation-interval-days を使用します。

10.5.1. サービスメッシュ内で実行
リンクのコピー

Istio のようなサービスメッシュを使用する場合、相互認証が機能するためには、Red Hat build of Keycloak の Pod 間における直接の mTLS 通信を許可する必要がある場合があります。そうしないと、間違った証明書が提示されたことを示す JGRP000006: failed accepting connection from peer SSLSocket のようなエラーメッセージが表示される場合があり、クラスターは正しく形成されません。

次に、Red Hat build of Keycloak の Pod 間における直接の mTLS 通信を許可するか、サービスメッシュトランスポートセキュリティーに依存することで通信を暗号化してピアを認証するかを選択できます。

Istio を使用するときに Red Hat build of Keycloak に直接の mTLS 通信を許可するには、以下を実行します。

  • 次の設定を適用して直接通信を許可します。 

    apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: infinispan-allow-nomtls
spec:
  selector:
    matchLabels:
      app: keycloak
    1 
    
  portLevelMtls:
    "7800":
    2 
    
      mode: PERMISSIVE
    1
    Red Hat build of Keycloak デプロイメントと一致するようにラベルを更新します。
    2
    デフォルトはポート 7800 です。データ転送ポートを変更する場合は調整してください。

mTLS 通信を無効にし、サービスメッシュを使用してトラフィックを暗号化する場合は以下を実行します。

  • オプション cache-embedded-mtls-enabledfalse に設定します。
  • データ転送ポート (デフォルト: 7800) に対して他の Red Hat build of Keycloak Pod からのトラフィックのみを許可するようにサービスメッシュを設定します。

10.5.2. 独自の鍵と証明書の指定
リンクのコピー

標準セットアップでは推奨されませんが、特定のセットアップで不可欠な場合は、トランスポートスタックの証明書を使用してキーストアを手動で設定できます。cache-embedded-mtls-key-store-file は、キーストアへのパスを設定し、cache-embedded-mtls-key-store-password は、復号化するためのパスワードを設定します。トラストストアに、接続を受け入れるための有効な証明書を格納します。トラストストアは、cache-embedded-mtls-trust-store-file (トラストストアへのパス) と cache-embedded-mtls-trust-store-password (それを復号するためのパスワード) を使用して設定できます。不正アクセスを制限するには、常に各 Red Hat build of Keycloak に自己署名証明書を使用します。

10.6. ネットワークポート
リンクのコピー

Red Hat build of Keycloak クラスタリングを正常に実行するには、いくつかのネットワークポートを開く必要があります。以下の表では jdbc-ping スタック用に開く必要がある TCP ポートと、ポートを通過するトラフィックの説明を紹介しています。

Expand
ポートオプションプロパティー説明

7800

cache-embedded-network-bind-port

jgroups.bind.port

ユニキャストデータ転送。

57800

 

jgroups.fd.port-offset

プロトコル FD_SOCK2 による障害検出。ソケットが突然切断されるのを監視し、Red Hat build of Keycloak サーバーの障害の可能性を検知します。jgroups.fd.port-offset プロパティーは、cache-embedded-network-bind-port オプションまたは jgroups.bind.port プロパティーからのオフセットを定義します。デフォルトでは、オフセットは 50000 に設定され、障害検出ポートは 57800 になります。

注記

必要なポートでオプションが使用できない場合は、JAVA_OPTS_APPEND 環境変数または CLI コマ、システムプロパティー -D<property>=<value> を使用して設定します。

10.7. ネットワークバインドアドレス
リンクのコピー

正常な Red Hat build of Keycloak クラスタリングを確保するには、ネットワークポートを、クラスターの他のすべてのノードからアクセス可能なインターフェイスにバインドする必要があります。

デフォルトでは、192.168.0.0/16 または 10.0.0.0/8 のアドレス範囲から、サイトローカル (ルーティング不可能な) IP アドレスが選択されます。

アドレスをオーバーライドするには、オプション cache-embedded-network-bind-address=<IP> を設定します。

次の特殊な値も認識されます。

Expand
説明

GLOBAL

利用可能な場合はグローバル IP アドレスを選択します。利用できない場合は、SITE_LOCAL にフォールバックします。

SITE_LOCAL

サイトローカル (ルーティング不可能) IP アドレス (たとえば、192.168.0.0 または 10.0.0.0 アドレス範囲から) を選択します。これはデフォルト値です。

LINK_LOCAL

169.254.1.0 から 169.254.254.255 までのリンクローカル IP アドレスを選択します。

NON_LOOPBACK

任意の非ループバックアドレスを選択します。

LOOPBACK

ループバックアドレス (例: 127.0.0.1) を選択します。

match-interface:<regex>

インターフェイス名に対してパターンに一致するアドレスを選択します。たとえば、match-interface:tun0 または match-interface:eth.\* などです。

match-address:<regex>

ホストアドレスに対してパターンに一致するアドレスを選択します。たとえば、match-address:192.168.\* などです。

match-host:<regex>

ホスト名に対してパターンに一致するアドレスを選択します。たとえば、match-host:linux.\* などです。

IPv6 のみを設定し、Red Hat build of Keycloak でバインドアドレスを自動的に選択するには、次の設定を使用します。 

export JAVA_OPTS_APPEND="-Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Addresses=true"

JGroups トランスポートの詳細は、JGroups ドキュメントページ または Infinispan ドキュメントページ を参照してください。

10.8. 異なるネットワーク上でインスタンスを実行する
リンクのコピー

ファイアウォールの背後やコンテナー内など、異なるネットワーク上で Red Hat build of Keycloak インスタンスを実行すると、各インスタンスはローカル IP アドレスで相互にアクセスできなくなります。そのような場合は、それらのローカル IP アドレスに対してポート転送ルール (仮想サーバー と呼ばれることもあります) を設定してください。

ポート転送を使用する場合は、各ノードが外部アドレスを他のノードに正しくアドバタイズできるように、次のオプションを使用します。

Expand
オプション説明

cache-embedded-network-external-port

Red Hat build of Keycloak 内の他のインスタンスがこのノードへの接続に使用するポート。

cache-embedded-network-external-address

Red Hat build of Keycloak 内の他のインスタンスがこのノードに接続するために使用する IP アドレス。

10.9. クラスターとネットワークの健全性を確認する
リンクのコピー

このセクションでは、Red Hat build of Keycloak クラスターが正しく形成され、インスタンス間のネットワーク通信が期待どおりに機能していることを確認する方法を説明します。高可用性とデータの一貫性を確保するには、デプロイメント後にこれらのチェックを実行することが非常に重要です。

クラスターが適切に形成されているかどうかを確認するには、次のいずれかの場所を確認します。

  • Admin UI

    通常 https://<your-host>/admin/master/console/#/master/providers で利用できる Red Hat build of Keycloak Web UI にアクセスします。Provider Info セクションで、connectionsInfinispan エントリーを見つけます。詳細を展開するには、Show more をクリックします。クラスターのステータスと個々のキャッシュの健全性に関する情報を確認できるはずです。

    Infinispan Cluster Information in Web UI

  • ログ

    Infinispan は、新しいインスタンスがクラスターに参加したりクラスターから離脱したりするたびに、クラスタービューをログに記録します。ID ISPN000094 のログエントリーを検索します。

    正常なクラスタービューには、予期されるすべてのノードが表示されます。以下に例を示します。 

    ISPN000094: Received new cluster view for channel ISPN: [node1-26186|1] (2) [node1-26186, node2-37007]

    このログエントリーは、"ISPN" という名前のクラスターに現在 2 つのノード (node1-26186node2-37007) があることを示しています。(2) は、クラスター内のノードの総数を確認します。

  • Metrics

    Red Hat build of Keycloak は、Prometheus エンドポイントを介して Infinispan メトリクスを公開します。これは、Grafana などのツールで視覚化できます。メトリクス vendor_cluster_size は、クラスター内の現在のインスタンスの数を示します。このメトリクスが、クラスターで設定されている実行中のインスタンスの予想数と一致することを確認する必要があります。

    詳細は、クラスタリングメトリクス を参照してください。

10.10. キャッシュからのメトリクスを公開する
リンクのコピー

メトリクスが有効になっている場合、キャッシュからのメトリクスは自動的に公開されます。

キャッシュメトリクスのヒストグラムを有効にするには、cache-metrics-histograms-enabledtrue に設定します。これらのメトリクスはレイテンシー分布に関するより詳細な情報を提供しますが、収集するとパフォーマンスに影響する可能性があるため、すでに飽和状態のシステムでこれらを有効にする場合は注意が必要です。 

bin/kc.[sh|bat] start --metrics-enabled=true --cache-metrics-histograms-enabled=true

メトリクスを有効にする方法の詳細は、メトリクスによる分析情報の取得 を参照してください。

10.11. 関連するオプション
リンクのコピー

Expand
 

cache

高可用性のためのキャッシュメカニズムを定義します。

実稼働モードのデフォルトでは、複数のサーバーノード間のクラスターは ispn キャッシュを使用して作成されます。開発モードのデフォルトでは、local キャッシュはクラスタリングを無効にし、開発とテスト目的で使用されます。

CLI: --cache
環境変数: KC_CACHE

ispn (デフォルト)、local

cache-config-file

キャッシュ設定のロード元となるファイルを定義します。

設定ファイルは conf/ ディレクトリーに相対です。

CLI: --cache-config-file
環境変数: KC_CACHE_CONFIG_FILE

 

cache-config-mutate

デフォルトのキャッシュ設定の変更を許可するかどうかを決定します。

これは、デフォルトのキャッシュ設定に問題があることが証明されている高度なユースケースにのみ推奨されます。デフォルトのキャッシュ設定を変更する唯一のサポートされている方法は、他の cache-…​ オプションを使用することです。

CLI: --cache-config-mutate
環境変数: KC_CACHE_CONFIG_MUTATE

truefalse (デフォルト)

cache-metrics-histograms-enabled

組み込みキャッシュのメトリクスのヒストグラムを有効にします。

CLI: --cache-metrics-histograms-enabled
環境変数: KC_CACHE_METRICS_HISTOGRAMS_ENABLED

メトリクスが有効になっている場合にのみ使用可能です。

truefalse (デフォルト)

cache-stack

クラスター通信とノード検出に使用するデフォルトのスタックを定義します。

設定されていない場合のデフォルトは jdbc-ping です。

CLI: --cache-stack
環境変数: KC_CACHE_STACK

'cache' タイプが 'ispn' に設定されている場合にのみ使用可能です。

この設定を未設定のままにして、代わりに 'jdbc-ping' を使用してください。非推奨値: azureec2googlejdbc-ping-udpkubernetestcpudp

jdbc-pingkubernetes (非推奨)、jdbc-ping-udp (非推奨)、tcp (非推奨)、udp (非推奨)、ec2 (非推奨)、azure (非推奨)、google (非推奨)、または任意の値

10.11.1. 埋め込みキャッシュ
リンクのコピー

Expand
 

cache-embedded-authorization-max-count

認可キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-authorization-max-count
環境変数: KC_CACHE_EMBEDDED_AUTHORIZATION_MAX_COUNT

 

cache-embedded-client-sessions-max-count

clientSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-client-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_CLIENT_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-crl-max-count

CRL キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-crl-max-count
環境変数: KC_CACHE_EMBEDDED_CRL_MAX_COUNT

 

cache-embedded-keys-max-count

キーキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-keys-max-count
環境変数: KC_CACHE_EMBEDDED_KEYS_MAX_COUNT

 

cache-embedded-mtls-enabled

Keycloak サーバー間のネットワーク通信を暗号化します。

キーストアとトラストストアに関する追加のパラメーターが指定されていない場合は、一時的なキーペアと証明書が自動的に作成され、ローテーションされます。これは標準設定に推奨されます。

CLI: --cache-embedded-mtls-enabled
環境変数: KC_CACHE_EMBEDDED_MTLS_ENABLED

TCP ベースのキャッシュスタックが使用されている場合にのみ使用可能です。

true (デフォルト)、false

cache-embedded-mtls-key-store-file

キーストアファイルのパス。

キーストアには、TLS プロトコルが使用する証明書が含まれている必要があります。デフォルトでは、conf/ディレクトリーの下にある cache-mtls-keystore.p12 が検索されます。

CLI: --cache-embedded-mtls-key-store-file
環境変数: KC_CACHE_EMBEDDED_MTLS_KEY_STORE_FILE

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-mtls-key-store-password

キーストアにアクセスするためのパスワード。

CLI: --cache-embedded-mtls-key-store-password
環境変数: KC_CACHE_EMBEDDED_MTLS_KEY_STORE_PASSWORD

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-mtls-rotation-interval-days

自動 JGroups MTLS 証明書のローテーション期間 (日数)。

CLI: --cache-embedded-mtls-rotation-interval-days
環境変数: KC_CACHE_EMBEDDED_MTLS_ROTATION_INTERVAL_DAYS

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

30 (デフォルト)

cache-embedded-mtls-trust-store-file

トラストストアファイルのパス。

トラストストアには、信頼済み証明書または証明書に署名した認証局が含まれている必要があります。デフォルトでは、conf/ ディレクトリーの下にある cache-mtls-truststore.p12 が検索されます。

CLI: --cache-embedded-mtls-trust-store-file
環境変数: KC_CACHE_EMBEDDED_MTLS_TRUST_STORE_FILE

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-mtls-trust-store-password

トラストストアにアクセスするためのパスワード。

CLI: --cache-embedded-mtls-trust-store-password
環境変数: KC_CACHE_EMBEDDED_MTLS_TRUST_STORE_PASSWORD

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-network-bind-address

クラスタリングトランスポートで使用される IP アドレス。

デフォルトでは、SITE_LOCAL が使用されます。

CLI: --cache-embedded-network-bind-address
環境変数: KC_CACHE_EMBEDDED_NETWORK_BIND_ADDRESS

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-network-bind-port

クラスタリングトランスポートがバインドされるポート。

デフォルトではポート 7800 が使用されます。

CLI: --cache-embedded-network-bind-port
環境変数: KC_CACHE_EMBEDDED_NETWORK_BIND_PORT

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-network-external-address

クラスター内の他のインスタンスがこのノードに接続するために使用する IP アドレス。

このインスタンスがファイアウォールの背後にある場合など、cache-embedded-network-bind-address と異なる場合にのみ設定します。

CLI: --cache-embedded-network-external-address
環境変数: KC_CACHE_EMBEDDED_NETWORK_EXTERNAL_ADDRESS

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-network-external-port

クラスター内の他のインスタンスがこのノードに接続するために使用する必要のあるポート。

このインスタンスがファイアウォールの背後にある場合など、cache-embedded-network-bind-port と異なる場合にのみ設定します。

CLI: --cache-embedded-network-external-port
環境変数: KC_CACHE_EMBEDDED_NETWORK_EXTERNAL_PORT

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-offline-client-sessions-max-count

offlineClientSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-offline-client-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_OFFLINE_CLIENT_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-offline-sessions-max-count

offlineSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-offline-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_OFFLINE_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-realms-max-count

レルムキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-realms-max-count
環境変数: KC_CACHE_EMBEDDED_REALMS_MAX_COUNT

 

cache-embedded-sessions-max-count

セッションキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-users-max-count

ユーザーキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-users-max-count
環境変数: KC_CACHE_EMBEDDED_USERS_MAX_COUNT

 

10.11.2. リモートキャッシュ
リンクのコピー

Expand
 

cache-remote-backup-sites

外部 Infinispan クラスターが Keycloak データをバックアップするバックアップサイト名のリストを設定します。

CLI: --cache-remote-backup-sites
環境変数: KC_CACHE_REMOTE_BACKUP_SITES

リモートホストが設定されている場合にのみ使用可能です。

 

cache-remote-host

外部 Infinispan クラスターのホスト名。

multi-site または clusterless 機能が設定されている場合にのみ使用可能です。

CLI: --cache-remote-host
環境変数: KC_CACHE_REMOTE_HOST

 

cache-remote-password

外部 Infinispan クラスターへの認証用のパスワード。

セキュアではない外部 Infinispan クラスターに接続する場合はオプションです。オプションを指定する場合は、cache-remote-username も必要です。

CLI: --cache-remote-password
環境変数: KC_CACHE_REMOTE_PASSWORD

リモートホストが設定されている場合にのみ使用可能です。

 

cache-remote-port

外部 Infinispan クラスターのポート。

CLI: --cache-remote-port
環境変数: KC_CACHE_REMOTE_PORT

リモートホストが設定されている場合にのみ使用可能です。

11222 (デフォルト)

cache-remote-tls-enabled

TLS サポートを有効にして、保護されたリモート Infinispan サーバーと通信します。

実稼働環境では有効にすることを推奨します。

CLI: --cache-remote-tls-enabled
環境変数: KC_CACHE_REMOTE_TLS_ENABLED

リモートホストが設定されている場合にのみ使用可能です。

true (デフォルト)、false

cache-remote-username

外部 Infinispan クラスターへの認証用のユーザー名。

セキュアではない外部 Infinispan クラスターに接続する場合はオプションです。オプションを指定する場合は、cache-remote-password も必要です。

CLI: --cache-remote-username
環境変数: KC_CACHE_REMOTE_USERNAME

リモートホストが設定されている場合にのみ使用可能です。

 

第11章 送信 HTTP 要求の設定
リンクのコピー

送信 HTTP リクエストに使用するクライアントを設定します。

Red Hat build of Keycloak では、保護するアプリケーションやサービスに対して頻繁に要求を行う必要があります。Red Hat build of Keycloak は、HTTP クライアントを使用してこれらの送信接続を管理します。この章では、クライアント、接続プール、プロキシー環境設定、タイムアウトなどの設定方法を説明します。

11.1. TLS 接続の信頼済み証明書を設定する
リンクのコピー

Red Hat build of Keycloak が TLS を使用して送信要求を実行できるように Red Hat build of Keycloak のトラストストアを設定する方法については、信頼済み証明書の設定 を参照してください。

11.2. クライアント設定コマンド
リンクのコピー

Red Hat build of Keycloak が送信通信に使用する HTTP クライアントは、高度な設定が可能です。Red Hat build of Keycloak の送信 HTTP クライアントを設定するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --spi-connections-http-client--default--<configurationoption>=<value>

コマンドのオプションは次のとおりです。

establish-connection-timeout-millis
接続の確立がタイムアウトになるまでの最大時間 (ミリ秒)。デフォルト: 設定されていません。
socket-timeout-millis
2 つのデータパケット間で、ソケット接続がタイムアウトになるまでの非アクティブな最大時間 (ミリ秒単位)。デフォルト: 5000ms
connection-pool-size
送信接続の接続プールのサイズ。デフォルト: 128
max-pooled-per-route
ホストごとにプールできる接続の数。デフォルト: 64
connection-ttl-millis
最大接続時間 (ミリ秒単位)。デフォルト: 設定されていません。
max-connection-idle-time-millis
アイドル状態の接続が接続プール内に留まる最大時間 (ミリ秒単位)。アイドル状態の接続は、バックグラウンドクリーナースレッドによってプールから削除されます。このチェックを無効にするには、このオプションを -1 に設定します。デフォルト: 900000
disable-cookies
cookie のキャッシュを有効または無効にします。デフォルト: true
client-keystore
Java キーストアファイルへのパス。このキーストアには、mTLS のクライアント証明書が含まれています。
client-keystore-password
クライアントキーストアのパスワード。client-keystore が設定されている場合は必須。
client-key-password
クライアントの秘密鍵のパスワード。client-keystore が設定されている場合は必須。
proxy-mappings
送信 HTTP 要求のプロキシー設定を指定します。詳細は、「HTTP 要求の送信プロキシーマッピング」 を参照してください。
disable-trust-manager
送信要求に HTTPS が必要で、この設定オプションが true に設定されている場合、トラストストアを指定する必要はありません。この設定は SSL 証明書の検証を無効にするため、開発時にのみ使用し、実稼働環境では絶対に使用しないでください。デフォルト: false

11.3. HTTP 要求の送信プロキシーマッピング
リンクのコピー

プロキシーを使用するように送信要求を設定するには、標準プロキシー環境変数である HTTP_PROXYHTTPS_PROXYNO_PROXY を使用してプロキシーマッピングを設定します。

  • HTTP_PROXY および HTTPS_PROXY 変数は、すべての送信 HTTP 要求に使用されるプロキシーサーバーを表します。Red Hat build of Keycloak では、この 2 つの変数は区別されません。両方の変数を定義すると、プロキシーサーバーが使用する実際のスキームに関係なく、HTTPS_PROXY が優先されます。
  • NO_PROXY 変数は、プロキシーを使用しないホスト名のコンマ区切りリストを定義します。指定したホスト名ごとに、そのすべてのサブドメインもプロキシーの使用から除外されます。

環境変数は小文字または大文字にすることができます。小文字が優先されます。たとえば、HTTP_PROXYhttp_proxy の両方を定義した場合、http_proxy が使用されます。

プロキシーマッピングと環境変数の例

HTTPS_PROXY=https://www-proxy.acme.com:8080
NO_PROXY=google.com,login.facebook.com

この例では、次のような結果になります。

  • google.com または google.com のサブドメイン (例: auth.google.com) への要求を除き、すべての送信要求はプロキシー https://www-proxy.acme.com:8080 を使用します。
  • login.facebook.com とそのすべてのサブドメインは、定義されたプロキシーを使用しません。ただし、groups.facebook.com は login.facebook.com のサブドメインではないため、除外されます。

11.4. 正規表現を使用したプロキシーマッピング
リンクのコピー

プロキシーマッピングに環境変数を使用する代わりに、Red Hat build of Keycloak が送信する送信要求の proxy-mappings のコンマ区切りリストを設定できます。proxy-mapping は、hostname-pattern;proxy-uri 形式を使用する、正規表現ベースのホスト名パターンとプロキシー URI で構成されます。

たとえば、次の正規表現があります。 

.*\.(google|googleapis)\.com

次のコマンドを入力して、正規表現ベースのホスト名パターンを適用します。 

bin/kc.[sh|bat] start --spi-connections-http-client--default--proxy-mappings='.*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080'

マイクロプロファイル設定はマッピングの配列を解析するために使用されるため、バックスラッシュ文字 \ は再度エスケープされます。

送信 HTTP 要求を決定するために、以下が実行されます。

  • ターゲットのホスト名を、設定されているすべてのホスト名パターンと照合します。
  • 最初に一致したパターンの proxy-uri が使用されます。
  • ホスト名と一致する設定済みパターンがない場合、プロキシーは使用されません。

プロキシーサーバーに認証が必要な場合は、username:password@ 形式でプロキシーユーザーの認証情報を含めます。以下に例を示します。 

.*\.(google|googleapis)\.com;http://proxyuser:password@www-proxy.acme.com:8080

プロキシーマッピングの正規表現の例:

# All requests to Google APIs use http://www-proxy.acme.com:8080 as proxy
.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

# All requests to internal systems use no proxy
.*\.acme\.com;NO_PROXY

# All other requests use http://fallback:8080 as proxy
.*;http://fallback:8080

この例では、以下が実行されます。

  • proxy-uri の特別な値である NO_PROXY が使用されます。これは、関連付けられたホスト名パターンに一致するホストにはプロキシーが使用されないことを意味します。
  • catch-all パターンはプロキシーマッピングを終了し、すべての送信要求にデフォルトのプロキシーを提供します。

11.5. 関連するオプション
リンクのコピー

Expand
 

truststore-paths

システムトラストストアとして使用される pkcs12 (p12、pfx、または pkcs12 ファイル拡張子)、PEM ファイル、またはそれらのファイルを含むディレクトリーのリスト。

CLI: --truststore-paths
環境変数: KC_TRUSTSTORE_PATHS

 

第12章 信頼済み証明書の設定
リンクのコピー

TLS 経由で通信するように Red Hat build of Keycloak トラストストアを設定します。

Red Hat build of Keycloak が外部サービスと通信する場合、または TLS 経由で着信接続を行う場合、信頼済みサーバーに接続していることを確認するために、リモート証明書を検証する必要があります。これは、中間者攻撃を防ぐために必要です。

これらのクライアントまたはサーバーの証明書、またはこれらの証明書に署名した CA を、トラストストアに配置する必要があります。その後、このトラストストアを、Red Hat build of Keycloak で使用するために設定します。

12.1. システムトラストストアの設定
リンクのコピー

既存の Java デフォルトトラストストア証明書は、常に信頼されます。追加の証明書が必要な場合 (JRE によって認識されない自己署名認証局または内部認証局がある場合など) は、それを conf/truststores ディレクトリーまたはサブディレクトリーに追加することができます。証明書は、PEM ファイル、または拡張子が .p12.pfx、または .pkcs12 の PKCS12 ファイル内にある場合があります。PKCS12 の場合、証明書が暗号化されていない必要があります。つまり、パスワードは必要ありません。

別のパスが必要な場合は、--truststore-paths オプションを使用して、PEM または PKCS12 ファイルが配置されている追加のファイルまたはディレクトリーを指定します。パスは、Red Hat build of Keycloak を起動した場所に対する相対パスであるため、代わりに絶対パスを使用することを推奨します。ディレクトリーが指定されている場合、そのディレクトリでトラストストアファイルが再帰的にスキャンされます。

該当するすべての証明書を追加すると、トラストストアは、javax.net.ssl プロパティーを介してシステムのデフォルトのトラストストアとして、また Red Hat build of Keycloak 内部で使用するデフォルトのトラストストアとして使用されます。

以下に例を示します。 

bin/kc.[sh|bat] start --truststore-paths=/opt/truststore/myTrustStore.pfx,/opt/other-truststore/myOtherTrustStore.pem

独自の javax.net.ssl トラストストアシステムプロパティーを直接設定することも可能ですが、代わりに --truststore-paths を使用することを推奨します。

12.2. ホスト名検証ポリシー
リンクのコピー

tls-hostname-verifier プロパティーを使用して、TLS 接続によるホスト名の検証方法を調整できます。

  • DEFAULT (デフォルト) では、サブドメイン名 (例: *.foo.com) のワイルドカードを使用して、同じレベル数の名前 (例: a.foo.com は一致するが、a.b.foo.com は一致しない) と一致させることができます。パブリック接尾辞のルールと除外は、https://publicsuffix.org/list/ に基づいています。
  • ANY はホスト名が検証されていないことを意味します。実稼働環境でこのモードは使用しないでください。
  • WILDCARD (非推奨) を使用すると、サブドメイン名のワイルドカード (*.foo.com など) が、複数のレベル (a.b.foo.com など) を含む任意のものに一致します。代わりに DEFAULT を使用してください。

  • STRICT (非推奨) では、サブドメイン名のワイルドカード (*.foo.com など) が同じレベル数の名前 ( a.foo.com は一致するが、a.b.foo.com は一致しない) と一致しますが、いくつかの限定された例外があります。代わりに DEFAULT を使用してください。

    この設定は、厳密なホスト名チェックを必要とする LDAP セキュア接続には適用されないことに注意してください。

12.3. 関連するオプション
リンクのコピー

Expand
 

tls-hostname-verifier

送信 HTTPS および SMTP 要求の TLS ホスト名検証ポリシー。

ANY は実稼働環境では使用しないでください。

CLI: --tls-hostname-verifier
環境変数: KC_TLS_HOSTNAME_VERIFIER

STRICT と WILDCARD は非推奨となりました。代わりに DEFAULT を使用してください。非推奨の値: STRICTWILDCARD

ANYWILDCARD (非推奨)、STRICT (非推奨)、DEFAULT (デフォルト)

truststore-paths

システムトラストストアとして使用される pkcs12 (p12、pfx、または pkcs12 ファイル拡張子)、PEM ファイル、またはそれらのファイルを含むディレクトリーのリスト。

CLI: --truststore-paths
環境変数: KC_TRUSTSTORE_PATHS

 

第13章 mTLS の信頼できる証明書の設定
リンクのコピー

Red Hat build of Keycloak に接続しているクライアントを検証するために Mutual TLS を設定します。

クライアント証明書を適切に検証し、TLS 相互認証 (mTLS) などの特定の認証方法を有効にするために、サーバーが信頼する必要があるすべての証明書 (および証明書チェーン) を含むトラストストアを設定できます。相互 TLS や X.509 認証などの証明書を使用してクライアントを適切に認証するために、このトラストストアに依存する機能が多数あります。

13.1. mTLS を有効にする
リンクのコピー

mTLS を使用した認証は、デフォルトで無効になっています。Red Hat build of Keycloak がサーバーであり、Red Hat build of Keycloak エンドポイントに対する要求からの証明書を検証する必要がある場合に mTLS 証明書の処理を有効にするには、トラストストアに適切な証明書を配置し、次のコマンドを使用して mTLS を有効にします。 

bin/kc.[sh|bat] start --https-client-auth=<none|request|required>

required 値を使用すると、Red Hat build of Keycloak は常に証明書を求めるようにセットアップされ、要求に証明書が提供されない場合は失敗します。値を request に設定すると、Red Hat build of Keycloak は証明書がない要求も受け入れ、証明書が存在する場合にのみ証明書の正確性を検証します。

警告

mTLS 設定とトラストストアはすべてのレルムで共有されます。異なるレルムに異なるトラストストアを設定することはできません。

注記

管理インターフェイスのプロパティーは、mTLS 設定を含むメイン HTTP サーバーから継承されます。つまり、mTLS が設定されると、管理インターフェイスでも有効になります。動作をオーバーライドするには、https-management-client-auth プロパティーを使用します。

13.2. mTLS 専用のトラストストアを使用する
リンクのコピー

デフォルトでは、Red Hat build of Keycloak はシステムトラストストアを使用して証明書を検証します。詳細は、信頼済み証明書の設定 を参照してください。

mTLS 専用のトラストストアを使用する必要がある場合は、次のコマンドを実行してこのトラストストアのロケーションを設定できます。 

bin/kc.[sh|bat] start --https-trust-store-file=/path/to/file --https-trust-store-password=<value>

トラストストアで認識されるファイル拡張子:

  • pkcs12 ファイルの場合は .p12.pkcs12.pfx
  • jks ファイルの場合は .jks.truststore
  • pem ファイルの場合は .ca.crt.pem

トラストストアにファイルタイプに一致する拡張子がない場合は、https-key-store-type オプションも設定する必要があります。

13.3. 関連情報
リンクのコピー

13.3.1. 送信 HTTP リクエストに mTLS を使用する
リンクのコピー

これは、Red Hat build of Keycloak がサーバーとして機能する mTLS ユースケースの、基本的な証明書設定であることに注意してください。Red Hat build of Keycloak がクライアントとして機能する場合 (たとえば Red Hat build of Keycloak が mTLS によって保護されているブローカーアイデンティティープロバイダーのトークンエンドポイントからトークンを取得しようとする場合)、キーストア内の適切な証明書を送信要求に提供するように、HttpClient を設定する必要があります。このような場合に mTLS を設定するには、送信 HTTP 要求の設定 を参照してください。

13.3.2. X.509 認証の設定
リンクのコピー

X.509 認証を設定する方法の詳細は、X.509 クライアント証明書ユーザー認証 セクションを参照してください。

13.4. 関連するオプション
リンクのコピー

Expand
 

https-client-auth 🛠

クライアント認証を必要とする、または要求するようにサーバーを設定します。

CLI: --https-client-auth
環境変数: KC_HTTPS_CLIENT_AUTH

none (デフォルト)、requestrequired

https-trust-store-file

信頼する証明書の証明書情報を保持するトラストストア。

CLI: --https-trust-store-file
環境変数: KC_HTTPS_TRUST_STORE_FILE

 

https-trust-store-password

トラストストアファイルのパスワード。

CLI: --https-trust-store-password
環境変数: KC_HTTPS_TRUST_STORE_PASSWORD

 

https-trust-store-type

トラストストアファイルの型。

指定されていない場合、タイプはファイルエクステンションに基き自動的に型が検出されます。fips-modestrict に設定され、値が設定されていない場合、デフォルトの BCFKS になります。

CLI: --https-trust-store-type
環境変数: KC_HTTPS_TRUST_STORE_TYPE

 

https-management-client-auth 🛠

クライアント認証を必要とする、または要求するように管理インターフェイスを設定します。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-client-auth
環境変数: KC_HTTPS_MANAGEMENT_CLIENT_AUTH

none (デフォルト)、requestrequired

第14章 機能の有効化と無効化
リンクのコピー

オプション機能を使用するように Red Hat build of Keycloak を設定します。

Red Hat build of Keycloak には、テクノロジープレビューや非推奨機能などの無効化された機能を含め、いくつかの機能が組み込まれています。他の機能はデフォルトで有効になっていますが、Red Hat build of Keycloak のユースケースに適さない場合は無効にできます。

14.1. 機能を有効にする
リンクのコピー

サポートされている一部の機能とすべてのプレビュー機能は、デフォルトで無効になっています。機能を有効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] build --features="<name>[,<name>]"

たとえば、dockertoken-exchange を有効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] build --features="docker,token-exchange"

すべてのプレビュー機能を有効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] build --features="preview"

有効な機能には、バージョン管理されているものも、バージョン管理されていないものもあります。バージョン付きの機能名 (例: feature:v1) を使用すると、その機能バージョンがランタイム内に存在する限り有効になります。代わりにバージョンなしの名前 (例: feature) を使用すると、サポートされる特定の機能バージョンの選択が、次の優先順位によってリリースごとに変わる可能性があります。

  1. サポートされている最新のデフォルトバージョン
  2. サポートされている最新のデフォルトでないバージョン
  3. 最新の非推奨のバージョン
  4. 最新のプレビューバージョン
  5. 最新の実験バージョン

14.2. 機能を無効にする
リンクのコピー

デフォルトで有効になっている機能を無効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] build --features-disabled="<name>[,<name>]"

たとえば、impersonation を無効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] build --features-disabled="impersonation"

ある機能を features-disabled リストと features リストの両方に指定することはできません。

機能を無効にすると、その機能のすべてのバージョンが無効になります。

14.3. サポートされる機能
リンクのコピー

次のリストには、デフォルトで有効になっているサポート対象機能が含まれています。これらの機能は、必要がない場合は無効にできます。

Expand
機能説明

account-api:v1

アカウント管理 REST API

account:v3

アカウントコンソールバージョン 3

admin-api:v1

管理者 API

admin-fine-grained-authz:v2

Fine-Grained Admin Permissions バージョン 2

admin:v2

新しい管理コンソール

authorization:v1

認可サービス

ciba:v1

OpenID Connect Client Initiated Backchannel Authentication (CIBA)

client-policies:v1

クライアント設定ポリシー

device-flow:v1

OAuth 2.0 Device Authorization Grant

dpop:v1

OAuth 2.0 Demonstrating Proof-of-Possession at the Application Layer

hostname:v2

ホスト名オプション V2

impersonation:v1

管理者がユーザーに成り代わる機能

kerberos:v1

Kerberos

login:v2

新しいログインテーマ

opentelemetry:v1

OpenTelemetry トレーシング

organization:v1

レルム内の組織サポート

par:v1

OAuth 2.0 Pushed Authorization Requests (PAR)

passkeys:v1

パスキー

persistent-user-sessions:v1

再起動やアップグレード後もオンラインユーザーセッションが維持される

recovery-codes:v1

リカバリーコード

rolling-updates:v1

ローリング更新

step-up-authentication:v1

ステップアップ認証

token-exchange-standard:v2

標準トークン交換バージョン 2

update-email:v1

メールアクションを更新します

user-event-metrics:v1

ユーザーイベントに基づいてメトリクスを収集する

web-authn:v1

W3C Web Authentication (WebAuthn)

14.3.1. デフォルトでは無効になっています。
リンクのコピー

次のリストには、デフォルトで無効になっているサポート対象機能が含まれています。これらの機能は、必要に応じて有効にできます。

Expand
機能説明

docker:v1

Docker レジストリープロトコル

fips:v1

FIPS 140-2 モード

multi-site:v1

マルチサイトサポート

14.4. プレビュー機能
リンクのコピー

プレビュー機能はデフォルトでは無効になっており、実稼働環境での使用は推奨されません。これらの機能は、今後のリリースで変更または削除される可能性があります。

Expand
機能説明

admin-fine-grained-authz:v1

きめ細かい管理パーミッション

client-auth-federated:v1

アイデンティティープロバイダーによって発行されたアサーションに基づいてクライアントを認証

client-secret-rotation:v1

クライアントのシークレットローテーション

log-mdc:v1

ログ内の Mapped Diagnostic Context (MDC) 情報

rolling-updates:v2

パッチリリースのローリング更新

scripts:v1

JavaScript を使用したカスタムオーセンティケーターの作成

spiffe:v1

SPIFFE 信頼関係プロバイダー

token-exchange:v1

トークン交換サービス

14.5. 非推奨の機能
リンクのコピー

次のリストには、今後のリリースで削除される予定の非推奨機能が含まれています。これらの機能は、デフォルトで無効になっています。

Expand
機能説明

instagram-broker:v1

Instagram Identity Broker

login:v1

レガシーログインテーマ

logout-all-sessions:v1

logout-all-sessions は、通常のセッションのみをログアウトする

passkeys-conditional-ui-authenticator:v1

Passkeys 条件付き UI オーセンティケーター

14.6. 関連するオプション
リンクのコピー

Expand
 

features 🛠

1 つ以上の機能セットを有効にします。

CLI: --features
環境変数: KC_FEATURES

account-api[:v1], account[:v3], admin-api[:v1], admin-fine-grained-authz[:v1,v2], admin[:v2], authorization[:v1], ciba[:v1], client-auth-federated[:v1], client-policies[:v1], client-secret-rotation[:v1], client-types[:v1], clusterless[:v1], db-tidb[:v1], declarative-ui[:v1], device-flow[:v1], docker[:v1], dpop[:v1], dynamic-scopes[:v1], fips[:v1], hostname[:v2], impersonation[:v1], instagram-broker[:v1], ipa-tuura-federation[:v1], kerberos[:v1], kubernetes-service-accounts[:v1], log-mdc[:v1], login[:v2,v1], logout-all-sessions[:v1], multi-site[:v1], oid4vc-vci[:v1], opentelemetry[:v1], organization[:v1], par[:v1], passkeys-conditional-ui-authenticator[:v1], passkeys[:v1], persistent-user-sessions[:v1], preview, quick-theme[:v1], recovery-codes[:v1], rolling-updates[:v1,v2], scripts[:v1], spiffe[:v1], step-up-authentication[:v1], token-exchange-external-internal[:v2], token-exchange-standard[:v2], token-exchange[:v1], transient-users[:v1], update-email[:v1], user-event-metrics[:v1], web-authn[:v1], workflows[:v1]

features-disabled 🛠

1 つ以上の機能のセットを無効にします。

CLI: --features-disabled
環境変数: KC_FEATURES_DISABLED

account, account-api, admin, admin-api, admin-fine-grained-authz, authorization, ciba, client-auth-federated, client-policies, client-secret-rotation, client-types, clusterless, db-tidb, declarative-ui, device-flow, docker, dpop, dynamic-scopes, fips, impersonation, instagram-broker, ipa-tuura-federation, kerberos, kubernetes-service-accounts, log-mdc, login, logout-all-sessions, multi-site, oid4vc-vci, opentelemetry, organization, par, passkeys, passkeys-conditional-ui-authenticator, persistent-user-sessions, preview, quick-theme, recovery-codes, rolling-updates, scripts, spiffe, step-up-authentication, token-exchange, token-exchange-external-internal, token-exchange-standard, transient-users, update-email, user-event-metrics, web-authn, workflows

第15章 プロバイダーの設定
リンクのコピー

Red Hat build of Keycloak のプロバイダーを設定します。

サーバーは拡張性を念頭に置いて構築されています。そのために多数のサービスプロバイダーインターフェイス (SPI) が提供されており、それぞれがサーバーに特定の機能を提供します。この章では、SPI とそれぞれのプロバイダーの設定に関する中核的な概念を理解します。

この章を読むと、説明された概念と手順を使用して、プロバイダーをインストール、アンインストール、有効化、無効化、設定するための概念と手順を使用できるようになります。そこには、それぞれの要件を満たすことを目的として、サーバー機能を拡張するために実装したプロバイダーも含まれます。

15.1. 設定オプションの形式
リンクのコピー

プロバイダーは、特定の設定形式を使用して設定できます。形式は、以下で構成されています。 

spi-<spi-id>--<provider-id>--<property>=<value>

または、複数のプロバイダー間で曖昧さが生じる可能性がない場合: 

spi-<spi-id>-<provider-id>-<property>=<value>

<spi-id> は、設定する SPI の名前です。

<provider-id> は、設定するプロバイダーの ID です。これは、対応するプロバイダーファクトリー実装に設定された ID です。

<property> は、特定のプロバイダーに設定するプロパティーの実際の名前です。

注記

enabled というプロパティー名は、実質的にプロバイダーを有効化/無効化するために予約されています。

これらの名前 (spi、プロバイダー、プロパティー) はすべて小文字とし、myKeycloakProvider のようなキャメルケースの名前は、my-keycloak-provider のように大文字の前にダッシュ (-) が必要です。

たとえば HttpClientSpi SPI の場合、SPI の名前は connectionsHttpClient で、使用可能なプロバイダー実装の 1 つは、default という名前です。connectionPoolSize プロパティーを設定するには、次のように設定オプションを使用します。 

spi-connections-http-client--default--connection-pool-size=10

15.1.1. プロバイダー設定オプションを設定する
リンクのコピー

プロバイダー設定オプションは、サーバーの起動時に指定します。Red Hat build of Keycloak の設定 のオプションで、サポートされているすべての設定ソースと形式を参照してください。たとえば、コマンドラインオプションを使用して以下のように指定します。

connections-http-client SPI の default プロバイダーの connection-pool-size を設定する

bin/kc.[sh|bat] start --spi-connections-http-client--default--connection-pool-size=10

15.2. ビルド時のオプション
リンクのコピー

15.2.1. SPI 用の単一プロバイダーの設定
リンクのコピー

SPI によっては、複数のプロバイダー実装が同時に存在することも可能ですが、実行時に使用されるのはそのうちの 1 つだけです。これらの SPI の場合、特定のプロバイダーがランタイムにアクティブになり使用される主要な実装になります。形式は、以下で構成されています。 

spi-<spi-id>--provider=<provider-id>
注記

spi-<spi-id>-provider=<provider-id> は引き続き使用できますが、サーバーは再拡張が必要になった際にそれを適切に検出しません。

プロバイダーを単一のプロバイダーとして設定するには、次のように build コマンドを実行する必要があります。

mycustomprovider プロバイダーを email-template SPI の単一プロバイダーとしてマークする

bin/kc.[sh|bat] build --spi-email-template--provider=mycustomprovider

15.2.2. SPI のデフォルトプロバイダーの設定
リンクのコピー

SPI に応じて、複数のプロバイダー実装が共存でき、デフォルトでは 1 つが使用されます。これらの SPI の場合、特定のプロバイダーが要求されない限り、特定のプロバイダーがデフォルトの実装として選択されます。形式は、以下で構成されています。 

spi-<spi-id>--provider-default=<provider-id>
注記

spi-<spi-id>-provider-default=<provider-id> は引き続き使用できますが、サーバーは再拡張が必要になった際にそれを適切に検出しません。

デフォルトのプロバイダーを決定するために、次のロジックが使用されます。

  1. 明示的に設定されたデフォルトプロバイダー
  2. 最も高い順位のプロバイダー (順序が 0 以下のプロバイダーは無視)
  3. ID が default に設定されているプロバイダー

プロバイダーをデフォルトプロバイダーとして設定するには、次のように build コマンドを実行する必要があります。

mycustomhash プロバイダーを password-hashing SPI のデフォルトプロバイダーとしてマークする

bin/kc.[sh|bat] build --spi-password-hashing--provider-default=mycustomprovider

15.2.3. プロバイダーの有効化と無効化
リンクのコピー

形式は、以下で構成されています。 

spi-<spi-id>--<provider-id>--enabled=<boolean>
注記

spi-<spi-id>-<provider-id>-enabled=<boolean> は引き続き使用できますが、サーバーは再拡張が必要になった際にそれを適切に検出しません。

プロバイダーを有効または無効にするには、次のように build コマンドを実行する必要があります。

プロバイダーを無効にする

bin/kc.[sh|bat] build --spi-email-template--mycustomprovider--enabled=true

プロバイダーを無効にするには、同じコマンドを使用し、enabled プロパティーを false に設定します。

15.3. プロバイダーのインストールとアンインストール
リンクのコピー

カスタムプロバイダーは、Java アーカイブ (JAR) ファイルにパッケージ化して、ディストリビューションの providers ディレクトリーにコピーする必要があります。その後、--optimized を使用している場合は、JAR ファイルの実装でサーバーのプロバイダーレジストリーを更新するために、build コマンドを実行する必要があります。

この手順は、サーバーランタイムを最適化するために必要です。そうすることで、サーバーの起動時や実行時にプロバイダーを検出するのではなく、事前にすべてのプロバイダーが既知になるようになります。

警告

信頼できないプロバイダー JAR をインストールしないでください。アプリケーション全体に対して単一のクラスローダーがあり、providers ディレクトリー内の JAR は組み込みライブラリーよりも優先されます。また、プロバイダーロジックで使用できる状態やメソッドの組み込みサンドボックスもありません。プロバイダーは、DB への直接アクセス、すべてのサーバー設定 (認証情報を含む) の読み取りなど、サーバープロセスが実行できるすべての操作を実行できます。

プロバイダーをアンインストールするには、providers ディレクトリーから JAR ファイルを削除し、build コマンドを再度実行する必要があります。

15.4. サードパーティーの依存関係を使用する
リンクのコピー

プロバイダーを実装する場合、サーバーディストリビューションからは利用できないサードパーティーの依存関係を使用する必要があることもあります。

この場合、追加の依存関係を providers ディレクトリーにコピーし、build コマンドを実行する必要があります。これを実行すると、サーバーはこれらの追加の依存関係を、それに依存するプロバイダーが実行時に使用できるようにします。

15.5. 参考資料
リンクのコピー

第16章 ロギングの設定
リンクのコピー

Red Hat build of Keycloak のロギングを設定します。

Red Hat build of Keycloak は、JBoss Logging フレームワークを使用します。以下は、共通の親ログハンドラー root を持つ使用可能なログハンドラーの概要です。

  • console
  • file
  • syslog

16.1. ロギング設定
リンクのコピー

ロギングは、Red Hat build of Keycloak でカテゴリーごとに行われます。ロギングは、ルートログレベル、または org.hibernateorg.keycloak などのより具体的なカテゴリーで設定できます。特定のログハンドラーごとにログレベルをカスタマイズすることも可能です。

この章では、ロギングの設定方法を説明します。

16.1.1. ログレベル
リンクのコピー

次の表は、使用可能なログレベルを定義しています。

Expand
レベル説明

FATAL

いかなる種類の要求にもまったく対応できない致命的な障害。

ERROR

要求を処理できなくなる重大なエラーまたは問題。

WARN

即時の修正を必要としない場合もある、致命的ではないエラーまたは問題。

INFO

Red Hat build of Keycloak のライフサイクルイベントまたは重要な情報。低頻度で発生。

DEBUG

データベースログなど、デバッグ目的の詳細情報。高頻度で発生。

TRACE

最も詳細なデバッグ情報。非常に高い頻度で発生。

ALL

すべてのログメッセージ向けの特別なレベル。

OFF

ログを完全にオフにする特別なレベル (推奨されません)。

16.1.2. ルートログレベルを設定する
リンクのコピー

より具体的なカテゴリーロガーのログレベル設定が存在しない場合は、代わりにそれを含むカテゴリーが使用されます。それを含むカテゴリーがない場合は、ルートロガーレベルが使用されます。

ルートログレベルを設定するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-level=<root-level>

このコマンドには、次のガイドラインを使用してください。

  • <root-level> には、前述の表で定義されたレベルを指定します。
  • ログレベルで大文字と小文字は区別されません。たとえば、DEBUG または debug を使用できます。
  • 誤ってログレベルを 2 回設定してしまった場合、リストの最後に指定されたログレベルになります。たとえば、--log-level="info,…​,DEBUG,…​" の構文を含めた場合、ルートロガーは DEBUG になります。

16.1.3. カテゴリー固有のログレベルを設定する
リンクのコピー

Red Hat build of Keycloak では、特定の領域に異なるログレベルを設定できます。このコマンドを使用すると、別のログレベルが必要なカテゴリーをコンマ区切りリストで指定できます。 

bin/kc.[sh|bat] start --log-level="<root-level>,<org.category1>:<org.category1-level>"

カテゴリーに適用される設定は、より具体的な一致するサブカテゴリーを含めない限り、そのサブカテゴリーにも適用されます。 

bin/kc.[sh|bat] start --log-level="INFO,org.hibernate:debug,org.hibernate.hql.internal.ast:info"

この例では、次のようにログレベルを設定します。

  • すべてのロガーのルートログレベルは INFO に設定されます。
  • 通常、ハイバーネートログレベルは DEBUG に設定されます。
  • SQL 抽象構文ツリーが詳細なログ出力を作成しないようにするために、特定のサブカテゴリー org.hibernate.hql.internal.ast が INFO に設定されます。その結果、SQL 抽象構文ツリーは debug レベルでは表示されずに省略されます。

16.1.4. ログメッセージのコンテキストの追加
リンクのコピー

注記

Mapped Diagnostic Context (MDC) を含むログメッセージは プレビュー 機能であり、完全にはサポートされていません。この機能はデフォルトで無効化されています。

現在のレルムやリクエストを実行しているクライアントなど、各ログ行の追加のコンテキスト情報を有効化できます。

有効にするには、オプション log-mdc-enabled を使用します。

設定例

bin/kc.[sh|bat] start --features=log-mdc --log-mdc-enabled=true

出力例

2025-06-20 14:13:01,772 {kc.clientId=security-admin-console, kc.realmName=master} INFO ...

設定オプション log-mdc-keys を設定して、追加するキーを指定します。

16.1.5. レベルを個別のオプションとして設定する
リンクのコピー

カテゴリー固有のログレベルを設定する場合は、log-level オプションを使用する代わりに、個別の log-level-<category> オプションとしてログレベルを設定することもできます。これは、以前に設定した log-level オプションを上書きせずに、選択したカテゴリーのログレベルを設定する場合に便利です。

サーバーを次のように起動した場合: 

bin/kc.[sh|bat] start --log-level="INFO,org.hibernate:debug"

その後、環境変数 KC_LOG_LEVEL_ORG_KEYCLOAK=trace を設定して、org.keycloak カテゴリーのログレベルを変更できます。

log-level-<category> オプションは log-level よりも優先されます。これにより、log-level オプションで設定された内容をオーバーライドできます。たとえば、上記の CLI の例で KC_LOG_LEVEL_ORG_HIBERNATE=trace を設定すると、org.hibernate カテゴリーは debug ではなく trace レベルを使用します。

環境変数を使用する場合、カテゴリー名は大文字にし、ドットはアンダースコアに置き換える必要があることに注意してください。他の設定ソースを使用する場合は、カテゴリー名を「そのまま」指定する必要があります。例: 

bin/kc.[sh|bat] start --log-level="INFO,org.hibernate:debug" --log-level-org.keycloak=trace

16.2. ログハンドラーを有効にする
リンクのコピー

ログハンドラーを有効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log="<handler1>,<handler2>"

使用可能なハンドラーは次のとおりです。

  • console
  • file
  • syslog

後述する、より具体的なハンドラー設定は、ハンドラーがこのコンマ区切りリストに追加された場合にのみ有効になります。

16.2.1. 各ハンドラーのログレベルを指定する
リンクのコピー

log-level プロパティーは、グローバルルートログレベルと選択したカテゴリーのレベルを指定します。ただし、最新のアプリケーション要件に準拠するには、ログレベルに対してよりきめ細かいアプローチが必要です。

特定のハンドラーのログレベルを設定するために、log-<handler>-level (<handler> は使用可能なログハンドラー) 形式のプロパティーが導入されました。

つまり、ログレベル設定のプロパティーは次のようになります。

  • log-console-level - Console ログハンドラー
  • log-file-level - File ログハンドラー
  • log-syslog-level - Syslog ログハンドラー
注記

log-<handler>-level プロパティーは、特定のログハンドラーが有効になっている場合にのみ使用可能です。詳細は、以下のログハンドラー設定を参照してください。

「ログレベル」 セクションで指定されているログレベルのみが有効です。これらのログレベルは 小文字で指定する必要があります。ログハンドラーの特定のカテゴリーを指定する機能はまだサポートされていません。

16.2.1.1. 一般原則
リンクのコピー

特定のハンドラーごとにログレベルを設定しても、log-level プロパティーで指定された ルートレベルはオーバーライドされない ことを理解する必要があります。ログハンドラーは、ロギングシステム全体の最大の詳細度を表すルートログレベルを考慮します。つまり、個々のログハンドラーはルートロガーよりも詳細度が低くなるように設定できますが、それ以上には設定できません。

具体的には、ハンドラーに任意のログレベルが定義されている場合、そのログレベルのログレコードが出力に存在するわけではありません。その場合、ルート log-level も評価する必要があります。ログハンドラーレベルは ルートログレベルの制限 を提供し、ログハンドラーのデフォルトのログレベルは all (制限なし) です。

16.2.1.2. 例
リンクのコピー

例: ファイルハンドラーの場合は debug、コンソールハンドラーの場合は info: 

bin/kc.[sh|bat] start --log=console,file --log-level=debug --log-console-level=info

ルートログレベルは debug に設定されているため、すべてのログハンドラーはその値を継承します。File ログハンドラーも同様です。コンソールで debug レコードを非表示にするには、コンソールハンドラーの最小 (最も深刻でない) レベルを info に設定する必要があります。

例: すべてのハンドラーに対して warn、ファイルハンドラーに対しては debug: 

bin/kc.[sh|bat] start --log=console,file,syslog --log-level=debug --log-console-level=warn --log-syslog-level=warn

ルートレベルは、最も詳細な必要なレベル (この場合は debug) に設定する必要があり、他のログハンドラーもそれに応じて修正する必要があります。

例: すべてのハンドラーの場合は info、ただし Syslog ハンドラーの場合は debug + org.keycloak.events:trace: 

bin/kc.[sh|bat] start --log=console,file,syslog --log-level=debug,org.keycloak.events:trace, --log-syslog-level=trace --log-console-level=info --log-file-level=info

org.keycloak.events:trace を表示するには、Syslog ハンドラーの trace レベルを設定する必要があります。

16.2.2. ログハンドラーに異なる JSON 形式を使用する
リンクのコピー

すべてのログハンドラーは、JSON 形式で構造化されたログ出力機能を提供します。これは log-<handler>-output=json 形式のプロパティーによって有効にできます (<handler> はログハンドラーです)。

生成された JSON の異なる形式が必要な場合は、次の JSON 出力形式を利用できます。

  • default (デフォルト)
  • ecs

ecs 値は ECS (Elastic Common Schema) を参照します。

ECS は、Elastic ソリューションで使用される共通のフィールドセットを定義する、オープンソースのコミュニティー主導の仕様です。ECS 仕様は、OpenTelemetry によって管理される単一の標準を作成することを目標として、OpenTelemetry Semantic Conventions と統合されています。

JSON 出力形式を変更するために、log-<handler>-json-format (<handler> はログハンドラー) 形式のプロパティーが導入されました。

  • log-console-json-format - Console ログハンドラー
  • log-file-json-format - File ログハンドラー
  • log-syslog-json-format - Syslog ログハンドラー
16.2.2.1. 例
リンクのコピー

Console ログハンドラーの ECS (Elastic Common Schema) 形式の JSON ログを取得する場合は、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-console-output=json --log-console-json-format=ecs

ログメッセージの例

{"@timestamp":"2025-02-03T14:53:22.539484211+01:00","event.sequence":9608,"log.logger":"io.quarkus","log.level":"INFO","message":"Keycloak 999.0.0-SNAPSHOT on JVM (powered by Quarkus 3.17.8) started in 4.615s. Listening on: http://0.0.0.0:8080","process.thread.name":"main","process.thread.id":1,"mdc":{},"ndc":"","host.hostname":"host-name","process.name":"/usr/lib/jvm/jdk-21.0.3+9/bin/java","process.pid":77561,"data_stream.type":"logs","ecs.version":"1.12.2","service.environment":"prod","service.name":"Keycloak","service.version":"999.0.0-SNAPSHOT"}

16.2.3. 非同期ロギング
リンクのコピー

Red Hat build of Keycloak は非同期ロギングをサポートしており、高スループット低レイテンシー を必要とするデプロイメントに役立つ可能性があります。非同期ロギングは、すべてのログレコードの処理を別のスレッドを使用して行います。ロギングハンドラーは、同期ロギングとまったく同じ方法で呼び出されますが、別々のスレッドで実行されます。すべての Red Hat build of Keycloak ログハンドラーに対して非同期ロギングを有効化できます。非同期ロギングが有効化されているログハンドラーごとに、専用のスレッドが作成されます。

非同期ロギングの基礎となるメカニズムでは、ログレコードを処理するためにキューが使用されます。すべての新しいログレコードはキューに追加され、非同期ロギングが有効になっている特定のログハンドラーに公開されます。ログハンドラーごとにキューが異なります。

キューがすでにいっぱいの場合は、メインスレッドをブロックし、キューの空き領域を待機します。

16.2.3.1. 非同期ロギングを使用するタイミング
リンクのコピー
  • 受信リクエストの レイテンシーを低くする 必要がある場合
  • より高いスループット が必要な場合
  • ワーカースレッドプールが小さく、ロギングを別のスレッドにオフロードしたい場合
  • I/O 負荷の高いログハンドラー の影響を軽減したい場合
  • リモートの宛先 (ネットワーク syslog サーバーなど) にロギングしており、ワーカースレッドのブロックを回避したい場合
警告

非同期ロギングを有効にすると、追加の別個のスレッドと内部キューにより、追加のメモリーオーバーヘッド が発生する可能性があることに注意してください。その場合、リソースが制限された環境での使用は推奨しません。さらに、予期しないサーバーのシャットダウンにより、ログレコードが失われる リスクが生じます。

16.2.3.2. 非同期ロギングを有効にする
リンクのコピー

次のように log-async プロパティーを使用して、すべてのログハンドラーに対して非同期ロギングをグローバルに有効化できます。 

bin/kc.[sh|bat] start --log-async=true

または、log-<handler>-async (<handler> はログハンドラー) の形式のプロパティーを使用して、特定のハンドラーごとに非同期ロギングを有効化することもできます。特定のハンドラーのプロパティーが設定されていない場合は、親の log-async プロパティーの値が使用されます。

これらのプロパティーは次のように使用できます。 

bin/kc.[sh|bat] start --log-console-async=true --log-file-async=true --log-syslog-async=true
  • log-console-async - Console ログハンドラー
  • log-file-async - File ログハンドラー
  • log-syslog-async - Syslog ログハンドラー
16.2.3.3. キューの長さを変更する
リンクのコピー

非同期ロギングに使用されるキューのサイズを変更できます。キュー内のログレコードのデフォルトサイズは 512 です。

キューの長さは次のように変更できます。 

bin/kc.[sh|bat] start --log-console-async-queue-length=512 --log-file-async-queue-length=512 --log-syslog-async-queue-length=512

これらのプロパティーは、これらの特定のログハンドラーに対して非同期ロギングが有効になっている場合にのみ使用可能です。

16.2.4. HTTP アクセスロギング
リンクのコピー

Red Hat build of Keycloak は、受信した HTTP 要求の詳細を記録するための HTTP アクセスロギングをサポートしています。アクセスログはデバッグやトラフィック分析によく使用されますが、セキュリティー監査やコンプライアンス監視にとっても重要であり、管理者によるアクセスパターンの追跡、疑わしいアクティビティーの特定、監査証跡の維持に役立ちます。

これらのログは INFO レベルで書き込まれるため、ロギング設定にこのレベルが含まれていることを確認してください (グローバルに (例: log-level=info)、またはアクセスログカテゴリーに固有に (例: log-level=org.keycloak.http.access-log:info のいずれか)。HTTP アクセスログが有効になっている場合、INFO レベルが Red Hat build of Keycloak のデフォルトのログレベルであるため、デフォルトで表示されます。

16.2.4.1. 有効化の方法
リンクのコピー

次のように http-access-log-enabled プロパティーを使用して、HTTP アクセスロギングを有効化できます。 

bin/kc.[sh|bat] start --http-access-log-enabled=true
16.2.4.2. 変更ログの形式/パターン
リンクのコピー

次のように http-access-log-pattern プロパティーを使用して、アクセスログレコードの形式/パターンを変更できます。 

bin/kc.[sh|bat] start --http-access-log-pattern=combined

定義済みの名前付きパターン:

  • common (デフォルト) - 要求に関する基本情報を出力します
  • combined - 要求に関する基本情報とリファラーおよびユーザーエージェントに関する情報を出力します
  • long - 要求に関する包括的な情報をすべてのヘッダーとともに出力します

次のように、ログ記録する必要なデータを使用して独自のパターンを指定することもできます。 

bin/kc.[sh|bat] start --http-access-log-pattern='%A %{METHOD} %{REQUEST_URL} %{i,User-Agent}'
警告

HTTP アクセスログには、AuthorizationCookie、または外部 API キー参照などの機密性の高い HTTP ヘッダーが含まれている場合があります。HTTP アクセスログでは、Authorization ヘッダーと選択された機密性の高い Cookie は自動的にマスクされます。ただし、マスク対象項目のリストは完全ではない可能性があります。long パターンの使用や、カスタム形式によるヘッダーの出力には注意してください。これらは開発目的でのみ使用すべきものです。

使用できる変数の完全なリストは、Quarkus のドキュメント を参照してください。

16.2.5. マスクされる具体的な HTTP ヘッダーと Cookie
リンクのコピー

機密性の高い一部の HTTP ヘッダーと Cookie は、HTTP アクセスログ内で自動的にマスクされます。

マスクされる機密性の高い HTTP ヘッダー:

  • Authorization

マスクされる機密性の高い Red Hat build of Keycloak の Cookie:

  • AUTH_SESSION_ID
  • KC_AUTH_SESSION_HASH
  • KEYCLOAK_IDENTITY
  • KEYCLOAK_SESSION
  • AUTH_SESSION_ID_LEGACY
  • KEYCLOAK_IDENTITY_LEGACY
  • KEYCLOAK_SESSION_LEGACY

16.2.6. 特定の URL パスを除外する
リンクのコピー

特定の URL パスを HTTP アクセスロギングから除外して、記録されないようにすることができます。

次のように、正規表現を使用して除外することができます。 

bin/kc.[sh|bat] start --http-access-log-exclude='/realms/my-internal-realm/.*'

この場合、/realms/my-internal-realm/ および後続のパスへのすべての呼び出しは、HTTP アクセスログから除外されます。

16.3. Console ログハンドラー
リンクのコピー

Console ログハンドラーはデフォルトで有効になっており、コンソール用に構造化されていないログメッセージを提供します。

16.3.1. コンソールログ形式を設定する
リンクのコピー

Red Hat build of Keycloak は、デフォルトで人間が判読できるテキストログを生成するパターンベースのロギングフォーマッターを使用します。

これらの行のログ形式テンプレートは、ルートレベルで適用できます。デフォルトの形式テンプレートは次のとおりです。

  • %d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n

この形式の文字列では、下表の記号がサポートされています。

Expand
記号概要説明

%%

%

単純な % 文字をレンダリングします。

%c

カテゴリー

ログカテゴリー名をレンダリングします。

%d{xxx}

日付

指定された日付形式の文字列で日付をレンダリングします。java.text.SimpleDateFormat で定義された文字列構文。

%e

例外

出力された例外をレンダリングします。

%h

ホスト名

単純なホスト名をレンダリングします。

%H

修飾ホスト名

完全修飾ホスト名をレンダリングします。OS 設定によっては、単純なホスト名と同じになる場合があります。

%i

プロセス ID

現在のプロセスの PID をレンダリングします。

%m

フルメッセージ

出力された場合は、ログメッセージと例外をレンダリングします。

%n

改行

プラットフォーム固有の行区切り文字列をレンダリングします。

%N

プロセス名

現在のプロセスの名前をレンダリングします。

%p

レベル

メッセージのログレベルをレンダリングします。

%r

相対時間

アプリケーションログの開始からの相対時間 (ミリ秒単位) をレンダリングします。

%s

単純なメッセージ

例外トレースのないログメッセージをレンダリングします。

%t

スレッド名

スレッド名をレンダリングします。

%t{id}

スレッド ID

スレッド ID をレンダリングします。

%z{<zone name>}

タイムゾーン

ログ出力のタイムゾーンを <zone name> に設定します。

%L

行番号

ログメッセージの行番号をレンダリングします。

16.3.2. ロギング形式を設定する
リンクのコピー

ログに記録される行のログ形式を設定するには、次の手順を実行します。

  1. 前述の表を使用して、形式テンプレートを作成します。

  2. 以下のコマンドを入力します。 

    bin/kc.[sh|bat] start --log-console-format="'<format>'"

; などの特殊なシェル文字を含むコマンドを呼び出す場合は、CLI を使用して文字をエスケープする必要があります。代わりに、設定ファイルで設定することを検討してください。

例: 完全修飾カテゴリー名を短縮する

bin/kc.[sh|bat] start --log-console-format="'%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c{3.}] (%t) %s%e%n'"

この例では、テンプレートでデフォルトの [%c] の代わりに [%c{3.}] を設定することで、カテゴリー名を 3 文字に短縮します。

16.3.3. JSON またはプレーンコンソールのロギングを設定する
リンクのコピー

デフォルトでは、Console ログハンドラーはプレーンな非構造化データをコンソールに記録します。代わりに構造化された JSON ログ出力を使用するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-console-output=json

ログメッセージの例

{"timestamp":"2025-02-03T14:52:20.290353085+01:00","sequence":9605,"loggerClassName":"org.jboss.logging.Logger","loggerName":"io.quarkus","level":"INFO","message":"Keycloak 999.0.0-SNAPSHOT on JVM (powered by Quarkus 3.17.8) started in 4.440s. Listening on: http://0.0.0.0:8080","threadName":"main","threadId":1,"mdc":{},"ndc":"","hostName":"host-name","processName":"/usr/lib/jvm/jdk-21.0.3+9/bin/java","processId":76944}

JSON 出力を使用する場合、色は無効になり、--log-console-format で設定された形式設定は適用されません。

非構造化ロギングを使用するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-console-output=default

ログメッセージの例

2025-02-03 14:53:56,653 INFO  [io.quarkus] (main) Keycloak 999.0.0-SNAPSHOT on JVM (powered by Quarkus 3.17.8) started in 4.795s. Listening on: http://0.0.0.0:8080

16.3.4. 色
リンクのコピー

非構造化ログの色付きコンソールログ出力は、デフォルトでは無効になっています。色を使用すると読みやすくなりますが、ログを外部のログ集約システムに送信する際に問題が発生する可能性があります。色分けされたコンソールログ出力を有効または無効にするには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-console-color=<false|true>

16.3.5. コンソールログレベルの設定
リンクのコピー

Console ログハンドラーのログレベルは、次のように --log-console-level プロパティーで指定できます。 

bin/kc.[sh|bat] start --log-console-level=warn

詳細は、上記の 「各ハンドラーのログレベルを指定する」 セクションを参照してください。

16.4. ファイルロギング
リンクのコピー

コンソールにログを記録する代わりに、ファイルへの非構造化ロギングを使用できます。

16.4.1. ファイルロギングを有効にする
リンクのコピー

ファイルへのロギングは、デフォルトで無効になっています。有効にするには、以下のコマンドを入力します。 

bin/kc.[sh|bat] start --log="console,file"

keycloak.log という名前のログファイルが、Red Hat build of Keycloak の data/log ディレクトリー内に作成されます。

16.4.2. ログファイルの場所と名前を設定する
リンクのコピー

ログファイルの作成場所とファイル名を変更するには、次の手順を実行します。

  1. ログファイルを保存するための書き込み可能なディレクトリーを作成します。

    ディレクトリーが書き込み可能でない場合、Red Hat build of Keycloak は正しく起動しますが、エラーが発生してログファイルは作成されません。

  2. 以下のコマンドを入力します。 

    bin/kc.[sh|bat] start --log="console,file" --log-file=<path-to>/<your-file.log>

16.4.3. ファイルハンドラーの形式を設定する
リンクのコピー

File ログハンドラーに別のログ形式を設定するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-file-format="<pattern>"

詳細と利用可能なパターン設定の表は、「コンソールログ形式を設定する」 を参照してください。

16.4.4. ファイルログレベルの設定
リンクのコピー

File ログハンドラーのログレベルは、次のように --log-file-level プロパティーで指定できます。 

bin/kc.[sh|bat] start --log-file-level=warn

詳細は、上記の 「各ハンドラーのログレベルを指定する」 セクションを参照してください。

16.5. Syslog を使用した集中ロギング
リンクのコピー

Red Hat build of Keycloak は、ログをリモート Syslog サーバーに送信する機能を提供します。これは、RFC 5424 で定義されたプロトコルを利用します。

16.5.1. Syslog ハンドラーを有効にする
リンクのコピー

Syslog を使用してロギングを有効にするには、次のように、アクティブ化されたログハンドラーのリストに Syslog を追加します。 

bin/kc.[sh|bat] start --log="console,syslog"

16.5.2. Syslog アプリケーション名の設定
リンクのコピー

別のアプリケーション名を設定するには、次のように --log-syslog-app-name オプションを追加します。 

bin/kc.[sh|bat] start --log="console,syslog" --log-syslog-app-name=kc-p-itadmins

設定されていない場合、アプリケーション名はデフォルトで keycloak になります。

16.5.3. Syslog エンドポイントの設定
リンクのコピー

集中型ロギングシステムのエンドポイント (host:port) を設定するには、次のコマンドを入力し、値を特定の値に置き換えます。 

bin/kc.[sh|bat] start --log="console,syslog" --log-syslog-endpoint=myhost:12345

Syslog ハンドラーが有効になっている場合、ホストはホスト値として localhost を使用します。デフォルトのポートは 514 です。

16.5.4. Syslog ログレベルの設定
リンクのコピー

Syslog ログハンドラーのログレベルは、次のように --log-syslog-level プロパティーで指定できます。 

bin/kc.[sh|bat] start --log-syslog-level=warn

詳細は、上記の 「各ハンドラーのログレベルを指定する」 セクションを参照してください。

16.5.5. Syslog プロトコルの設定
リンクのコピー

Syslog は通信のデフォルトプロトコルとして TCP を使用します。TCP の代わりに UDP を使用するには、次のように --log-syslog-protocol オプションを追加します。 

bin/kc.[sh|bat] start --log="console,syslog" --log-syslog-protocol=udp

使用可能なプロトコルは、tpcudp、および ssl-tcp です。

16.5.6. Syslog カウントフレーミングの設定
リンクのコピー

デフォルトでは、特定の Syslog レシーバーの要件に応じて、TCP または SSL-TCP 経由で送信される Syslog メッセージの先頭に、そのメッセージのサイズが付加されます。この動作は --log-syslog-counting-framing オプションによって制御されます。

この機能を明示的に有効化または無効化するには、次のコマンドを使用します。 

bin/kc.[sh|bat] start --log-syslog-counting-framing=true

以下のいずれかの値を設定できます。

  • protocol-dependent (デフォルト) - log-syslog-protocoltcp または ssl-tcp の場合にのみ、カウントフレーミングを有効にします。
  • true - メッセージの前にサイズを付けることによって、カウントフレーミングを常に有効にします。
  • false - カウントフレーミングを使用しないでください。

protocol-dependent を使用すると、プロトコルで必要な場合にのみ接頭辞が有効になり、ほとんどの Syslog サーバーとの互換性が確保されることに注意してください。

16.5.7. Syslog ログ形式の設定
リンクのコピー

ログに記録される行のログ形式を設定するには、次の手順を実行します。

  1. 前述の表を使用して、形式テンプレートを作成します。

  2. 以下のコマンドを入力します。 

    bin/kc.[sh|bat] start --log-syslog-format="'<format>'"

; などの特殊なシェル文字を含むコマンドを呼び出す場合は、CLI を使用して文字をエスケープする必要があります。代わりに、設定ファイルで設定することを検討してください。

例: 完全修飾カテゴリー名を短縮する

bin/kc.[sh|bat] start --log-syslog-format="'%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c{3.}] (%t) %s%e%n'"

この例では、テンプレートでデフォルトの [%c] の代わりに [%c{3.}] を設定することで、カテゴリー名を 3 文字に短縮します。

16.5.8. Syslog タイプの設定
リンクのコピー

Syslog は、特定の RFC 仕様に基づいてさまざまなメッセージ形式を使用します。異なるメッセージ形式で Syslog タイプを変更するには、次のように --log-syslog-type オプションを使用します。 

bin/kc.[sh|bat] start --log-syslog-type=rfc3164

--log-syslog-type オプションに指定できる値は次のとおりです。

  • rfc5424 (デフォルト)
  • rfc3164

推奨される Syslog タイプは RFC 5424 で、これは BSD Syslog プロトコルとして知られる RFC 3164 に代わるものです。

16.5.9. Syslog の最大メッセージ長の設定
リンクのコピー

送信可能なメッセージの最大長 (バイト単位) を設定するには、次のように --log-syslog-max-length オプションを使用します。 

bin/kc.[sh|bat] start --log-syslog-max-length=1536

長さは、1k1K などの適切な接尾辞を使用してメモリーサイズ形式で指定できます。長さには、ヘッダーとメッセージが含まれます。

長さが明示的に設定されていない場合、デフォルト値は次のように --log-syslog-type オプションに基づいて設定されます。

  • 2048B - RFC 5424 用
  • 1024B - RFC 3164 用

16.5.10. Syslog 構造化出力の設定
リンクのコピー

デフォルトでは、Syslog ログハンドラーはプレーンな非構造化データを Syslog サーバーに送信します。代わりに構造化された JSON ログ出力を使用するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-syslog-output=json

ログメッセージの例

2024-04-05T12:32:20.616+02:00 host keycloak 2788276 io.quarkus - {"timestamp":"2024-04-05T12:32:20.616208533+02:00","sequence":9948,"loggerClassName":"org.jboss.logging.Logger","loggerName":"io.quarkus","level":"INFO","message":"Profile prod activated. ","threadName":"main","threadId":1,"mdc":{},"ndc":"","hostName":"host","processName":"QuarkusEntryPoint","processId":2788276}

JSON 出力を使用する場合、色は無効になり、--log-syslog-format で設定された形式設定は適用されません。

非構造化ロギングを使用するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --log-syslog-output=default

ログメッセージの例

2024-04-05T12:31:38.473+02:00 host keycloak 2787568 io.quarkus - 2024-04-05 12:31:38,473 INFO  [io.quarkus] (main) Profile prod activated.

ご覧のとおり、タイムスタンプは 2 回存在するため、--log-syslog-format プロパティーを使用して適宜修正できます。

16.6. 関連するオプション
リンクのコピー

Expand
 

log

コンマ区切りリストで 1 つ以上のログハンドラーを有効にします。

CLI: --log
環境変数: KC_LOG

consolefilesyslog

log-async

すべてのハンドラーに非同期でログを記録するかどうかを示します。

CLI: --log-async
環境変数: KC_LOG_ASYNC

truefalse (デフォルト)

log-level

ルートカテゴリーのログレベル、または個々のカテゴリーとそのレベルのコンマ区切りリスト。

ルートカテゴリーの場合、カテゴリーを指定する必要はありません。

CLI: --log-level
環境変数: KC_LOG_LEVEL

[info] (デフォルト)

log-level-<category>

カテゴリーのログレベル。

log-level オプションよりも優先されます。

CLI: --log-level-<category>
環境変数: KC_LOG_LEVEL_<CATEGORY>

off, fatal, error, warn, info, debug, trace, all

log-mdc-enabled 🛠

Mapped Diagnostic Context に、レルム情報やその他の情報を追加するかどうかを示します。

すべての要素には kc. という接頭辞が付きます。

CLI: --log-mdc-enabled
環境変数: KC_LOG_MDC_ENABLED

log-mdc プレビュー機能が有効になっている場合にのみ使用可能です。

truefalse (デフォルト)

log-mdc-keys

Mapped Diagnostic Context にコンマ区切りのリストとして追加する情報を定義します。

CLI: --log-mdc-keys
環境変数: KC_LOG_MDC_KEYS

MDC ロギングが有効になっている場合にのみ使用可能です。

realmNameclientIduserIdipAddressorgsessionIdauthenticationSessionIdauthenticationTabId

16.6.1. コンソール
リンクのコピー

Expand
 

log-console-async

コンソールに非同期でログを記録するかどうかを示します。

設定されていない場合は、親プロパティー log-async の値が使用されます。

CLI: --log-console-async
環境変数: KC_LOG_CONSOLE_ASYNC

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-console-async-queue-length

コンソールにログを記録する際に、書き込みをフラッシュする前に使用するキューの長さ。

CLI: --log-console-async-queue-length
環境変数: KC_LOG_CONSOLE_ASYNC_QUEUE_LENGTH

Console ログハンドラーがアクティブ化され、非同期ロギングが有効になっている場合にのみ使用可能です。

512 (デフォルト)

log-console-color

コンソールへのログイン時に、色を有効または無効にします。

CLI: --log-console-color
環境変数: KC_LOG_CONSOLE_COLOR

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-console-format

非構造化コンソールログエントリーの形式。

形式にスペースが含まれている場合は、"<format>" を使用して値をエスケープします。

CLI: --log-console-format
環境変数: KC_LOG_CONSOLE_FORMAT

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n (デフォルト)

log-console-include-mdc

コンソールログに mdc 情報を含めます。

log-console-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-console-include-mdc
環境変数: KC_LOG_CONSOLE_INCLUDE_MDC

Console ログハンドラーと MDC ロギングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-console-include-trace

コンソールログにトレーシング情報を含めます。

log-console-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-console-include-trace
環境変数: KC_LOG_CONSOLE_INCLUDE_TRACE

Console ログハンドラーとトレーシングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-console-json-format

生成される JSON の形式を設定します。

CLI: --log-console-json-format
環境変数: KC_LOG_CONSOLE_JSON_FORMAT

Console ログハンドラーがアクティブ化され、出力が 'json' に設定されている場合にのみ使用可能です。

default (デフォルト)、ecs

log-console-level

コンソールハンドラーのログレベルを設定します。

出力に表示されるログの最も詳細なログレベルを指定します。これは、ロギングシステム全体の最大の詳細度を表す、log-level オプションで指定されたレベルを考慮します。詳細は、ロギングガイドを参照してください。

CLI: --log-console-level
環境変数: KC_LOG_CONSOLE_LEVEL

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

off, fatal, error, warn, info, debug, trace, all (デフォルト)

log-console-output

ログ出力を、JSON またはデフォルトの (プレーン) 非構造化ロギングに設定します。

CLI: --log-console-output
環境変数: KC_LOG_CONSOLE_OUTPUT

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

default (デフォルト)、json

16.6.2. ファイル
リンクのコピー

Expand
 

log-file

ログファイルのパスとファイル名を設定します。

CLI: --log-file
環境変数: KC_LOG_FILE

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

data/log/keycloak.log (デフォルト)

log-file-async

ファイルログに非同期でログを記録するかどうかを示します。

設定されていない場合は、親プロパティー log-async の値が使用されます。

CLI: --log-file-async
環境変数: KC_LOG_FILE_ASYNC

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-file-async-queue-length

ファイルログに記録する際に、書き込みをフラッシュする前に使用するキューの長さ。

CLI: --log-file-async-queue-length
環境変数: KC_LOG_FILE_ASYNC_QUEUE_LENGTH

File ログハンドラーがアクティブ化され、非同期ロギングが有効になっている場合にのみ使用可能です。

512 (デフォルト)

log-file-format

ファイルログエントリーに固有の形式を設定します。

CLI: --log-file-format
環境変数: KC_LOG_FILE_FORMAT

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n (デフォルト)

log-file-include-mdc

ファイルログに MDC 情報を含めます。

log-file-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-file-include-mdc
環境変数: KC_LOG_FILE_INCLUDE_MDC

File ログハンドラーと MDC ロギングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-file-include-trace

ファイルログにトレーシング情報を含めます。

log-file-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-file-include-trace
環境変数: KC_LOG_FILE_INCLUDE_TRACE

File ログハンドラーとトレーシングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-file-json-format

生成される JSON の形式を設定します。

CLI: --log-file-json-format
環境変数: KC_LOG_FILE_JSON_FORMAT

File ログハンドラーがアクティブ化され、出力が 'json' に設定されている場合にのみ使用可能です。

default (デフォルト)、ecs

log-file-level

ファイルハンドラーのログレベルを設定します。

出力に表示されるログの最も詳細なログレベルを指定します。これは、ロギングシステム全体の最大の詳細度を表す、log-level オプションで指定されたレベルを考慮します。詳細は、ロギングガイドを参照してください。

CLI: --log-file-level
環境変数: KC_LOG_FILE_LEVEL

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

off, fatal, error, warn, info, debug, trace, all (デフォルト)

log-file-output

ログ出力を、JSON またはデフォルトの (プレーン) 非構造化ロギングに設定します。

CLI: --log-file-output
環境変数: KC_LOG_FILE_OUTPUT

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

default (デフォルト)、json

16.6.3. Syslog
リンクのコピー

Expand
 

log-syslog-app-name

メッセージを RFC5424 形式でフォーマットするときに使用するアプリケーション名を設定します。

CLI: --log-syslog-app-name
環境変数: KC_LOG_SYSLOG_APP_NAME

Syslog がアクティブ化されている場合にのみ使用可能です。

keycloak (デフォルト)

log-syslog-async

Syslog に非同期でログを記録するかどうかを示します。

設定されていない場合は、親プロパティー log-async の値が使用されます。

CLI: --log-syslog-async
環境変数: KC_LOG_SYSLOG_ASYNC

Syslog がアクティブ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-syslog-async-queue-length

Syslog にログを記録する際に、書き込みをフラッシュする前に使用するキューの長さ。

CLI: --log-syslog-async-queue-length
環境変数: KC_LOG_SYSLOG_ASYNC_QUEUE_LENGTH

Syslog がアクティブ化され、非同期ロギングが有効になっている場合にのみ使用可能です。

512 (デフォルト)

log-syslog-counting-framing

true の場合、送信されるメッセージの先頭に、そのメッセージのサイズが付加されます。

protocol-dependent の場合、log-syslog-protocoltcp または ssl-tcp のときはデフォルト値は true、それ以外のときは false になります。

CLI: --log-syslog-counting-framing
環境変数: KC_LOG_SYSLOG_COUNTING_FRAMING

Syslog がアクティブ化されている場合にのみ使用可能です。

truefalseprotocol-dependent (デフォルト)

log-syslog-endpoint

Syslog サーバーの IP アドレスとポートを設定します。

CLI: --log-syslog-endpoint
環境変数: KC_LOG_SYSLOG_ENDPOINT

Syslog がアクティブ化されている場合にのみ使用可能です。

localhost:514 (default)

log-syslog-format

Syslog エントリーに固有の形式を設定します。

CLI: --log-syslog-format
環境変数: KC_LOG_SYSLOG_FORMAT

Syslog がアクティブ化されている場合にのみ使用可能です。

%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n (デフォルト)

log-syslog-include-mdc

Syslog に MDC 情報を含めます。

log-syslog-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-syslog-include-mdc
環境変数: KC_LOG_SYSLOG_INCLUDE_MDC

Syslog ハンドラーと MDC ロギングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-syslog-include-trace

Syslog にトレーシング情報を含めます。

log-syslog-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-syslog-include-trace
環境変数: KC_LOG_SYSLOG_INCLUDE_TRACE

Syslog ハンドラーとトレーシングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-syslog-json-format

生成される JSON の形式を設定します。

CLI: --log-syslog-json-format
環境変数: KC_LOG_SYSLOG_JSON_FORMAT

Syslog がアクティブ化され、出力が 'json' に設定されている場合にのみ使用可能です。

default (デフォルト)、ecs

log-syslog-level

Syslog ハンドラーのログレベルを設定します。

出力に表示されるログの最も詳細なログレベルを指定します。これは、ロギングシステム全体の最大の詳細度を表す、log-level オプションで指定されたレベルを考慮します。詳細は、ロギングガイドを参照してください。

CLI: --log-syslog-level
環境変数: KC_LOG_SYSLOG_LEVEL

Syslog がアクティブ化されている場合にのみ使用可能です。

off, fatal, error, warn, info, debug, trace, all (デフォルト)

log-syslog-max-length

送信が許可されるメッセージの最大長 (バイト単位) を設定します。

長さにはヘッダーとメッセージが含まれます。設定されていない場合、log-syslog-type が rfc5424 (デフォルト) の場合はデフォルト値は 2048、log-syslog-type が rfc3164 の場合はデフォルト値は 1024 になります。

CLI: --log-syslog-max-length
環境変数: KC_LOG_SYSLOG_MAX_LENGTH

Syslog がアクティブ化されている場合にのみ使用可能です。

 

log-syslog-output

Syslog 出力を JSON またはデフォルトの (プレーン) 非構造化ロギングに設定します。

CLI: --log-syslog-output
環境変数: KC_LOG_SYSLOG_OUTPUT

Syslog がアクティブ化されている場合にのみ使用可能です。

default (デフォルト)、json

log-syslog-protocol

Syslog サーバーへの接続に使用するプロトコルを設定します。

CLI: --log-syslog-protocol
環境変数: KC_LOG_SYSLOG_PROTOCOL

Syslog がアクティブ化されている場合にのみ使用可能です。

tcp (デフォルト)、udpssl-tcp

log-syslog-type

送信メッセージのフォーマットに使用する Syslog タイプを設定します。

CLI: --log-syslog-type
環境変数: KC_LOG_SYSLOG_TYPE

Syslog がアクティブ化されている場合にのみ使用可能です。

rfc5424 (default), rfc3164

16.6.4. HTTP アクセスログ
リンクのコピー

Expand
 

http-access-log-enabled

HTTP アクセスロギングが有効になっている場合。

デフォルトでは、コンソールにレコードが記録されます。

CLI: --http-access-log-enabled
環境変数: KC_HTTP_ACCESS_LOG_ENABLED

truefalse (デフォルト)

http-access-log-exclude

一部のパスをロギングから除外するために使用できる正規表現。

たとえば、/realms/my-realm/.* は、レルム my-realm の後続のすべてのエンドポイントをログから除外します。

CLI: --http-access-log-exclude
環境変数: KC_HTTP_ACCESS_LOG_EXCLUDE

HTTP アクセスログが有効な場合にのみ使用可能です。

 

http-access-log-pattern

HTTP アクセスログパターン。

利用可能な名前付きフォーマットを使用することも、Quarkus ドキュメントに記載されているカスタムフォーマットを使用することもできます。

CLI: --http-access-log-pattern
環境変数: KC_HTTP_ACCESS_LOG_PATTERN

HTTP アクセスログが有効な場合にのみ使用可能です。

common (デフォルト)、combinedlong、または任意の値

第17章 FIPS 140-2 サポート
リンクのコピー

FIPS 準拠のために Red Hat build of Keycloak サーバーを設定します。

Federal Information Processing Standard Publication 140-2 (FIPS 140-2) は、暗号化モジュールを承認するために使用される米国政府のコンピューターセキュリティー標準です。Red Hat build of Keycloak は FIPS 140-2 準拠モードでの実行をサポートしています。この場合、Red Hat build of Keycloak は、その機能に FIPS で承認されている暗号化アルゴリズムのみを使用します。

FIPS 140-2 で実行するには、Red Hat build of Keycloak が FIPS 140-2 対応システム上で実行されていなければなりません。この要件は通常、インストール時に FIPS が有効化された RHEL または Fedora を前提としています。詳細は、RHEL のドキュメント を参照してください。システムが FIPS モードの場合、基盤となる OpenJDK も FIPS モードであることが確認され、FIPS 対応のセキュリティープロバイダー のみが使用されます。

システムが FIPS モードであることを確認するには、コマンドラインから次のコマンドを使用します。 

fips-mode-setup --check

システムが FIPS モードではない場合、次のコマンドを使用して有効にできます。ただし、この方法で後から有効にするのではなく、インストール時からシステムを FIPS モードにすることが推奨されます。 

fips-mode-setup --enable

17.1. BouncyCastle ライブラリー
リンクのコピー

Red Hat build of Keycloak の内部では、多くの暗号化ユーティリティーに BouncyCastle ライブラリーが使用されています。Red Hat build of Keycloak に同梱されている BouncyCastle ライブラリーのデフォルトバージョンは FIPS に準拠していないことに注意してください。ただし、BouncyCastle には FIPS 検証済みバージョンのライブラリーもあります。FIPS 検証済みの BouncyCastle ライブラリーは、Red Hat build of Keycloak では公式サポートを提供できないため、Red Hat build of Keycloak には同梱されていません。したがって、FIPS 準拠モードで実行するには、BouncyCastle-FIPS ビットをダウンロードし、それを Red Hat build of Keycloak のディストリビューションに追加する必要があります。Red Hat build of Keycloak を FIPS モードで実行すると、デフォルトの BouncyCastle ビットの代わりに BCFIPS ビットが使用されます。これにより、FIPS 準拠が実現します。

17.1.1. BouncyCastle FIPS ビット
リンクのコピー

BouncyCastle FIPS は、BouncyCastle の公式ページ からダウンロードできます。その後、使用しているディストリビューションの KEYCLOAK_HOME/providers ディレクトリーにそれらを追加できます。Red Hat build of Keycloak の BouncyCastle 依存関係と互換性のある適切なバージョンを使用してください。サポートされている、必要な BCFIPS ビットは次のとおりです。

  • bc-fips バージョン 2.1.2.
  • bctls-fips バージョン 2.1.22.
  • bcpkix-fips バージョン 2.1.10.
  • bcutil-fips バージョン 2.1.5.

17.2. キーストアを生成する
リンクのコピー

Red Hat build of Keycloak サーバーの SSL で使用する pkcs12 または bcfks キーストアを作成できます。

17.2.1. PKCS12 キーストア
リンクのコピー

p12 (または pkcs12) キーストア (および/またはトラストストア) は、BCFIPS 非承認モードで適切に機能します。

PKCS12 キーストアは、RHEL 9 上の OpenJDK 21 Java を使用して、標準的な方法で生成できます。たとえば、次のコマンドを使用してキーストアを生成できます。 

keytool -genkeypair -sigalg SHA512withRSA -keyalg RSA -storepass passwordpassword \
  -keystore $KEYCLOAK_HOME/conf/server.keystore \
  -alias localhost \
  -dname CN=localhost -keypass passwordpassword

FIPS モードの pkcs12 キーストアは、シークレット (対称) キーを 管理しません。この制限は、pkcs12 キーストアタイプ内でこのタイプのキーを許可しない BCFIPS プロバイダーによって課せられます。

システムが FIPS モードの場合、FIPS 対応のセキュリティープロバイダーを使用するためにデフォルトの java.security ファイルが変更されるため、追加の設定は必要ありません。さらに、PKCS12 キーストアでは、keytool コマンドを使用して簡単に PBE (パスワードベースの暗号化) キーを保存できます。そのため、このキーストアは、Red Hat build of Keycloak KeyStore Vault とともに使用したり、KeyStore 設定ソースに設定プロパティーを保存するために使用するのに最適です。詳細は、Red Hat build of Keycloak の設定 および vault の使用 を参照してください。

17.2.2. BCFKS キーストア
リンクのコピー

BCFKS キーストアを生成するには、BouncyCastle FIPS ライブラリーとカスタムセキュリティーファイルを使用する必要があります。

まず、/tmp/kc.keystore-create.java.security などのヘルパーファイルを作成します。ファイルの内容としては、次のプロパティーのみ必要です。 

securerandom.strongAlgorithms=PKCS11:SunPKCS11-NSS-FIPS

次に、次のようなコマンドを入力してキーストアを生成します。 

keytool -keystore $KEYCLOAK_HOME/conf/server.keystore \
  -storetype bcfks \
  -providername BCFIPS \
  -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider \
  -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider \
  -providerpath $KEYCLOAK_HOME/providers/bc-fips-*.jar \
  -alias localhost \
  -genkeypair -sigalg SHA512withRSA -keyalg RSA -storepass passwordpassword \
  -dname CN=localhost -keypass passwordpassword \
  -J-Djava.security.properties=/tmp/kc.keystore-create.java.security
警告

自己署名付き証明書はデモンストレーション目的に限定して使用しているため、実稼働環境に移行する際にこれらの証明書を適切な証明書に置き換えてください。

bcfks タイプのキーストア/トラストストアを使用して他の操作を行う場合も、同様のオプションが必要です。

17.3. サーバーを実行する
リンクのコピー

非承認モードで BCFIPS を使用してサーバーを実行するには、次のコマンドを入力します。
bin/kc.[sh|bat] start --features=fips --hostname=localhost --https-key-store-password=passwordpassword --log-level=INFO,org.keycloak.common.crypto:TRACE,org.keycloak.crypto:TRACE
注記

非承認モードでは、デフォルトのキーストアタイプ (およびデフォルトのトラストストアタイプ) は PKCS12 です。したがって、上記のように BCFKS キーストアを生成した場合は、コマンド --https-key-store-type=bcfks も使用する必要があります。トラストストアを使用する場合も、同様のコマンドが必要になる場合があります。

注記

すべてが期待どおりに動作する場合は、実稼働環境でのログインを無効にできます。

17.4. strict モード
リンクのコピー

fips-mode オプションがあります。fips 機能が有効になっている場合、これは自動的に non-strict に設定されます。これは、BCFIPS が "非承認モード" で実行されることを意味します。よりセキュアな代替方法として、--features=fips --fips-mode=strict を使用できます。この場合、BouncyCastle FIPS は "承認モード" を使用します。このオプションを使用すると、暗号化とセキュリティーアルゴリズムに対するセキュリティー要件が厳しくなります。

注記

strict モードでは、デフォルトのキーストアタイプ (およびデフォルトのトラストストアタイプ) は BCFKS です。別のキーストアタイプを使用する場合は、オプション --https-key-store-type を使用して適切なタイプを指定する必要があります。トラストストアを使用する場合も、同様のコマンドが必要になる場合があります。

サーバーを起動するときに、起動コマンドに TRACE レベルを含めることができます。以下に例を示します。 

--log-level=INFO,org.keycloak.common.crypto.CryptoIntegration:TRACE

TRACE レベルを使用すると、次のような Approved Mode に関する注記が付いた KC プロバイダーが起動ログに含まれていることを確認できます。 

KC(BCFIPS version 2.0102 Approved Mode, FIPS-JVM: enabled) version 1.0 - class org.keycloak.crypto.fips.KeycloakFipsSecurityProvider,

17.4.1. strict モードでの暗号化の制限
リンクのコピー

  • 前のセクションで説明したように、strict モードは pkcs12 キーストアでは機能しない可能性があります。前述のように、別のキーストア (bcfks など) を使用する必要があります。また、strict モードを使用している場合、jks および pkcs12 キーストアは Red Hat build of Keycloak ではサポートされません。たとえば、管理コンソールの OIDC または SAML クライアントのキーストア、もしくはレルムキーの java-keystore プロバイダーのキーストアのインポートや生成などです。
  • ユーザーパスワードは、14 文字以上でなければなりません。Red Hat build of Keycloak は、デフォルトで PBKDF2 ベースのパスワードエンコーディングを使用します。BCFIPS 承認モードでは、PBKDF2 アルゴリズムを使用した 112 ビット (実質的には 14 文字) 以上のパスワードが必要です。それよりも短いパスワードを許可する場合は、SPI password-hashing のプロバイダー pbkdf2-sha512 のプロパティー max-padding-length を 14 に設定して、このアルゴリズムによって作成されたハッシュの検証時に追加のパディングを提供します。この設定は、以前に保存されたパスワードとの下位互換性もあります。たとえば、ユーザーのデータベースが非 FIPS 環境にあり、パスワードが短く、承認モードで BCFIPS を使用して Red Hat build of Keycloak でパスワードを検証する場合、そのパスワードは機能するはずです。したがって、サーバーの起動時に次のようなオプションを効果的に使用できます。 
--spi-password-hashing--pbkdf2-sha512--max-padding-length=14
注記

上記のオプションを使用しても、FIPS 準拠は損なわれません。いずれにせよ、パスワードは長くすることが推奨されます。たとえば、最新のブラウザーで自動生成されるパスワードは 14 文字を超えるため、この要件に一致します。max-padding-length のオプションを省略する場合は、パスワードの長さが少なくとも 14 文字になるようにレルムにパスワードポリシーを設定できます。

注記

24 より古い Red Hat build of Keycloak から移行する場合、またはデフォルトのハッシュアルゴリズムをオーバーライドするようにパスワードポリシーを明示的に設定する場合は、一部のユーザーが pbkdf2-sha256 などの古いアルゴリズムを使用している可能性があります。この場合、パスワードが 14 文字より短い可能性があるため、古い pbkdf2-sha256 でハッシュされたパスワードを持つユーザーがログインできるように、--spi-password-hashing--pbkdf2-sha256--max-padding-length=14 オプションを追加することを検討してください。

  • 1024 ビットの RSA キーは機能しません (最小は 2048)。これは、Red Hat build of Keycloak レルム自体が使用するキー (管理コンソールの Keys のレルムキー) だけでなく、クライアントキーと IDP キーにもあてはまります。
  • HMAC SHA-XXX キーは、112 ビット (または 14 文字) 以上でなければなりません。たとえば、OIDC クライアントをクライアント認証 Signed Jwt with Client Secret (OIDC 表記では client-secret-jwt) で使用する場合、クライアントシークレットの長さは 14 文字以上である必要があります。優れたセキュリティーを確保するには、この要件が必ず満たされるように、Red Hat build of Keycloak サーバーによって生成されたクライアントシークレットを使用することを推奨します。
  • bc-fips バージョン 1.0.2.4 は、PKCS 1.5 RSA 暗号化の移行期間の終了に対応しています。したがって、アルゴリズム RSA1_5 を使用した JSON Web Encryption (JWE) は、デフォルトでは厳密モードでは許可されません (BC は現時点では下位互換性オプションとしてシステムプロパティー -Dorg.bouncycastle.rsa.allow_pkcs15_enc=true を提供)。RSA-OAEP および RSA-OAEP-256 は、以前と同様に引き続き利用可能です。

17.5. その他の制限
リンクのコピー

SAML が機能するためには、XMLDSig セキュリティープロバイダーがセキュリティープロバイダーで利用できることを確認する必要があります。Kerberos が機能するためには、SunJGSS セキュリティープロバイダーが利用できることを確認する必要があります。OpenJDK 21 の FIPS 対応 RHEL 9 では、XMLDSig セキュリティープロバイダーが java.security でデフォルトですでに有効になっている可能性があり、最新の OpenJDK 17 でも同様の可能性があります。ただし、古い OpenJDK 17 ではデフォルトで有効になっていない可能性があり、その場合、SAML は事実上機能しません。

SAML が機能するためには、プロバイダーを JAVA_HOME/conf/security/java.security FIPS プロバイダーリストに手動で追加します。たとえば、FIPS セキュリティープロバイダーでまだ使用できない場合は、次のような行を追加します。 

fips.provider.7=XMLDSig

セキュリティープロバイダーを追加すると、正常に機能するはずです。実際、これは FIPS に準拠しており、OpenJDK 21 および OpenJDK 17 の新しいバージョンではデフォルトですでに追加されています。詳細は、Bugzilla を参照してください。

注記

JAVA_HOME/conf/security/java.security で、設定済みのすべてのプラバイダーを確認し、番号が一致することを確認することが推奨されます。言い換えると、fips.provider.7 は、このファイル内に fips.provider.N のような接頭辞が設定されたプロバイダーがすでに 6 つあることを前提としています。

Java 内の java.security ファイルを編集しない場合は、カスタム Java セキュリティーファイル (たとえば、kc.java.security という名前で) を作成し、そのファイルに XMLDSig プロバイダーを追加するための上記のプロパティーを 1 つだけ追加できます。その後、このプロパティーファイルをアタッチして Red Hat build of Keycloak サーバーを起動します。 

-Djava.security.properties=/location/to/your/file/kc.java.security

Kerberos/SPNEGO の場合、セキュリティープロバイダー SunJGSS はまだ完全には FIPS に準拠していません。したがって、FIPS に準拠する必要がある場合は、それをセキュリティープロバイダーリストに追加することは推奨されません。FIPS プラットフォームで実行され、セキュリティープロバイダーが使用できない場合、Red Hat build of Keycloak ではデフォルトで KERBEROS 機能が無効になっています。詳細は、Bugzilla を参照してください。

17.6. FIPS ホストで CLI を実行する
リンクのコピー

クライアント登録 CLI (kcreg.sh|bat スクリプト) または管理 CLI (kcadm.sh|bat スクリプト) を実行する場合、CLI はプレーンな BouncyCastle 依存関係の代わりに BouncyCastle FIPS 依存関係も使用する必要があります。そのために必要なのは、jar を CLI ライブラリーフォルダーにコピーすることだけです。CLI ツールは、対応する BCFIPS jar が存在することを検出すると、プレーン BC の代わりに BCFIPS 依存関係を自動的に使用します (使用されるバージョンは上記を参照)。たとえば、CLI を実行する前に次のようなコマンドを使用します。 

cp $KEYCLOAK_HOME/providers/bc-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/
cp $KEYCLOAK_HOME/providers/bctls-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/
cp $KEYCLOAK_HOME/providers/bcutil-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/
注記

CLI で BCFKS トラストストア/キーストアを使用しようとすると、このトラストストアがデフォルトの Java キーストアタイプではないために問題が発生することがあります。その場合は、Java セキュリティープロパティーでデフォルトとして指定できます。たとえば、kcadm|kcreg クライアントで操作を行う前に、unix ベースのシステムで次のコマンドを実行します。 

echo "keystore.type=bcfks
fips.keystore.type=bcfks" > /tmp/kcadm.java.security
export KC_OPTS="-Djava.security.properties=/tmp/kcadm.java.security"

17.7. コンテナー内での FIPS モードの Red Hat build of Keycloak サーバー
リンクのコピー

コンテナー内で Red Hat build of Keycloak を FIPS モードで実行する場合は、"ホスト" も FIPS モードを使用する必要があります。その後、コンテナーは親ホストから FIPS モードを "継承" します。詳細は、RHEL ドキュメントの このセクション を参照してください。

Red Hat build of Keycloak のコンテナーイメージは、FIPS モードのホストから実行されると自動的に FIPS モードになります。ただし、Red Hat build of Keycloak コンテナーも起動時に (BC jar ではなく) BCFIPS jar と適切なオプションを使用していることを確認してください。

これに関しては、コンテナー内での Red Hat build of Keycloak の実行 で説明されているように、独自のコンテナーイメージをビルドし、BCFIPS などを使用するように調整するのが最善です。

たとえば、現在のディレクトリーにサブディレクトリー files を作成し、以下を追加できます。

  • 前述の BC FIPS jar ファイル
  • カスタムキーストアファイル (名前の例: keycloak-fips.keystore.bcfks)
  • SAML 用のプロバイダーが追加されたセキュリティーファイル kc.java.security (OpenJDK 21 または新しい OpenJDK 17 では不要)

次に、カレントディレクトリーに次のような Containerfile を作成します。

Containerfile:

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4 as builder

ADD files /tmp/files/

WORKDIR /opt/keycloak
RUN cp /tmp/files/*.jar /opt/keycloak/providers/
RUN cp /tmp/files/keycloak-fips.keystore.* /opt/keycloak/conf/server.keystore
RUN cp /tmp/files/kc.java.security /opt/keycloak/conf/

RUN /opt/keycloak/bin/kc.sh build --features=fips --fips-mode=strict

FROM registry.redhat.io/rhbk/keycloak-rhel9:26.4
COPY --from=builder /opt/keycloak/ /opt/keycloak/

ENTRYPOINT ["/opt/keycloak/bin/kc.sh"]

次に、FIPS 環境を最適化された Docker イメージとしてビルドし、コンテナー内での Red Hat build of Keycloak の実行 の説明に従って起動します。これらの手順では、イメージを起動する際に上記のように因数を使用する必要があります。

17.8. 非 FIPS 環境からの移行
リンクのコピー

以前に Red Hat build of Keycloak を非 FIPS 環境で使用していた場合は、そのデータを含めて FIPS 環境に移行できます。ただし、前のセクションで述べたように、次のような制限と考慮事項が存在します。

  • Red Hat build of Keycloak 25 以降では、パスワードハッシュのデフォルトのアルゴリズムは argon2 です。ただし、このアルゴリズムは FIPS 140-2 ではサポートされていません。つまり、ユーザーが argon2 を使用してパスワードをハッシュした場合、FIPS 環境に切り替えた後はログインできなくなります。FIPS 環境に移行する予定がある場合は、最初から (ユーザーが作成される前に) レルムのパスワードポリシーを設定し、デフォルトのアルゴリズムを、たとえば FIPS 準拠の pbkdf2-sha512 にオーバーライドすることを検討してください。このストラテジーにより、FIPS 環境への移行がスムーズに行われます。これ以外の場合で、ユーザーがすでに argon2 パスワードを使用している場合は、FIPS 環境に移行した後にパスワードをリセットするようユーザーに依頼します。たとえば、ユーザーに "Forget password" を使用するように依頼したり、パスワードをリセットするためのメールをすべてのユーザーに送信したりします。
  • キーストアに依存するすべての Red Hat build of Keycloak 機能が、サポートされているキーストアタイプのみを使用していることを確認してください。これは、strict モードと non-strict モードのどちらが使用されているかによりことなります。
  • Kerberos 認証が機能しない可能性があります。認証フローで Kerberos オーセンティケーターを使用している場合、FIPS 環境に以降すると、そのオーセンティケーターは自動的に DISABLED に切り替わります。FIPS 環境に切り替える前に、レルムから Kerberos ユーザーストレージプロバイダーを削除し、LDAP プロバイダーの Kerberos 関連機能を無効にすることが推奨されます。

FIPS strict モードに切り替える前に、前述の要件に加えて、次の点を必ず再確認してください。

  • キー (レルムキーやクライアントキーなど) に依存するすべての Red Hat build of Keycloak 機能が、2048 ビット以上の RSA Red Hat build of Keycloak を使用していることを確認します。
  • Signed JWT with Client Secret に依存するクライアントが、長さが 14 文字以上のシークレット (理想的には生成されたシークレット) を使用していることを確認します。
  • 前述したパスワードの長さの制限。ユーザーのパスワードがこれよりも短い場合は、前述したように、最大パディング長が 14 に設定された PBKDF2 プロバイダーを使用してサーバーを起動します。この方法を避ける場合は、たとえば全ユーザーに、新しい環境での初回認証時に (Forgot password リンクを使用するなどして) パスワードをリセットするように依頼できます。

17.9. 非 FIPS システム上の Red Hat build of Keycloak FIPS モード
リンクのコピー

Red Hat build of Keycloak は、FIPS 対応の RHEL 8 システムおよび ubi8 イメージでサポートされ、テストされています。RHEL 9 (および ubi9 イメージ) でもサポートされています。RHEL 非互換プラットフォームまたは FIPS 非対応プラットフォームで実行している場合、FIPS 準拠が厳格に保証されることはなく、正式にサポートされません。

そのようなシステム上で Red Hat build of Keycloak を実行するように制限されている場合でも、java.security ファイルで設定されているセキュリティープロバイダーを更新することはできます。それを更新しても、FIPS 準拠には至りませんが、少なくともそれに近づきます。これは、前述のように、セキュリティープロバイダーのオーバーライドされたリストのみを含むカスタムセキュリティーファイルを提供することで実行できます。推奨プロバイダーのリストは、OpenJDK 21 のドキュメント を参照してください。

起動時に Red Hat build of Keycloak サーバーログで、正しいセキュリティープロバイダーが使用されているか確認できます。前述の Keycloak 起動コマンドで説明したように、暗号化関連の Red Hat build of Keycloak パッケージに対して TRACE ロギングが有効になっている必要があります。

第18章 管理インターフェイスの設定
リンクのコピー

メトリクスやヘルスチェックなどのエンドポイント用に Red Hat build of Keycloak 管理インターフェイスを設定します。

管理インターフェイスを使用すると、プライマリー HTTP サーバーとは異なる HTTP サーバー経由で管理エンドポイントにアクセスできます。これにより、/metrics/health などのエンドポイントを外部から隠すことが可能になり、セキュリティーが強化されます。特定の管理ポートが公開されない可能性があるため、最も重要な利点は、Kubernetes 環境で確認できるかもしれません。

18.1. 管理インターフェイスの設定
リンクのコピー

管理インターフェイスは、何かが公開されるとオンになります。メトリクスとヘルスが有効な場合、/metrics/health などの管理エンドポイントはデフォルトの管理ポート 9000 で公開されます。管理インターフェイスには一連のオプションが用意されており、完全に設定可能です。

注記

管理インターフェイスのプロパティーが明示的に設定されていない場合、その値はデフォルトの HTTP サーバーから自動的に継承されます。

18.1.1. ポート
リンクのコピー

管理インターフェイスのポートを変更するには、Red Hat build of Keycloak のオプション http-management-port を使用します。

18.1.2. Relative path
リンクのコピー

管理エンドポイントの接頭辞パスは異なる場合があるため、管理インターフェイスの相対パスを変更できます。これは、Red Hat build of Keycloak のオプション http-management-relative-path を介して実現できます。

たとえば、CLI オプション --http-management-relative-path=/management を設定すると、メトリクスおよびヘルスエンドポイントは /management/metrics および /management/health パスでアクセスされます。

相対パスが指定されると、ユーザーは Red Hat build of Keycloak がホストされているパスに自動的に リダイレクト されます。つまり、相対パスが /management に設定され、ユーザーが localhost:9000/ にアクセスすると、ページは localhost:9000/management にリダイレクトされます。

注記

値を明示的に設定しない場合は、http-relative-path プロパティーの値が使用されます。たとえば、CLI オプション --http-relative-path=/auth を設定すると、これらのエンドポイントは /auth/metrics パスと /auth/health パスでアクセスできます。

18.1.3. TLS サポート
リンクのコピー

TLS がデフォルトの Red Hat build of Keycloak サーバーに設定されている場合、管理インターフェイスはデフォルトで HTTPS 経由でもアクセス可能になります。管理インターフェイスは、メインサーバーの場合のように両方ではなく、HTTP または HTTPS のいずれかでのみ実行できます。

注記

管理インターフェイスで HTTPS を使用しない場合は、http-management-scheme オプションを http に設定できます。

管理用 HTTP サーバーに異なる TLS パラメーターを設定するために、https-management-* というプレフィックスを持つ Red Hat build of Keycloak の特定の管理インターフェイス用オプションが提供されています。これらのオプションの機能は、メインの HTTP サーバー用の対応する機能と同様です。詳細は、TLS の設定 を参照してください。これらのオプションが明示的に設定されていない場合、TLS パラメーターはデフォルトの HTTP サーバーから継承されます。

18.1.4. 管理インターフェイスを無効にする
リンクのコピー

管理インターフェイスは、何も公開されていない場合は自動的にオフになります。現在、管理インターフェースでは、ヘルスチェックとメトリクスのみが公開されています。管理インターフェイス上での公開を無効にする場合は、Red Hat build of Keycloak プロパティー legacy-observability-interfacetrue に設定します。

警告

セキュリティー上の理由から、デフォルトサーバーでヘルスエンドポイントとメトリクスエンドポイントを公開することは推奨されません。常に管理インターフェイスを使用する必要があります。legacy-observability-interface オプションは非推奨となり、今後のリリースで削除予定である点に注意してください。これは、単に移行のための時間を追加することができるだけです。

18.2. 関連するオプション
リンクのコピー

Expand
 

http-management-health-enabled 🛠

ヘルスエンドポイントを管理インターフェイスに公開するかどうか。

false の場合、ヘルスエンドポイントはメインインターフェイスで公開されます。

CLI: --http-management-health-enabled
環境変数: KC_HTTP_MANAGEMENT_HEALTH_ENABLED

ヘルスが有効な場合にのみ使用可能です。

true (デフォルト)、false

http-management-port

管理インターフェイスのポート。

管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --http-management-port
環境変数: KC_HTTP_MANAGEMENT_PORT

9000 (default)

http-management-relative-path 🛠

管理インターフェイスからリソースを提供するための / への相対パスを設定します。

パスは / で始まる必要があります。指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --http-management-relative-path
環境変数: KC_HTTP_MANAGEMENT_RELATIVE_PATH

/ (デフォルト)

http-management-scheme

管理インターフェイススキームを設定します。

inherited の場合、管理インターフェイスはメインインターフェイスの HTTPS 設定を継承します。http の場合、管理インターフェイスは HTTP 経由でアクセスできます。HTTPS 設定は継承されず、HTTPS 用に設定することはできません。

CLI: --http-management-scheme
環境変数: KC_HTTP_MANAGEMENT_SCHEME

httpinherited (デフォルト)

https-management-certificate-file

管理サーバーの PEM 形式のサーバー証明書または証明書チェーンへのファイルパス。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificate-file
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATE_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-certificate-key-file

管理サーバーの PEM 形式の秘密鍵へのファイルパス。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificate-key-file
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATE_KEY_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-certificates-reload-period

管理サーバーの https-management-* オプションによって参照されるキーストア、トラストストア、および証明書ファイルを再読み込みする間隔。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。30 秒より長くする必要があります。無効にするには -1 を使用します。指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificates-reload-period
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATES_RELOAD_PERIOD

http-management-scheme が継承されている場合にのみ使用可能です。

1h (デフォルト)

https-management-client-auth 🛠

クライアント認証を必要とする、または要求するように管理インターフェイスを設定します。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-client-auth
環境変数: KC_HTTPS_MANAGEMENT_CLIENT_AUTH

none (デフォルト)、requestrequired

https-management-key-store-file

管理サーバーに個別のファイルを指定する代わりに、証明書情報を保持するキーストア。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-key-store-file
環境変数: KC_HTTPS_MANAGEMENT_KEY_STORE_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-key-store-password

管理サーバーのキーストアファイルのパスワード。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-key-store-password
環境変数: KC_HTTPS_MANAGEMENT_KEY_STORE_PASSWORD

http-management-scheme が継承されている場合にのみ使用可能です。

password (デフォルト)

legacy-observability-interface 🛠

メトリクス/ヘルスエンドポイントをメイン HTTP サーバーで公開する必要がある場合 (非推奨)。

true に設定すると、管理インターフェイスは無効になります。

CLI: --legacy-observability-interface
環境変数: KC_LEGACY_OBSERVABILITY_INTERFACE

非推奨。

truefalse (デフォルト)

第19章 レルムのインポートとエクスポート
リンクのコピー

レルムを JSON ファイルとしてインポートおよびエクスポートします。

この章では、JSON ファイルを使用してレルムをインポートおよびエクスポートするさまざまな方法を説明します。

19.1. インポート/エクスポートコマンド
リンクのコピー

注記

単一のファイルへのエクスポートやインポートは、ファイルが非常に大きくなり、エクスポート/インポートのプロセス中にメモリー不足を引き起こす可能性があります。データベースに 50,000 人以上のユーザーが含まれている場合は、単一のファイルではなくディレクトリーにエクスポートします。ファイルあたりのユーザー数のデフォルトは 50 ですが、必要に応じてさらに大きな値を使用することもできます。

import および export コマンドは、実質的にはサーバーを完全に起動する前に終了する、サーバーの起動プロセスです。現在、実行中のサーバーインスタンスと同じマシンから実行するようには設計されていないため、ポートやその他の競合が発生する可能性があります。

kc.[sh|bat] export コマンドを使用する前に、すべての Red Hat build of Keycloak ノードを停止することを推奨します。これにより、エクスポート中にユーザーまたはレルムが変更されても、結果に一貫性の問題が発生しなくなります。

オーバーライドオプションを指定して kc.[sh|bat] import コマンドを実行する前に、すべての Red Hat build of Keycloak ノードを停止する必要があります。このコマンドはキャッシュクラスターにアタッチされないため、レルムを上書きするとクラスター内のキャッシュに不整合が生じます。その結果、不整合または古い情報が表示され、使用されることになります。インポートコマンドでレルムを上書きする代わりに、インポートを実行する前に、管理 API を使用して上書きする必要があるレルムを削除することを検討してください。

19.1.1. データベース接続パラメーターのオプションを指定する
リンクのコピー

以下の export および import コマンドを使用する場合、Red Hat build of Keycloak は、レルム、クライアント、ユーザー、およびその他のエンティティーに関する情報が保存されているデータベースに接続する方法を認識している必要があります。Red Hat build of Keycloak の設定 で説明されているように、その情報はコマンドラインパラメーター、環境変数、または設定ファイルとして提供できます。使用可能なオプションを確認するには、各コマンドに対して --help コマンドラインオプションを使用します。

設定オプションの一部は、ビルド時の設定オプションです。デフォルトでは、Red Hat build of Keycloak は、ビルド時のパラメーターにおける変更を検出すると、export および import コマンドに対して自動的に再ビルドします。

Red Hat build of Keycloak の設定 で説明されているように、build コマンドを使用して Red Hat build of Keycloak の最適化バージョンをビルドした場合は、コマンドラインオプション --optimized を使用して、起動時間を短縮するために Red Hat build of Keycloak がビルドチェックをスキップするようにします。その際には、コマンドラインからビルド時オプションを削除し、実行時オプションのみを保持します。

注記

--optimized を使用しない場合、import または export コマンドによって最適化されたビルドが暗黙的に作成または更新される可能性があることに注意してください。サーバーインスタンスと同じマシンからこれらのコマンドを実行している場合は、サーバーの次回の起動に影響する可能性があります。

19.1.2. レルムをディレクトリーにエクスポートする
リンクのコピー

レルムをエクスポートするには、export コマンドを使用します。このコマンドを呼び出すときに、Red Hat build of Keycloak サーバーインスタンスを開始しないでください。 

bin/kc.[sh|bat] export --help

レルムをディレクトリーにエクスポートするには、--dir <dir> オプションを使用できます。 

bin/kc.[sh|bat] export --dir <dir>

レルムをディレクトリーにエクスポートすると、サーバーはエクスポートされるレルムごとに個別のファイルを作成します。

19.1.2.1. ユーザーのエクスポート方法を設定する
リンクのコピー

--users <strategy> オプションを設定することで、ユーザーのエクスポート方法も設定できます。このオプションで使用できる値は次のとおりです。

different_files
--users-per-file で設定したファイルあたりの最大ユーザー数に応じて、ユーザーを別々の json ファイルにエクスポートします。これはデフォルト値です。
skip
ユーザーのエクスポートをスキップします。
realm_file
ユーザーをレルム設定と同じファイルにエクスポートします。"foo" という名前のレルムの場合、レルムデータとユーザーを含む "foo-realm.json" になります。
same_file
すべてのユーザーを 1 つの明示的なファイルにエクスポートします。したがって、1 つのレルムに対して 2 つの json ファイル (レルムデータを含むファイルとユーザーを含むファイルを 1 つずつ) を取得することになります。

different_files ストラテジーを使用してユーザーをエクスポートしている場合は、--users-per-file オプションを設定することで、ファイルごとに必要なユーザー数を設定できます。デフォルト値は 50 です。 

bin/kc.[sh|bat] export --dir <dir> --users different_files --users-per-file 100

19.1.3. レルムをファイルにエクスポートする
リンクのコピー

レルムをファイルにエクスポートするには、--file <file> オプションを使用できます。 

bin/kc.[sh|bat] export --file <file>

レルムをファイルにエクスポートする場合、サーバーは同じファイルを使用して、エクスポートされるすべてのレルムの設定を保存します。

19.1.4. 特定のレルムをエクスポートする
リンクのコピー

エクスポートする特定のレルムを指定しない場合、すべてのレルムがエクスポートされます。単一のレルムをエクスポートする場合、次のように --realm オプションを使用できます。 

bin/kc.[sh|bat] export [--dir|--file] <path> --realm my-realm

19.1.5. インポートファイルの命名規則
リンクのコピー

レルムをエクスポートするときには、特定のファイル名規則が使用されます。これは、ディレクトリーからのインポートや起動時のインポートにも使用する必要があります。インポートするレルムファイルの名前は、<realm name>-realm.json にする必要があります。レルムに関連付けられた通常ユーザーファイルとフェデレーションユーザーファイルの名前は、<realm-name>-users-<file number>.json および <realm-name>-federated-users-<file number>.json にする必要があります。この規則を使用しないと、エラーが発生したり、ユーザーファイルがインポートされなかったりします。

19.1.6. ディレクトリーからレルムをインポートする
リンクのコピー

レルムをインポートするには、import コマンドを使用できます。このコマンドを呼び出すときに、Red Hat build of Keycloak サーバーインスタンスを開始しないでください。 

bin/kc.[sh|bat] import --help

レルムをディレクトリーにエクスポートした後、次のように --dir <dir> オプションを使用してレルムをサーバーにインポートし直すことができます。 

bin/kc.[sh|bat] import --dir <dir>

import コマンドを使用してレルムをインポートする場合、既存のレルムをスキップするかどうか、または新しい設定で既存のレルムをオーバーライドするかどうかを設定できます。そのためには、次のように --override オプションを設定します。 

bin/kc.[sh|bat] import --dir <dir> --override false

デフォルトでは、--override オプションは true に設定されているため、レルムは常に新しい設定でオーバーライドされます。

19.1.7. ファイルからレルムをインポートする
リンクのコピー

以前に単一のファイルでエクスポートしたレルムをインポートするには、次のように --file <file> オプションを使用できます。 

bin/kc.[sh|bat] import --file <file>

19.1.8. レルム設定ファイル内で環境変数を使用する
リンクのコピー

プレースホルダーを使用して、任意のレルム設定の環境変数の値を解決できます。

プレースホルダーを使用したレルム設定

{
    "realm": "${MY_REALM_NAME}",
    "enabled": true,
    ...
}

上記の例では、MY_REALM_NAME 環境変数に設定された値が realm プロパティーの設定に使用されます。

注記

現在、参照できる環境変数に制限はありません。環境変数を使用して機密情報を伝達する場合は、プレースホルダー参照によって機密性の高い環境変数の値が不適切に公開されないように注意してください。

19.2. 起動時にレルムをインポートする
リンクのコピー

サーバーの起動時に、--import-realm オプションを使用してレルムをインポートすることもできます。 

bin/kc.[sh|bat] start --import-realm

--import-realm オプションを設定すると、サーバーは data/import ディレクトリーからレルム設定ファイルをインポートしようとします。このディレクトリーからは .json 拡張子を使用する通常のファイルのみが読み取られ、サブディレクトリーは無視されます。

注記

Red Hat build of Keycloak コンテナーの場合、インポートディレクトリーは /opt/keycloak/data/import です。

すでにレルムがサーバーに存在する場合、インポート操作はスキップされます。この動作の主な理由は、サーバーの再起動時にレルムを再作成し、状態を失う可能性を回避することです。

レルムを再作成するには、サーバーを起動する前に import コマンドを明示的に実行する必要があります。

注記

インポートが完了するまでサーバーは完全に起動しません。

19.3. 管理コンソールを使用したインポートとエクスポート
リンクのコピー

管理コンソールを使用してレルムをインポートおよびエクスポートすることもできます。この機能は、管理コンソールでクラスターがオンラインである必要があるため、前のセクションで説明した他の CLI オプションとは異なります。管理コンソールでは、レルムを 部分的に エクスポートする機能のみも提供されます。この場合、現在のレルム設定と、クライアント、ロール、グループなどの一部のリソースをエクスポートできます。この方法では、そのレルムのユーザーをエクスポートすることは できません

注記

管理コンソールのエクスポートを使用する場合、レルムと選択したリソースが、常に realm-export.json という名前のファイルにエクスポートされます。また、パスワードやクライアントシークレットなどの機密の高い値が、すべて * 記号でマスクされます。

管理コンソールを使用してレルムをエクスポートするには、次の手順を実行します。

  1. レルムを選択します。
  2. メニューで Realm settings をクリックします。

  3. レルム設定画面の右上隅にある Action メニューに移動し、Partial export を選択します。

    レルム設定とともにリソースのリストが表示されます。

  4. エクスポートするリソースを選択します。
  5. Export をクリックします。
注記

管理コンソールからのレルムのエクスポートは、サーバー間のバックアップやデータ転送には適していません。サーバー間のバックアップまたはデータ転送には、CLI エクスポートのみを使用できます。

警告

レルムに多数のグループ、ロール、およびクライアントが含まれている場合、この操作により、サーバーがしばらくの間、ユーザーの要求に応答しなくなる可能性があります。特に本番環境ではこの機能を使用してください。

同様の方法で、以前にエクスポートしたレルムをインポートすることもできます。以下の手順を実行します。

  1. メニューで Realm settings をクリックします。

  2. レルム設定画面の右上隅にある Action メニューに移動し、Partial import を選択します。

    インポートするファイルを選択できるプロンプトが表示されます。このファイルに基づいて、レルム設定とともにインポートできるリソースが表示されます。

  3. Import をクリックします。

インポートするリソースがすでに存在する場合の Red Hat build of Keycloak の動作を制御することもできます。以下のオプションがあります。

Fail import
インポートを中断します。
Skip
プロセスを中断せずに重複リソースをスキップします。
Overwrite
既存のリソースをインポートするリソースに置き換えます。
注記

管理コンソールの部分的なインポートでは、CLI export コマンドによって作成されたファイルもインポートできます。つまり、CLI で作成した完全なエクスポートを、管理コンソールを使用してインポートできます。ファイルにユーザーが含まれている場合、そのユーザーも現在のレルムにインポートできます。

第20章 vault の使用
リンクのコピー

Red Hat build of Keycloak で vault を設定して使用します。

Red Hat build of Keycloak は、すぐに使用できる Vault SPI 実装を 2 つ提供しています。それが、プレーンテキストファイルベースの vault と Java KeyStore ベースの Vault です。

ファイルベースの vault 実装は、Kubernetes/OpenShift シークレットで特に役立ちます。Kubernetes シークレットを Red Hat build of Keycloak コンテナーにマウントでき、データフィールドはフラットファイル構造のマウントされたフォルダーで使用可能になります。

Java KeyStore ベースの vault 実装は、ベアメタルインストールにシークレットを保存するのに役立ちます。パスワードを使用して暗号化された KeyStore vault を使用できます。

20.1. 利用可能な統合
リンクのコピー

vault に保存されたシークレットは、管理コンソールの次の場所で使用できます。

  • SMTP メールサーバーのパスワードを取得します。
  • LDAP ベースのユーザーフェデレーションを使用する場合に LDAP バインド認証情報を取得します。
  • 外部アイデンティティープロバイダーを統合するときに OIDC アイデンティティープロバイダーのクライアントシークレットを取得します。

20.2. vault を有効にする
リンクのコピー

ファイルベースの vault を有効にするには、まず次のビルドオプションを使用して Red Hat build of Keycloak をビルドする必要があります。 

bin/kc.[sh|bat] build --vault=file

同様に、Java KeyStore ベースの場合は、次のビルドオプションを指定する必要があります。 

bin/kc.[sh|bat] build --vault=keystore

20.3. ファイルベースの vault を設定する
リンクのコピー

20.3.1. シークレット検索に使用するベースディレクトリーを設定する
リンクのコピー

Kubernetes/OpenShift シークレットは、基本的にマウントされたファイルです。これらのファイルをマウントするディレクトリーを設定するには、次のコマンドを入力します。 

bin/kc.[sh|bat] start --vault-dir=/my/path

20.3.2. レルム固有のシークレットファイル
リンクのコピー

Kubernetes/OpenShift シークレットは、Red Hat build of Keycloak でレルムごとに使用されるため、ファイルの命名規則を適切に設定する必要があります。 

${vault.<realmname>_<secretname>}

20.4. Java KeyStore ベースの vault を設定する
リンクのコピー

Java KeyStore ベースの vault を使用するには、最初に KeyStore ファイルを作成する必要があります。これを行うには、次のコマンドを使用できます。 

keytool -importpass -alias <realm-name>_<alias> -keystore keystore.p12 -storepass keystorepassword

次に、vault に保存する値を入力します。-alias パラメーターの形式は、使用するキーリゾルバーによって異なることに注意してください。デフォルトのキーリゾルバーは REALM_UNDERSCORE_KEY です。

これにより、デフォルトでは、SecretKeyEntry 内の汎用 PBEKey (パスワードベースの暗号化) の形式で値が保存されます。

その後、次のランタイムオプションを使用して Red Hat build of Keycloak を起動できます。 

bin/kc.[sh|bat] start  --vault-file=/path/to/keystore.p12 --vault-pass=<value> --vault-type=<value>

--vault-type パラメーターはオプションであり、デフォルトは PKCS12 であることに注意してください。

vault に保存されているシークレットは、プレースホルダー ${vault.realm-name_alias} を介してレルム内でアクセスできます (REALM_UNDERSCORE_KEY キーリゾルバーを使用していると仮定)。

20.5. シークレット名にアンダースコアを使用する
リンクのコピー

シークレットを正しく処理するには、<secretname> 内のすべてのアンダースコアを 2 連にします。REALM_UNDERSCORE_KEY キーリゾルバーが使用されている場合、<realmname> 内のアンダースコアも 2 連になり、<secretname> と <realmname> は 1 つのアンダースコアで区切られます。

  • レルム名: sso_realm
  • 予定している名前: ldap_credential
  • 結果のファイル名: 
sso__realm_ldap__credential

ssorealm の間、および ldapcredential の間にアンダースコアが 2 つあることに注意してください。

キーリゾルバーの詳細は、サーバー管理ガイドのキーリゾルバーセクション を参照してください。

20.6. 例: 管理コンソールで LDAP バインド認証情報シークレットを使用する
リンクのコピー

セットアップ例

  • 名前が secrettest のレルム
  • バインド認証情報の名前は ldapBc
  • 結果のファイル名: secrettest_ldapBc

管理コンソールでの使用法

その後、LDAP ユーザーフェデレーションを設定する際に Bind Credential の値として ${vault.ldapBc} を使用することで、管理コンソールからこのシークレットを使用できます。

20.7. 関連するオプション
リンクのコピー

Expand
 

vault 🛠

vault プロバイダーを有効にします。

CLI: --vault
環境変数: KC_VAULT

filekeystore

vault-dir

これを設定すると、指定されたディレクトリー内のファイルの内容を読み取ることでシークレットを取得できます。

CLI: --vault-dir
環境変数: KC_VAULT_DIR

 

vault-file

キーストアファイルへのパス。

CLI: --vault-file
環境変数: KC_VAULT_FILE

 

vault-pass

vault キーストアのパスワード。

CLI: --vault-pass
環境変数: KC_VAULT_PASS

 

vault-type

キーストアファイルの型を指定します。

CLI: --vault-type
環境変数: KC_VAULT_TYPE

PKCS12 (デフォルト)

第21章 すべての設定
リンクのコピー

Red Hat build of Keycloak のビルドオプションと設定を確認します。

21.1. Cache
リンクのコピー

Expand
 

cache

高可用性のためのキャッシュメカニズムを定義します。

実稼働モードのデフォルトでは、複数のサーバーノード間のクラスターは ispn キャッシュを使用して作成されます。開発モードのデフォルトでは、local キャッシュはクラスタリングを無効にし、開発とテスト目的で使用されます。

CLI: --cache
環境変数: KC_CACHE

ispn (デフォルト)、local

cache-config-file

キャッシュ設定のロード元となるファイルを定義します。

設定ファイルは conf/ ディレクトリーに相対です。

CLI: --cache-config-file
環境変数: KC_CACHE_CONFIG_FILE

 

cache-config-mutate

デフォルトのキャッシュ設定の変更を許可するかどうかを決定します。

これは、デフォルトのキャッシュ設定に問題があることが証明されている高度なユースケースにのみ推奨されます。デフォルトのキャッシュ設定を変更する唯一のサポートされている方法は、他の cache-…​ オプションを使用することです。

CLI: --cache-config-mutate
環境変数: KC_CACHE_CONFIG_MUTATE

truefalse (デフォルト)

cache-embedded-authorization-max-count

認可キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-authorization-max-count
環境変数: KC_CACHE_EMBEDDED_AUTHORIZATION_MAX_COUNT

 

cache-embedded-client-sessions-max-count

clientSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-client-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_CLIENT_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-crl-max-count

CRL キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-crl-max-count
環境変数: KC_CACHE_EMBEDDED_CRL_MAX_COUNT

 

cache-embedded-keys-max-count

キーキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-keys-max-count
環境変数: KC_CACHE_EMBEDDED_KEYS_MAX_COUNT

 

cache-embedded-mtls-enabled

Keycloak サーバー間のネットワーク通信を暗号化します。

キーストアとトラストストアに関する追加のパラメーターが指定されていない場合は、一時的なキーペアと証明書が自動的に作成され、ローテーションされます。これは標準設定に推奨されます。

CLI: --cache-embedded-mtls-enabled
環境変数: KC_CACHE_EMBEDDED_MTLS_ENABLED

TCP ベースのキャッシュスタックが使用されている場合にのみ使用可能です。

true (デフォルト)、false

cache-embedded-mtls-key-store-file

キーストアファイルのパス。

キーストアには、TLS プロトコルが使用する証明書が含まれている必要があります。デフォルトでは、conf/ディレクトリーの下にある cache-mtls-keystore.p12 が検索されます。

CLI: --cache-embedded-mtls-key-store-file
環境変数: KC_CACHE_EMBEDDED_MTLS_KEY_STORE_FILE

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-mtls-key-store-password

キーストアにアクセスするためのパスワード。

CLI: --cache-embedded-mtls-key-store-password
環境変数: KC_CACHE_EMBEDDED_MTLS_KEY_STORE_PASSWORD

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-mtls-rotation-interval-days

自動 JGroups MTLS 証明書のローテーション期間 (日数)。

CLI: --cache-embedded-mtls-rotation-interval-days
環境変数: KC_CACHE_EMBEDDED_MTLS_ROTATION_INTERVAL_DAYS

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

30 (デフォルト)

cache-embedded-mtls-trust-store-file

トラストストアファイルのパス。

トラストストアには、信頼済み証明書または証明書に署名した認証局が含まれている必要があります。デフォルトでは、conf/ ディレクトリーの下にある cache-mtls-truststore.p12 が検索されます。

CLI: --cache-embedded-mtls-trust-store-file
環境変数: KC_CACHE_EMBEDDED_MTLS_TRUST_STORE_FILE

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-mtls-trust-store-password

トラストストアにアクセスするためのパスワード。

CLI: --cache-embedded-mtls-trust-store-password
環境変数: KC_CACHE_EMBEDDED_MTLS_TRUST_STORE_PASSWORD

プロパティー 'cache-embedded-mtls-enabled' が有効な場合にのみ使用可能です。

 

cache-embedded-network-bind-address

クラスタリングトランスポートで使用される IP アドレス。

デフォルトでは、SITE_LOCAL が使用されます。

CLI: --cache-embedded-network-bind-address
環境変数: KC_CACHE_EMBEDDED_NETWORK_BIND_ADDRESS

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-network-bind-port

クラスタリングトランスポートがバインドされるポート。

デフォルトではポート 7800 が使用されます。

CLI: --cache-embedded-network-bind-port
環境変数: KC_CACHE_EMBEDDED_NETWORK_BIND_PORT

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-network-external-address

クラスター内の他のインスタンスがこのノードに接続するために使用する IP アドレス。

このインスタンスがファイアウォールの背後にある場合など、cache-embedded-network-bind-address と異なる場合にのみ設定します。

CLI: --cache-embedded-network-external-address
環境変数: KC_CACHE_EMBEDDED_NETWORK_EXTERNAL_ADDRESS

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-network-external-port

クラスター内の他のインスタンスがこのノードに接続するために使用する必要のあるポート。

このインスタンスがファイアウォールの背後にある場合など、cache-embedded-network-bind-port と異なる場合にのみ設定します。

CLI: --cache-embedded-network-external-port
環境変数: KC_CACHE_EMBEDDED_NETWORK_EXTERNAL_PORT

Infinispan クラスター組み込みが有効な場合にのみ使用可能です。

 

cache-embedded-offline-client-sessions-max-count

offlineClientSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-offline-client-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_OFFLINE_CLIENT_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-offline-sessions-max-count

offlineSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-offline-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_OFFLINE_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-realms-max-count

レルムキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-realms-max-count
環境変数: KC_CACHE_EMBEDDED_REALMS_MAX_COUNT

 

cache-embedded-sessions-max-count

セッションキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-sessions-max-count
環境変数: KC_CACHE_EMBEDDED_SESSIONS_MAX_COUNT

組み込み Infinispan クラスターが設定されている場合にのみ使用可能です。

 

cache-embedded-users-max-count

ユーザーキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --cache-embedded-users-max-count
環境変数: KC_CACHE_EMBEDDED_USERS_MAX_COUNT

 

cache-metrics-histograms-enabled

組み込みキャッシュのメトリクスのヒストグラムを有効にします。

CLI: --cache-metrics-histograms-enabled
環境変数: KC_CACHE_METRICS_HISTOGRAMS_ENABLED

メトリクスが有効になっている場合にのみ使用可能です。

truefalse (デフォルト)

cache-remote-backup-sites

外部 Infinispan クラスターが Keycloak データをバックアップするバックアップサイト名のリストを設定します。

CLI: --cache-remote-backup-sites
環境変数: KC_CACHE_REMOTE_BACKUP_SITES

リモートホストが設定されている場合にのみ使用可能です。

 

cache-remote-host

外部 Infinispan クラスターのホスト名。

multi-site または clusterless 機能が設定されている場合にのみ使用可能です。

CLI: --cache-remote-host
環境変数: KC_CACHE_REMOTE_HOST

 

cache-remote-password

外部 Infinispan クラスターへの認証用のパスワード。

セキュアではない外部 Infinispan クラスターに接続する場合はオプションです。オプションを指定する場合は、cache-remote-username も必要です。

CLI: --cache-remote-password
環境変数: KC_CACHE_REMOTE_PASSWORD

リモートホストが設定されている場合にのみ使用可能です。

 

cache-remote-port

外部 Infinispan クラスターのポート。

CLI: --cache-remote-port
環境変数: KC_CACHE_REMOTE_PORT

リモートホストが設定されている場合にのみ使用可能です。

11222 (デフォルト)

cache-remote-tls-enabled

TLS サポートを有効にして、保護されたリモート Infinispan サーバーと通信します。

実稼働環境では有効にすることを推奨します。

CLI: --cache-remote-tls-enabled
環境変数: KC_CACHE_REMOTE_TLS_ENABLED

リモートホストが設定されている場合にのみ使用可能です。

true (デフォルト)、false

cache-remote-username

外部 Infinispan クラスターへの認証用のユーザー名。

セキュアではない外部 Infinispan クラスターに接続する場合はオプションです。オプションを指定する場合は、cache-remote-password も必要です。

CLI: --cache-remote-username
環境変数: KC_CACHE_REMOTE_USERNAME

リモートホストが設定されている場合にのみ使用可能です。

 

cache-stack

クラスター通信とノード検出に使用するデフォルトのスタックを定義します。

設定されていない場合のデフォルトは jdbc-ping です。

CLI: --cache-stack
環境変数: KC_CACHE_STACK

'cache' タイプが 'ispn' に設定されている場合にのみ使用可能です。

この設定を未設定のままにして、代わりに 'jdbc-ping' を使用してください。非推奨値: azureec2googlejdbc-ping-udpkubernetestcpudp

jdbc-pingkubernetes (非推奨)、jdbc-ping-udp (非推奨)、tcp (非推奨)、udp (非推奨)、ec2 (非推奨)、azure (非推奨)、google (非推奨)、または任意の値

21.2. Config
リンクのコピー

Expand
 

config-keystore

KeyStore 設定ソースへのパスを指定します。

CLI: --config-keystore
環境変数: KC_CONFIG_KEYSTORE

 

config-keystore-password

KeyStore 設定ソースへのパスワードを指定します。

CLI: --config-keystore-password
環境変数: KC_CONFIG_KEYSTORE_PASSWORD

 

config-keystore-type

KeyStore 設定ソースのタイプを指定します。

CLI: --config-keystore-type
環境変数: KC_CONFIG_KEYSTORE_TYPE

PKCS12 (デフォルト)

21.3. データベース
リンクのコピー

Expand
 

db 🛠

データベースベンダー

実稼働モードでは、dev-file のデフォルト値は非推奨であるため、代わりに db を明示的に指定する必要があります。

名前付きキー: db-kind-<datasource> 🛠

CLI: --db
環境変数: KC_DB

dev-file (デフォルト), dev-mem, mariadb, mssql, mysql, oracle, postgres, tidb

db-debug-jpql

JPA SQL ステートメントの生成をデバッグするには、SQL ステートメントにコメントとして JPQL 情報を追加します。

名前付きキー: db-debug-jpql-<datasource>

CLI: --db-debug-jpql
環境変数: KC_DB_DEBUG_JPQL

truefalse (デフォルト)

db-driver 🛠

JDBC ドライバーの完全修飾名。

設定されていない場合、選択したデータベースに応じてデフォルトのドライバーが設定されます。

名前付きキー: db-driver-<datasource> 🛠

CLI: --db-driver
環境変数: KC_DB_DRIVER

 

db-log-slow-queries-threshold

設定されたしきい値よりも遅い SQL ステートメントを logger org でログに記録します。

hibernate.SQL_SLOW およびログレベルの情報。

名前付きキー: db-log-slow-queries-threshold-<datasource>

CLI: --db-log-slow-queries-threshold
環境変数: KC_DB_LOG_SLOW_QUERIES_THRESHOLD

10000 (デフォルト)

db-password

データベースユーザーアカウントのパスワード

名前付きキー: db-password-<datasource>

CLI: --db-password
環境変数: KC_DB_PASSWORD

 

db-pool-initial-size

接続プールの初期サイズ。

名前付きキー: db-pool-initial-size-<datasource>

CLI: --db-pool-initial-size
環境変数: KC_DB_POOL_INITIAL_SIZE

 

db-pool-max-lifetime

接続がプール内に留まる最大時間。この時間が経過すると接続は戻ったときに閉じられ、必要に応じて置き換えられます。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。

CLI: --db-pool-max-lifetime
環境変数: KC_DB_POOL_MAX_LIFETIME

 

db-pool-max-size

接続プールの最大サイズ。

名前付きキー: db-pool-max-size-<datasource>

CLI: --db-pool-max-size
環境変数: KC_DB_POOL_MAX_SIZE

100 (デフォルト)

db-pool-min-size

接続プールの最小サイズ。

名前付きキー: db-pool-min-size-<datasource>

CLI: --db-pool-min-size
環境変数: KC_DB_POOL_MIN_SIZE

 

db-schema

使用するデータベーススキーマ

名前付きキー: db-schema-<datasource>

CLI: --db-schema
環境変数: KC_DB_SCHEMA

 

db-url

データベースの完全な JDBC URL

指定しない場合、選択したデータベースベンダーに基づきデフォルト URL が設定されます。たとえば、postgres を使用している場合、デフォルトの JDBC URL は jdbc:postgresql://localhost/keycloak になります。

名前付きキー: db-url-full-<datasource>

CLI: --db-url
環境変数: KC_DB_URL

 

db-url-database

選択したベンダーのデフォルト JDBC URL のデータベース名を設定します。

db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-database-<datasource>

CLI: --db-url-database
環境変数: KC_DB_URL_DATABASE

 

db-url-host

選択したベンダーのデフォルト JDBC URL のホスト名を設定します。

db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-host-<datasource>

CLI: --db-url-host
環境変数: KC_DB_URL_HOST

 

db-url-port

選択したベンダーのデフォルト JDBC URL のポートを設定します。

db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-port-<datasource>

CLI: --db-url-port
環境変数: KC_DB_URL_PORT

 

db-url-properties

選択したベンダーのデフォルト JDBC URL のプロパティーを設定します。

データベースベンダーが想定する形式に従ってプロパティーを設定し、そのプロパティー値の先頭に正しい文字を追加してください。db-url オプションが設定されている場合、このオプションは無視されます。

名前付きキー: db-url-properties-<datasource>

CLI: --db-url-properties
環境変数: KC_DB_URL_PROPERTIES

 

db-username

データベースユーザーのユーザー名

名前付きキー: db-username-<datasource>

CLI: --db-username
環境変数: KC_DB_USERNAME

 

21.4. データベース - 追加のデータソース
リンクのコピー

Expand
 

db-debug-jpql-<datasource>

名前付き <datasource> に使用されます。

JPA SQL ステートメントの生成をデバッグするには、SQL ステートメントにコメントとして JPQL 情報を追加します。

CLI: --db-debug-jpql-<datasource>
環境変数: KC_DB_DEBUG_JPQL_<DATASOURCE>

truefalse (デフォルト)

db-driver-<datasource> 🛠

名前付き <datasource> に使用されます。

JDBC ドライバーの完全修飾名。設定されていない場合、選択したデータベースに応じてデフォルトのドライバーが設定されます。

CLI: --db-driver-<datasource>
環境変数: KC_DB_DRIVER_<DATASOURCE>

 

db-enabled-<datasource>

名前付きデータソース <datasource> をランタイムに有効にするかどうか。

CLI: --db-enabled-<datasource>
環境変数: KC_DB_ENABLED_<DATASOURCE>

true (デフォルト)、false

db-kind-<datasource> 🛠

名前付き <datasource> に使用されます。

データベースベンダー。実稼働モードでは、dev-file のデフォルト値は非推奨となり、代わりに db を明示的に指定する必要があります。

CLI: --db-kind-<datasource>
環境変数: KC_DB_KIND_<DATASOURCE>

dev-file, dev-mem, mariadb, mssql, mysql, oracle, postgres, tidb

db-log-slow-queries-threshold-<datasource>

名前付き <datasource> に使用されます。

設定されたしきい値よりも遅い SQL ステートメントを、ロガー org.hibernate.SQL_SLOW と log-level 情報を使用してログに記録します。

CLI: --db-log-slow-queries-threshold-<datasource>
環境変数: KC_DB_LOG_SLOW_QUERIES_THRESHOLD_<DATASOURCE>

10000 (デフォルト)

db-password-<datasource>

名前付き <datasource> に使用されます。

データベースユーザーアカウントのパスワード

CLI: --db-password-<datasource>
環境変数: KC_DB_PASSWORD_<DATASOURCE>

 

db-pool-initial-size-<datasource>

名前付き <datasource> に使用されます。

接続プールの初期サイズ。

CLI: --db-pool-initial-size-<datasource>
環境変数: KC_DB_POOL_INITIAL_SIZE_<DATASOURCE>

 

db-pool-max-size-<datasource>

名前付き <datasource> に使用されます。

接続プールの最大サイズ。

CLI: --db-pool-max-size-<datasource>
環境変数: KC_DB_POOL_MAX_SIZE_<DATASOURCE>

100 (デフォルト)

db-pool-min-size-<datasource>

名前付き <datasource> に使用されます。

接続プールの最小サイズ。

CLI: --db-pool-min-size-<datasource>
環境変数: KC_DB_POOL_MIN_SIZE_<DATASOURCE>

 

db-schema-<datasource>

名前付き <datasource> に使用されます。

使用するデータベーススキーマ

CLI: --db-schema-<datasource>
環境変数: KC_DB_SCHEMA_<DATASOURCE>

 

db-url-database-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のデータベース名を設定します。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-database-<datasource>
環境変数: KC_DB_URL_DATABASE_<DATASOURCE>

 

db-url-full-<datasource>

名前付き <datasource> に使用されます。

データベースの完全な JDBC URL。指定しない場合、選択したデータベースベンダーに基づきデフォルト URL が設定されます。たとえば、postgres を使用している場合、デフォルトの JDBC URL は jdbc:postgresql://localhost/keycloak になります。

CLI: --db-url-full-<datasource>
環境変数: KC_DB_URL_FULL_<DATASOURCE>

 

db-url-host-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のホスト名を設定します。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-host-<datasource>
環境変数: KC_DB_URL_HOST_<DATASOURCE>

 

db-url-port-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のポートを設定します。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-port-<datasource>
環境変数: KC_DB_URL_PORT_<DATASOURCE>

 

db-url-properties-<datasource>

名前付き <datasource> に使用されます。

選択したベンダーのデフォルト JDBC URL のプロパティーを設定します。データベースベンダーが想定する形式に従ってプロパティーを設定し、そのプロパティー値の先頭に正しい文字を追加してください。db-url オプションが設定されている場合、このオプションは無視されます。

CLI: --db-url-properties-<datasource>
環境変数: KC_DB_URL_PROPERTIES_<DATASOURCE>

 

db-username-<datasource>

名前付き <datasource> に使用されます。

データベースユーザーのユーザー名

CLI: --db-username-<datasource>
環境変数: KC_DB_USERNAME_<DATASOURCE>

 

21.5. トランザクション
リンクのコピー

Expand
 

transaction-xa-enabled 🛠

true に設定すると、XA データソースが使用されます。

名前付きキー: transaction-xa-enabled-<datasource> 🛠

CLI: --transaction-xa-enabled
環境変数: KC_TRANSACTION_XA_ENABLED

truefalse (デフォルト)

transaction-xa-enabled-<datasource> 🛠

true に設定すると、<datasource> データソースの XA が使用されます。

CLI: --transaction-xa-enabled-<datasource>
環境変数: KC_TRANSACTION_XA_ENABLED_<DATASOURCE>

true (デフォルト)、false

21.6. 機能
リンクのコピー

Expand
 

features 🛠

1 つ以上の機能セットを有効にします。

CLI: --features
環境変数: KC_FEATURES

account-api[:v1], account[:v3], admin-api[:v1], admin-fine-grained-authz[:v1,v2], admin[:v2], authorization[:v1], ciba[:v1], client-auth-federated[:v1], client-policies[:v1], client-secret-rotation[:v1], client-types[:v1], clusterless[:v1], db-tidb[:v1], declarative-ui[:v1], device-flow[:v1], docker[:v1], dpop[:v1], dynamic-scopes[:v1], fips[:v1], hostname[:v2], impersonation[:v1], instagram-broker[:v1], ipa-tuura-federation[:v1], kerberos[:v1], kubernetes-service-accounts[:v1], log-mdc[:v1], login[:v2,v1], logout-all-sessions[:v1], multi-site[:v1], oid4vc-vci[:v1], opentelemetry[:v1], organization[:v1], par[:v1], passkeys-conditional-ui-authenticator[:v1], passkeys[:v1], persistent-user-sessions[:v1], preview, quick-theme[:v1], recovery-codes[:v1], rolling-updates[:v1,v2], scripts[:v1], spiffe[:v1], step-up-authentication[:v1], token-exchange-external-internal[:v2], token-exchange-standard[:v2], token-exchange[:v1], transient-users[:v1], update-email[:v1], user-event-metrics[:v1], web-authn[:v1], workflows[:v1]

features-disabled 🛠

1 つ以上の機能のセットを無効にします。

CLI: --features-disabled
環境変数: KC_FEATURES_DISABLED

account, account-api, admin, admin-api, admin-fine-grained-authz, authorization, ciba, client-auth-federated, client-policies, client-secret-rotation, client-types, clusterless, db-tidb, declarative-ui, device-flow, docker, dpop, dynamic-scopes, fips, impersonation, instagram-broker, ipa-tuura-federation, kerberos, kubernetes-service-accounts, log-mdc, login, logout-all-sessions, multi-site, oid4vc-vci, opentelemetry, organization, par, passkeys, passkeys-conditional-ui-authenticator, persistent-user-sessions, preview, quick-theme, recovery-codes, rolling-updates, scripts, spiffe, step-up-authentication, token-exchange, token-exchange-external-internal, token-exchange-standard, transient-users, update-email, user-event-metrics, web-authn, workflows

21.7. ホスト名 v2
リンクのコピー

Expand
 

hostname

サーバーが公開されているアドレス。

完全な URL またはホスト名のみを指定できます。ホスト名のみが指定されている場合、スキーム、ポート、コンテキストパスはリクエストから解決されます。

CLI: --hostname
環境変数: KC_HOSTNAME

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

hostname-admin

管理コンソールにアクセスするためのアドレス。

hostname オプションで指定されたアドレスとは異なるアドレスで、リバースプロキシーを使用して管理コンソールを公開する場合は、このオプションを使用します。

CLI: --hostname-admin
環境変数: KC_HOSTNAME_ADMIN

ホスト名:v2 機能が有効な場合にのみ使用可能です。

 

hostname-backchannel-dynamic

ホスト名、スキーム、ポート、コンテキストパスを含むバックチャネル URL の動的な解決を有効にします。

アプリケーションがプライベートネットワーク経由で Keycloak にアクセスする場合は true に設定します。true に設定する場合、hostname オプションを完全な URL として指定する必要があります。

CLI: --hostname-backchannel-dynamic
環境変数: KC_HOSTNAME_BACKCHANNEL_DYNAMIC

ホスト名:v2 機能が有効な場合にのみ使用可能です。

truefalse (デフォルト)

hostname-debug

/realms/master/hostname-debug でアクセスできるホスト名のデバッグページを切り替えます。

CLI: --hostname-debug
環境変数: KC_HOSTNAME_DEBUG

ホスト名:v2 機能が有効な場合にのみ使用可能です。

truefalse (デフォルト)

hostname-strict

要求ヘッダーからのホスト名の動的解決を無効にします。

リバースプロキシーが Host ヘッダーを上書きしない限り、実稼働環境では常に true に設定する必要があります。有効な場合は、hostname オプションを指定する必要があります。

CLI: --hostname-strict
環境変数: KC_HOSTNAME_STRICT

ホスト名:v2 機能が有効な場合にのみ使用可能です。

true (デフォルト)、false

21.8. HTTP(S)
リンクのコピー

Expand
 

http-accept-non-normalized-paths

RFC3986 に従って正規化されていないパス、またはダブルスラッシュ (//) やセミコロン (;) を含むパスをサーバーが受け入れる必要があるかどうか。

これらのリクエストを受け入れることはレガシーアプリケーションに関連する可能性がありますが、より簡潔な URL フィルタリングを可能にするために無効化することが推奨されます。

CLI: --http-accept-non-normalized-paths
環境変数: KC_HTTP_ACCEPT_NON_NORMALIZED_PATHS

非推奨。

truefalse (デフォルト)

http-enabled

HTTP リスナーを有効にします。

開発モードではデフォルトで有効になっています。通常、サーバーの前面に TLS Termination プロキシーがない限り、実稼働環境では有効になりません。

CLI: --http-enabled
環境変数: KC_HTTP_ENABLED

truefalse (デフォルト)

http-host

HTTP ホスト。

CLI: --http-host
環境変数: KC_HTTP_HOST

0.0.0.0 (デフォルト)

http-max-queued-requests

キューに入れる HTTP 要求の最大数。

これは過負荷状況で負荷を軽減するために使用します。要求数が超過すると、"503 Server not Available" という応答が返されます。

CLI: --http-max-queued-requests
環境変数: KC_HTTP_MAX_QUEUED_REQUESTS

 

http-metrics-histograms-enabled

HTTP サーバー要求の継続期間のデフォルトバケットを使用したヒストグラムを有効にします。

CLI: --http-metrics-histograms-enabled
環境変数: KC_HTTP_METRICS_HISTOGRAMS_ENABLED

メトリクスが有効になっている場合にのみ使用可能です。

truefalse (デフォルト)

http-metrics-slos

HTTP サーバー要求のサービスレベル目標。

デフォルトのヒストグラムの代わりにこれを使用するか、これを組み合わせて追加のバケットを追加します。ミリ秒単位で定義されたコンマ区切りの値のリストを指定します。5ms から 10s までのバケットの例: 5,10,25,50,250,500,1000,2500,5000,10000

CLI: --http-metrics-slos
環境変数: KC_HTTP_METRICS_SLOS

メトリクスが有効になっている場合にのみ使用可能です。

 

http-pool-max-threads

最大スレッド数。

これを指定しない場合は、使用可能なプロセッサーの数の 4 倍と 50 のいずれか大きい方に自動的にサイズが設定されます。たとえば、プロセッサーが 4 個の場合、最大スレッド数は 50 になります。プロセッサーが 48 個の場合は、最大スレッド数は 192 になります。

CLI: --http-pool-max-threads
環境変数: KC_HTTP_POOL_MAX_THREADS

 

http-port

使用された HTTP ポート。

CLI: --http-port
環境変数: KC_HTTP_PORT

8080 (デフォルト)

http-relative-path 🛠

リソースの提供に使用する、/ に相対するパスを設定します。

パスは / で始まる必要があります。

CLI: --http-relative-path
環境変数: KC_HTTP_RELATIVE_PATH

/ (デフォルト)

https-certificate-file

PEM 形式のサーバー証明書または証明書チェーンへのファイルパス。

CLI: --https-certificate-file
環境変数: KC_HTTPS_CERTIFICATE_FILE

 

https-certificate-key-file

PEM 形式の秘密鍵へのファイルパス。

CLI: --https-certificate-key-file
環境変数: KC_HTTPS_CERTIFICATE_KEY_FILE

 

https-certificates-reload-period

https-* オプションによって参照されるキーストア、トラストストア、および証明書ファイルを再ロードする間隔。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。30 秒より長くする必要があります。無効にするには -1 を使用します。

CLI: --https-certificates-reload-period
環境変数: KC_HTTPS_CERTIFICATES_RELOAD_PERIOD

1h (デフォルト)

https-cipher-suites

使用する暗号スイート。

指定されていない場合、適切なデフォルトが選択されます。

CLI: --https-cipher-suites
環境変数: KC_HTTPS_CIPHER_SUITES

 

https-client-auth 🛠

クライアント認証を必要とする、または要求するようにサーバーを設定します。

CLI: --https-client-auth
環境変数: KC_HTTPS_CLIENT_AUTH

none (デフォルト)、requestrequired

https-key-store-file

個別のファイルを指定する代わりに、証明書情報を保持するキーストア。

CLI: --https-key-store-file
環境変数: KC_HTTPS_KEY_STORE_FILE

 

https-key-store-password

キーストアファイルのパスワード

CLI: --https-key-store-password
環境変数: KC_HTTPS_KEY_STORE_PASSWORD

password (デフォルト)

https-key-store-type

キーストアファイルの型。

指定されていない場合、タイプはファイルエクステンションに基き自動的に型が検出されます。fips-modestrict に設定され、値が設定されていない場合、デフォルトの BCFKS になります。

CLI: --https-key-store-type
環境変数: KC_HTTPS_KEY_STORE_TYPE

 

https-port

使用される HTTPS ポート。

CLI: --https-port
環境変数: KC_HTTPS_PORT

8443 (デフォルト)

https-protocols

明示的に有効にするプロトコルのリスト。

値が JRE/セキュリティー設定でサポートされていない場合は通知なしに無視されます。

CLI: --https-protocols
環境変数: KC_HTTPS_PROTOCOLS

TLSv1.3TLSv1.2、または任意。

https-trust-store-file

信頼する証明書の証明書情報を保持するトラストストア。

CLI: --https-trust-store-file
環境変数: KC_HTTPS_TRUST_STORE_FILE

 

https-trust-store-password

トラストストアファイルのパスワード。

CLI: --https-trust-store-password
環境変数: KC_HTTPS_TRUST_STORE_PASSWORD

 

https-trust-store-type

トラストストアファイルの型。

指定されていない場合、タイプはファイルエクステンションに基き自動的に型が検出されます。fips-modestrict に設定され、値が設定されていない場合、デフォルトの BCFKS になります。

CLI: --https-trust-store-type
環境変数: KC_HTTPS_TRUST_STORE_TYPE

 

21.9. HTTP アクセスログ
リンクのコピー

Expand
 

http-access-log-enabled

HTTP アクセスロギングが有効になっている場合。

デフォルトでは、コンソールにレコードが記録されます。

CLI: --http-access-log-enabled
環境変数: KC_HTTP_ACCESS_LOG_ENABLED

truefalse (デフォルト)

http-access-log-exclude

一部のパスをロギングから除外するために使用できる正規表現。

たとえば、/realms/my-realm/.* は、レルム my-realm の後続のすべてのエンドポイントをログから除外します。

CLI: --http-access-log-exclude
環境変数: KC_HTTP_ACCESS_LOG_EXCLUDE

HTTP アクセスログが有効な場合にのみ使用可能です。

 

http-access-log-pattern

HTTP アクセスログパターン。

利用可能な名前付きフォーマットを使用することも、Quarkus ドキュメントに記載されているカスタムフォーマットを使用することもできます。

CLI: --http-access-log-pattern
環境変数: KC_HTTP_ACCESS_LOG_PATTERN

HTTP アクセスログが有効な場合にのみ使用可能です。

common (デフォルト)、combinedlong、または任意の値

21.10. ヘルス
リンクのコピー

Expand
 

health-enabled 🛠

サーバーがヘルスチェックエンドポイントを公開する必要があるかどうか。

有効にすると、/health/health/ready、および /health/live エンドポイントでヘルスチェックが利用可能になります。

CLI: --health-enabled
環境変数: KC_HEALTH_ENABLED

truefalse (デフォルト)

21.11. 管理
リンクのコピー

Expand
 

http-management-health-enabled 🛠

ヘルスエンドポイントを管理インターフェイスに公開するかどうか。

false の場合、ヘルスエンドポイントはメインインターフェイスで公開されます。

CLI: --http-management-health-enabled
環境変数: KC_HTTP_MANAGEMENT_HEALTH_ENABLED

ヘルスが有効な場合にのみ使用可能です。

true (デフォルト)、false

http-management-port

管理インターフェイスのポート。

管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --http-management-port
環境変数: KC_HTTP_MANAGEMENT_PORT

9000 (default)

http-management-relative-path 🛠

管理インターフェイスからリソースを提供するための / への相対パスを設定します。

パスは / で始まる必要があります。指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --http-management-relative-path
環境変数: KC_HTTP_MANAGEMENT_RELATIVE_PATH

/ (デフォルト)

http-management-scheme

管理インターフェイススキームを設定します。

inherited の場合、管理インターフェイスはメインインターフェイスの HTTPS 設定を継承します。http の場合、管理インターフェイスは HTTP 経由でアクセスできます。HTTPS 設定は継承されず、HTTPS 用に設定することはできません。

CLI: --http-management-scheme
環境変数: KC_HTTP_MANAGEMENT_SCHEME

httpinherited (デフォルト)

https-management-certificate-file

管理サーバーの PEM 形式のサーバー証明書または証明書チェーンへのファイルパス。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificate-file
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATE_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-certificate-key-file

管理サーバーの PEM 形式の秘密鍵へのファイルパス。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificate-key-file
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATE_KEY_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-certificates-reload-period

管理サーバーの https-management-* オプションによって参照されるキーストア、トラストストア、および証明書ファイルを再読み込みする間隔。

ISO 8601 の duration 値、秒単位の整数、または整数の後に [ms、h、m、s、d] のいずれかが続く形式である可能性があります。30 秒より長くする必要があります。無効にするには -1 を使用します。指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-certificates-reload-period
環境変数: KC_HTTPS_MANAGEMENT_CERTIFICATES_RELOAD_PERIOD

http-management-scheme が継承されている場合にのみ使用可能です。

1h (デフォルト)

https-management-client-auth 🛠

クライアント認証を必要とする、または要求するように管理インターフェイスを設定します。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-client-auth
環境変数: KC_HTTPS_MANAGEMENT_CLIENT_AUTH

none (デフォルト)、requestrequired

https-management-key-store-file

管理サーバーに個別のファイルを指定する代わりに、証明書情報を保持するキーストア。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-key-store-file
環境変数: KC_HTTPS_MANAGEMENT_KEY_STORE_FILE

http-management-scheme が継承されている場合にのみ使用可能です。

 

https-management-key-store-password

管理サーバーのキーストアファイルのパスワード。

指定しない場合は、値は HTTP オプションから継承されます。管理インターフェイスに何かが公開されている場合にのみ関連します。詳細はガイドを参照してください。

CLI: --https-management-key-store-password
環境変数: KC_HTTPS_MANAGEMENT_KEY_STORE_PASSWORD

http-management-scheme が継承されている場合にのみ使用可能です。

password (デフォルト)

legacy-observability-interface 🛠

メトリクス/ヘルスエンドポイントをメイン HTTP サーバーで公開する必要がある場合 (非推奨)。

true に設定すると、管理インターフェイスは無効になります。

CLI: --legacy-observability-interface
環境変数: KC_LEGACY_OBSERVABILITY_INTERFACE

非推奨。

truefalse (デフォルト)

21.12. メトリクス
リンクのコピー

Expand
 

metrics-enabled 🛠

サーバーがメトリクスを公開する必要があるかどうか。

有効にすると、/metrics エンドポイントでメトリクスを利用できるようになります。

CLI: --metrics-enabled
環境変数: KC_METRICS_ENABLED

truefalse (デフォルト)

21.13. Proxy
リンクのコピー

Expand
 

proxy-headers

サーバーが受け入れる必要があるプロキシーヘッダー。

設定を誤ると、サーバーがセキュリティー上の脆弱性にさらされる可能性があります。非推奨のプロキシーオプションよりも優先されます。

CLI: --proxy-headers
環境変数: KC_PROXY_HEADERS

forwardedxforwarded

proxy-protocol-enabled

プロキシーの背後からのリクエストを処理するときに、サーバーが HA PROXY プロトコルを使用するかどうか。

true に設定すると、返されるリモートアドレスは実際の接続クライアントからのアドレスになります。proxy-headers が使用されている場合は有効にできません。

CLI: --proxy-protocol-enabled
環境変数: KC_PROXY_PROTOCOL_ENABLED

truefalse (デフォルト)

proxy-trusted-addresses

信頼できるプロキシーアドレスのコンマ区切りリスト。

設定されている場合、他のアドレスからのプロキシーヘッダーは無視されます。デフォルトではすべてのアドレスが信頼されます。信頼できるプロキシーアドレスは、IP アドレス (IPv4 または IPv6) または Classless Inter-Domain Routing (CIDR) 表記として指定されます。proxy-headers が設定されている場合にのみ使用可能です。

CLI: --proxy-trusted-addresses
環境変数: KC_PROXY_TRUSTED_ADDRESSES

 

21.14. Vault
リンクのコピー

Expand
 

vault 🛠

vault プロバイダーを有効にします。

CLI: --vault
環境変数: KC_VAULT

filekeystore

vault-dir

これを設定すると、指定されたディレクトリー内のファイルの内容を読み取ることでシークレットを取得できます。

CLI: --vault-dir
環境変数: KC_VAULT_DIR

 

vault-file

キーストアファイルへのパス。

CLI: --vault-file
環境変数: KC_VAULT_FILE

 

vault-pass

vault キーストアのパスワード。

CLI: --vault-pass
環境変数: KC_VAULT_PASS

 

vault-type

キーストアファイルの型を指定します。

CLI: --vault-type
環境変数: KC_VAULT_TYPE

PKCS12 (デフォルト)

21.15. Logging
リンクのコピー

Expand
 

log

コンマ区切りリストで 1 つ以上のログハンドラーを有効にします。

CLI: --log
環境変数: KC_LOG

consolefilesyslog

log-async

すべてのハンドラーに非同期でログを記録するかどうかを示します。

CLI: --log-async
環境変数: KC_LOG_ASYNC

truefalse (デフォルト)

log-console-async

コンソールに非同期でログを記録するかどうかを示します。

設定されていない場合は、親プロパティー log-async の値が使用されます。

CLI: --log-console-async
環境変数: KC_LOG_CONSOLE_ASYNC

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-console-async-queue-length

コンソールにログを記録する際に、書き込みをフラッシュする前に使用するキューの長さ。

CLI: --log-console-async-queue-length
環境変数: KC_LOG_CONSOLE_ASYNC_QUEUE_LENGTH

Console ログハンドラーがアクティブ化され、非同期ロギングが有効になっている場合にのみ使用可能です。

512 (デフォルト)

log-console-color

コンソールへのログイン時に、色を有効または無効にします。

CLI: --log-console-color
環境変数: KC_LOG_CONSOLE_COLOR

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-console-format

非構造化コンソールログエントリーの形式。

形式にスペースが含まれている場合は、"<format>" を使用して値をエスケープします。

CLI: --log-console-format
環境変数: KC_LOG_CONSOLE_FORMAT

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n (デフォルト)

log-console-include-mdc

コンソールログに mdc 情報を含めます。

log-console-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-console-include-mdc
環境変数: KC_LOG_CONSOLE_INCLUDE_MDC

Console ログハンドラーと MDC ロギングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-console-include-trace

コンソールログにトレーシング情報を含めます。

log-console-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-console-include-trace
環境変数: KC_LOG_CONSOLE_INCLUDE_TRACE

Console ログハンドラーとトレーシングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-console-json-format

生成される JSON の形式を設定します。

CLI: --log-console-json-format
環境変数: KC_LOG_CONSOLE_JSON_FORMAT

Console ログハンドラーがアクティブ化され、出力が 'json' に設定されている場合にのみ使用可能です。

default (デフォルト)、ecs

log-console-level

コンソールハンドラーのログレベルを設定します。

出力に表示されるログの最も詳細なログレベルを指定します。これは、ロギングシステム全体の最大の詳細度を表す、log-level オプションで指定されたレベルを考慮します。詳細は、ロギングガイドを参照してください。

CLI: --log-console-level
環境変数: KC_LOG_CONSOLE_LEVEL

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

off, fatal, error, warn, info, debug, trace, all (デフォルト)

log-console-output

ログ出力を、JSON またはデフォルトの (プレーン) 非構造化ロギングに設定します。

CLI: --log-console-output
環境変数: KC_LOG_CONSOLE_OUTPUT

Console ログハンドラーがアクティブ化されている場合にのみ使用可能です。

default (デフォルト)、json

log-file

ログファイルのパスとファイル名を設定します。

CLI: --log-file
環境変数: KC_LOG_FILE

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

data/log/keycloak.log (デフォルト)

log-file-async

ファイルログに非同期でログを記録するかどうかを示します。

設定されていない場合は、親プロパティー log-async の値が使用されます。

CLI: --log-file-async
環境変数: KC_LOG_FILE_ASYNC

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-file-async-queue-length

ファイルログに記録する際に、書き込みをフラッシュする前に使用するキューの長さ。

CLI: --log-file-async-queue-length
環境変数: KC_LOG_FILE_ASYNC_QUEUE_LENGTH

File ログハンドラーがアクティブ化され、非同期ロギングが有効になっている場合にのみ使用可能です。

512 (デフォルト)

log-file-format

ファイルログエントリーに固有の形式を設定します。

CLI: --log-file-format
環境変数: KC_LOG_FILE_FORMAT

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n (デフォルト)

log-file-include-mdc

ファイルログに MDC 情報を含めます。

log-file-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-file-include-mdc
環境変数: KC_LOG_FILE_INCLUDE_MDC

File ログハンドラーと MDC ロギングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-file-include-trace

ファイルログにトレーシング情報を含めます。

log-file-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-file-include-trace
環境変数: KC_LOG_FILE_INCLUDE_TRACE

File ログハンドラーとトレーシングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-file-json-format

生成される JSON の形式を設定します。

CLI: --log-file-json-format
環境変数: KC_LOG_FILE_JSON_FORMAT

File ログハンドラーがアクティブ化され、出力が 'json' に設定されている場合にのみ使用可能です。

default (デフォルト)、ecs

log-file-level

ファイルハンドラーのログレベルを設定します。

出力に表示されるログの最も詳細なログレベルを指定します。これは、ロギングシステム全体の最大の詳細度を表す、log-level オプションで指定されたレベルを考慮します。詳細は、ロギングガイドを参照してください。

CLI: --log-file-level
環境変数: KC_LOG_FILE_LEVEL

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

off, fatal, error, warn, info, debug, trace, all (デフォルト)

log-file-output

ログ出力を、JSON またはデフォルトの (プレーン) 非構造化ロギングに設定します。

CLI: --log-file-output
環境変数: KC_LOG_FILE_OUTPUT

File ログハンドラーがアクテ化されている場合にのみ使用可能です。

default (デフォルト)、json

log-level

ルートカテゴリーのログレベル、または個々のカテゴリーとそのレベルのコンマ区切りリスト。

ルートカテゴリーの場合、カテゴリーを指定する必要はありません。

CLI: --log-level
環境変数: KC_LOG_LEVEL

[info] (デフォルト)

log-level-<category>

カテゴリーのログレベル。

log-level オプションよりも優先されます。

CLI: --log-level-<category>
環境変数: KC_LOG_LEVEL_<CATEGORY>

off, fatal, error, warn, info, debug, trace, all

log-mdc-enabled 🛠

Mapped Diagnostic Context に、レルム情報やその他の情報を追加するかどうかを示します。

すべての要素には kc. という接頭辞が付きます。

CLI: --log-mdc-enabled
環境変数: KC_LOG_MDC_ENABLED

log-mdc プレビュー機能が有効になっている場合にのみ使用可能です。

truefalse (デフォルト)

log-mdc-keys

Mapped Diagnostic Context にコンマ区切りのリストとして追加する情報を定義します。

CLI: --log-mdc-keys
環境変数: KC_LOG_MDC_KEYS

MDC ロギングが有効になっている場合にのみ使用可能です。

realmNameclientIduserIdipAddressorgsessionIdauthenticationSessionIdauthenticationTabId

log-syslog-app-name

メッセージを RFC5424 形式でフォーマットするときに使用するアプリケーション名を設定します。

CLI: --log-syslog-app-name
環境変数: KC_LOG_SYSLOG_APP_NAME

Syslog がアクティブ化されている場合にのみ使用可能です。

keycloak (デフォルト)

log-syslog-async

Syslog に非同期でログを記録するかどうかを示します。

設定されていない場合は、親プロパティー log-async の値が使用されます。

CLI: --log-syslog-async
環境変数: KC_LOG_SYSLOG_ASYNC

Syslog がアクティブ化されている場合にのみ使用可能です。

truefalse (デフォルト)

log-syslog-async-queue-length

Syslog にログを記録する際に、書き込みをフラッシュする前に使用するキューの長さ。

CLI: --log-syslog-async-queue-length
環境変数: KC_LOG_SYSLOG_ASYNC_QUEUE_LENGTH

Syslog がアクティブ化され、非同期ロギングが有効になっている場合にのみ使用可能です。

512 (デフォルト)

log-syslog-counting-framing

true の場合、送信されるメッセージの先頭に、そのメッセージのサイズが付加されます。

protocol-dependent の場合、log-syslog-protocoltcp または ssl-tcp のときはデフォルト値は true、それ以外のときは false になります。

CLI: --log-syslog-counting-framing
環境変数: KC_LOG_SYSLOG_COUNTING_FRAMING

Syslog がアクティブ化されている場合にのみ使用可能です。

truefalseprotocol-dependent (デフォルト)

log-syslog-endpoint

Syslog サーバーの IP アドレスとポートを設定します。

CLI: --log-syslog-endpoint
環境変数: KC_LOG_SYSLOG_ENDPOINT

Syslog がアクティブ化されている場合にのみ使用可能です。

localhost:514 (default)

log-syslog-format

Syslog エントリーに固有の形式を設定します。

CLI: --log-syslog-format
環境変数: KC_LOG_SYSLOG_FORMAT

Syslog がアクティブ化されている場合にのみ使用可能です。

%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c] (%t) %s%e%n (デフォルト)

log-syslog-include-mdc

Syslog に MDC 情報を含めます。

log-syslog-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-syslog-include-mdc
環境変数: KC_LOG_SYSLOG_INCLUDE_MDC

Syslog ハンドラーと MDC ロギングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-syslog-include-trace

Syslog にトレーシング情報を含めます。

log-syslog-format オプションが指定されている場合、このオプションは効果がありません。

CLI: --log-syslog-include-trace
環境変数: KC_LOG_SYSLOG_INCLUDE_TRACE

Syslog ハンドラーとトレーシングがアクティブ化されている場合にのみ使用可能です。

true (デフォルト)、false

log-syslog-json-format

生成される JSON の形式を設定します。

CLI: --log-syslog-json-format
環境変数: KC_LOG_SYSLOG_JSON_FORMAT

Syslog がアクティブ化され、出力が 'json' に設定されている場合にのみ使用可能です。

default (デフォルト)、ecs

log-syslog-level

Syslog ハンドラーのログレベルを設定します。

出力に表示されるログの最も詳細なログレベルを指定します。これは、ロギングシステム全体の最大の詳細度を表す、log-level オプションで指定されたレベルを考慮します。詳細は、ロギングガイドを参照してください。

CLI: --log-syslog-level
環境変数: KC_LOG_SYSLOG_LEVEL

Syslog がアクティブ化されている場合にのみ使用可能です。

off, fatal, error, warn, info, debug, trace, all (デフォルト)

log-syslog-max-length

送信が許可されるメッセージの最大長 (バイト単位) を設定します。

長さにはヘッダーとメッセージが含まれます。設定されていない場合、log-syslog-type が rfc5424 (デフォルト) の場合はデフォルト値は 2048、log-syslog-type が rfc3164 の場合はデフォルト値は 1024 になります。

CLI: --log-syslog-max-length
環境変数: KC_LOG_SYSLOG_MAX_LENGTH

Syslog がアクティブ化されている場合にのみ使用可能です。

 

log-syslog-output

Syslog 出力を JSON またはデフォルトの (プレーン) 非構造化ロギングに設定します。

CLI: --log-syslog-output
環境変数: KC_LOG_SYSLOG_OUTPUT

Syslog がアクティブ化されている場合にのみ使用可能です。

default (デフォルト)、json

log-syslog-protocol

Syslog サーバーへの接続に使用するプロトコルを設定します。

CLI: --log-syslog-protocol
環境変数: KC_LOG_SYSLOG_PROTOCOL

Syslog がアクティブ化されている場合にのみ使用可能です。

tcp (デフォルト)、udpssl-tcp

log-syslog-type

送信メッセージのフォーマットに使用する Syslog タイプを設定します。

CLI: --log-syslog-type
環境変数: KC_LOG_SYSLOG_TYPE

Syslog がアクティブ化されている場合にのみ使用可能です。

rfc5424 (default), rfc3164

21.16. トレーシング
リンクのコピー

Expand
 

tracing-compression

ペイロードを圧縮するために使用される OpenTelemetry 圧縮方法。

設定されていない場合は、圧縮は無効になります。

CLI: --tracing-compression
環境変数: KC_TRACING_COMPRESSION

トレーシングが有効な場合にのみ使用可能

gzipnone (デフォルト)

tracing-enabled 🛠

OpenTelemetry トレーシングを有効にします。

CLI: --tracing-enabled
環境変数: KC_TRACING_ENABLED

'opentelemetry' 機能が有効になっている場合にのみ利用可能

truefalse (デフォルト)

tracing-endpoint

接続する OpenTelemetry エンドポイント。

CLI: --tracing-endpoint
環境変数: KC_TRACING_ENDPOINT

トレーシングが有効な場合にのみ使用可能

http://localhost:4317 (デフォルト)

tracing-infinispan-enabled

埋め込み Infinispan の OpenTelemetry トレーシングを有効にします。

CLI: --tracing-infinispan-enabled
環境変数: KC_TRACING_INFINISPAN_ENABLED

トレーシングと埋め込み Infinispan が有効な場合にのみ使用可能

true (デフォルト)、false

tracing-jdbc-enabled 🛠

OpenTelemetry JDBC トレーシングを有効にします。

CLI: --tracing-jdbc-enabled
環境変数: KC_TRACING_JDBC_ENABLED

トレーシングが有効な場合にのみ使用可能

true (デフォルト)、false

tracing-protocol

テレメトリーデータに使用される OpenTelemetry プロトコル。

CLI: --tracing-protocol
環境変数: KC_TRACING_PROTOCOL

トレーシングが有効な場合にのみ使用可能

grpc (デフォルト)、http/protobuf

tracing-resource-attributes

テレメトリープロデューサーを特定するためにトレースとしてエクスポートされるデータに含まれる OpenTelemetry リソース属性。

値は key1=val1,key2=val2 の形式です。詳細は、トレーシングガイドを参照してください。

CLI: --tracing-resource-attributes
環境変数: KC_TRACING_RESOURCE_ATTRIBUTES

トレーシングが有効な場合にのみ使用可能

 

tracing-sampler-ratio

OpenTelemetry サンプラー比率。

スパンのサンプリングが行われる確率。範囲 [0,1] 内の double 値が期待されます。

CLI: --tracing-sampler-ratio
環境変数: KC_TRACING_SAMPLER_RATIO

トレーシングが有効な場合にのみ使用可能

1.0 (デフォルト)

tracing-sampler-type 🛠

トレーシングに使用する OpenTelemetry サンプラー。

CLI: --tracing-sampler-type
環境変数: KC_TRACING_SAMPLER_TYPE

トレーシングが有効な場合にのみ使用可能

always_onalways_offtraceidratio (デフォルト)、parentbased_always_onparentbased_always_offparentbased_traceidratio

tracing-service-name

OpenTelemetry サービス名。

tracing-resource-attributes プロパティーで定義された service.name よりも優先されます。

CLI: --tracing-service-name
環境変数: KC_TRACING_SERVICE_NAME

トレーシングが有効な場合にのみ使用可能

keycloak (デフォルト)

21.17. Events
リンクのコピー

Expand
 

event-metrics-user-enabled 🛠

ユーザーイベントに基づいてメトリクスを作成します。

CLI: --event-metrics-user-enabled
環境変数: KC_EVENT_METRICS_USER_ENABLED

メトリクスが有効で、user-event-metrics 機能が有効になっている場合にのみ使用できます。

truefalse (デフォルト)

event-metrics-user-events

ユーザーイベントメトリクス用に収集されるイベントのコンマ区切りリスト。

デフォルトではすべてのユーザーイベントがメトリクスを作成するため、このオプションを使用すると作成されるメトリクスの数を減らすことができます。

CLI: --event-metrics-user-events
環境変数: KC_EVENT_METRICS_USER_EVENTS

ユーザーイベントメトリクスが有効になっている場合にのみ使用できます。

remove_totp の代わりに remove_credential を使用し、update_totpupdate_password の代わりに update_credential を使用します。非推奨の値: remove_totpupdate_totpupdate_password

authreqid_to_token, client_delete, client_info, client_initiated_account_linking, client_login, client_register, client_update, code_to_token, custom_required_action, delete_account, execute_action_token, execute_actions, federated_identity_link, federated_identity_override_link, grant_consent, identity_provider_first_login, identity_provider_link_account, identity_provider_login, identity_provider_post_login, identity_provider_response, identity_provider_retrieve_token, impersonate, introspect_token, invalid_signature, invite_org, login, logout, oauth2_device_auth, oauth2_device_code_to_token, oauth2_device_verify_user_code, oauth2_extension_grant, permission_token, pushed_authorization_request, refresh_token, register, register_node, remove_credential, remove_federated_identity, remove_totp (deprecated), reset_password, restart_authentication, revoke_grant, send_identity_provider_link, send_reset_password, send_verify_email, token_exchange, unregister_node, update_consent, update_credential, update_email, update_password (deprecated), update_profile, update_totp (deprecated), user_disabled_by_permanent_lockout, user_disabled_by_temporary_lockout, user_info_request, verify_email, verify_profile

event-metrics-user-tags

ユーザーイベントメトリクス用に収集されるタグのコンマ区切りリスト。

デフォルトでは、高いメトリクスカーディナリティーを回避するために、realm のみが有効になっています。

CLI: --event-metrics-user-tags
環境変数: KC_EVENT_METRICS_USER_TAGS

ユーザーイベントメトリクスが有効になっている場合にのみ使用できます。

realm, idp, clientId

21.18. Truststore
リンクのコピー

Expand
 

tls-hostname-verifier

送信 HTTPS および SMTP 要求の TLS ホスト名検証ポリシー。

ANY は実稼働環境では使用しないでください。

CLI: --tls-hostname-verifier
環境変数: KC_TLS_HOSTNAME_VERIFIER

STRICT と WILDCARD は非推奨となりました。代わりに DEFAULT を使用してください。非推奨の値: STRICTWILDCARD

ANYWILDCARD (非推奨)、STRICT (非推奨)、DEFAULT (デフォルト)

truststore-paths

システムトラストストアとして使用される pkcs12 (p12、pfx、または pkcs12 ファイル拡張子)、PEM ファイル、またはそれらのファイルを含むディレクトリーのリスト。

CLI: --truststore-paths
環境変数: KC_TRUSTSTORE_PATHS

 

21.19. Security
リンクのコピー

Expand
 

fips-mode 🛠

FIPS モードを設定します。

non-strict が設定されている場合、FIPS は有効になりますが、非承認モードになります。FIPS に完全に準拠するには、承認モードで実行するように strict を設定します。このオプションは、fips 機能が無効な場合 (デフォルト)、デフォルトで disabled になります。このオプションは、fips 機能が有効な場合、デフォルトで non-strict になります。

CLI: --fips-mode
環境変数: KC_FIPS_MODE

non-strictstrict

21.20. Export
リンクのコピー

Expand
 

dir

エクスポートされたデータを含むファイルが作成されるディレクトリーへのパスを設定します。

CLI: --dir
環境変数: KC_DIR

 

file

エクスポートされたデータで作成されるファイルへのパスを設定します。

50000 人を超えるユーザーをエクスポートする場合は、代わりに別のファイルを含むディレクトリーにエクスポートします。

CLI: --file
環境変数: KC_FILE

 

realm

エクスポートするレルムの名前を設定します。

設定されていない場合、すべてのレルムがエクスポートされます。

CLI: --realm
環境変数: KC_REALM

 

users

ユーザーをエクスポートする方法を設定します。

CLI: --users
環境変数: KC_USERS

skiprealm_filesame_filedifferent_files (デフォルト)

users-per-file

ファイルごとのユーザー数を設定します。

これは、usersdifferent_files に設定されている場合にのみ使用されます。

CLI: --users-per-file
環境変数: KC_USERS_PER_FILE

50 (デフォルト)

21.21. インポート
リンクのコピー

Expand
 

dir

ファイルが読み取られるディレクトリーへのパスを設定します。

CLI: --dir
環境変数: KC_DIR

 

file

読み取られるファイルへのパスを設定します。

CLI: --file
環境変数: KC_FILE

 

override

既存のデータを上書きするかどうかを設定します。

false に設定すると、データは無視されます。

CLI: --override
環境変数: KC_OVERRIDE

true (デフォルト)、false

21.22. ブートストラップ管理者
リンクのコピー

Expand
 

bootstrap-admin-client-id

一時的なブートストラップ管理サービスアカウントのクライアント ID。

マスターレルムが作成されるときにのみ使用されます。ブートストラップ管理クライアントシークレットが設定されている場合にのみ使用できます。

CLI: --bootstrap-admin-client-id
環境変数: KC_BOOTSTRAP_ADMIN_CLIENT_ID

temp-admin (default)

bootstrap-admin-client-secret

一時的なブートストラップ管理サービスアカウントのクライアントシークレット。

マスターレルムが作成されるときにのみ使用されます。可能であれば、このオプションには CLI 以外の設定オプションを使用してください。

CLI: --bootstrap-admin-client-secret
環境変数: KC_BOOTSTRAP_ADMIN_CLIENT_SECRET

 

bootstrap-admin-password

Temporary bootstrap admin password.

マスターレルムが作成されるときにのみ使用されます。可能であれば、このオプションには CLI 以外の設定オプションを使用してください。

CLI: --bootstrap-admin-password
環境変数: KC_BOOTSTRAP_ADMIN_PASSWORD

 

bootstrap-admin-username

Temporary bootstrap admin username.

マスターレルムが作成されるときにのみ使用されます。ブートストラップ管理者パスワードが設定されている場合にのみ使用できます。

CLI: --bootstrap-admin-username
環境変数: KC_BOOTSTRAP_ADMIN_USERNAME

temp-admin (default)

第22章 すべてのプロバイダー設定
リンクのコピー

プロバイダーの設定オプションを確認します。

22.1. authentication-sessions
リンクのコピー

22.1.1. infinispan
リンクのコピー

Expand
 

spi-authentication-sessions--infinispan--auth-sessions-limit

RootAuthenticationSession ごとの同時認証セッションの最大数。

CLI: --spi-authentication-sessions--infinispan--auth-sessions-limit
環境変数: KC_SPI_AUTHENTICATION_SESSIONS__INFINISPAN__AUTH_SESSIONS_LIMIT

300 (デフォルト) または任意の int

22.1.2. remote
リンクのコピー

Expand
 

spi-authentication-sessions--remote--auth-sessions-limit

RootAuthenticationSession ごとの同時認証セッションの最大数。

CLI: --spi-authentication-sessions--remote--auth-sessions-limit
環境変数: KC_SPI_AUTHENTICATION_SESSIONS__REMOTE__AUTH_SESSIONS_LIMIT

300 (デフォルト) または任意の int

spi-authentication-sessions--remote--max-retries

エラーが発生した場合の最大再試行回数。

値が 0 以下の場合、再試行は無効になります。

CLI: --spi-authentication-sessions--remote--max-retries
環境変数: KC_SPI_AUTHENTICATION_SESSIONS__REMOTE__MAX_RETRIES

10 (デフォルト) または任意の int

spi-authentication-sessions--remote--retry-base-time

基本バックオフ時間 (ミリ秒単位)。

CLI: --spi-authentication-sessions--remote--retry-base-time
環境変数: KC_SPI_AUTHENTICATION_SESSIONS__REMOTE__RETRY_BASE_TIME

10 (デフォルト) または任意の int

22.2. brute-force-protector
リンクのコピー

22.2.1. default-brute-force-detector
リンクのコピー

Expand
 

spi-brute-force-protector--default-brute-force-detector--allow-concurrent-requests

ブルートフォース保護によって同時ログインが許可されている場合。

CLI: --spi-brute-force-protector--default-brute-force-detector--allow-concurrent-requests
環境変数: KC_SPI_BRUTE_FORCE_PROTECTOR__DEFAULT_BRUTE_FORCE_DETECTOR__ALLOW_CONCURRENT_REQUESTS

truefalse (デフォルト)

22.3. cache-embedded
リンクのコピー

22.3.1. default
リンクのコピー

Expand
 

spi-cache-embedded--default--action-tokens-owners

actionTokens 分散キャッシュの所有者の数を設定します。

クラスター内のデータのコピー数を定義します。

CLI: --spi-cache-embedded--default--action-tokens-owners
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__ACTION_TOKENS_OWNERS

任意の Integer

spi-cache-embedded--default--authentication-sessions-owners

authenticationSessions 分散キャッシュの所有者の数を設定します。

クラスター内のデータのコピー数を定義します。

CLI: --spi-cache-embedded--default--authentication-sessions-owners
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__AUTHENTICATION_SESSIONS_OWNERS

任意の Integer

spi-cache-embedded--default--authorization-max-count

認可キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--authorization-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__AUTHORIZATION_MAX_COUNT

任意の Integer

spi-cache-embedded--default--authorization-revisions-max-count

authorizationRevisions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--authorization-revisions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__AUTHORIZATION_REVISIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--client-sessions-max-count

clientSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--client-sessions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__CLIENT_SESSIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--client-sessions-owners

clientSessions 分散キャッシュの所有者の数を設定します。

クラスター内のデータのコピー数を定義します。

CLI: --spi-cache-embedded--default--client-sessions-owners
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__CLIENT_SESSIONS_OWNERS

任意の Integer

spi-cache-embedded--default--config-file

キャッシュ設定のロード元となるファイルを定義します。

設定ファイルは conf/ ディレクトリーに相対です。

CLI: --spi-cache-embedded--default--config-file
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__CONFIG_FILE

任意の String

spi-cache-embedded--default--crl-max-count

CRL キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--crl-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__CRL_MAX_COUNT

任意の Integer

spi-cache-embedded--default--keys-max-count

キーキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--keys-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__KEYS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--login-failures-owners

loginFailures 分散キャッシュの所有者の数を設定します。

クラスター内のデータのコピー数を定義します。

CLI: --spi-cache-embedded--default--login-failures-owners
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__LOGIN_FAILURES_OWNERS

任意の Integer

spi-cache-embedded--default--machine-name

このインスタンスが実行される物理マシンの名前。

複数の Keycloak インスタンスが同じ物理マシンで実行されている場合に設定できます。Infinispan は、この値を考慮して、バックアップデータを異なるマシン間で分散させます。

CLI: --spi-cache-embedded--default--machine-name
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__MACHINE_NAME

任意の String

spi-cache-embedded--default--metrics-histograms-enabled

組み込みキャッシュのメトリクスのヒストグラムを有効にします。

CLI: --spi-cache-embedded--default--metrics-histograms-enabled
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__METRICS_HISTOGRAMS_ENABLED

truefalse (デフォルト)

spi-cache-embedded--default--network-bind-address

クラスタリングトランスポートで使用される IP アドレス。

デフォルトでは、SITE_LOCAL が使用されます。

CLI: --spi-cache-embedded--default--network-bind-address
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__NETWORK_BIND_ADDRESS

任意の String

spi-cache-embedded--default--network-bind-port

クラスタリングトランスポートがバインドされるポート。

デフォルトではポート 7800 が使用されます。

CLI: --spi-cache-embedded--default--network-bind-port
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__NETWORK_BIND_PORT

任意の Integer

spi-cache-embedded--default--network-external-address

クラスター内の他のインスタンスがこのノードに接続するために使用する IP アドレス。

このインスタンスがファイアウォールの背後にある場合など、cache-embedded-network-bind-address と異なる場合にのみ設定します。

CLI: --spi-cache-embedded--default--network-external-address
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__NETWORK_EXTERNAL_ADDRESS

任意の String

spi-cache-embedded--default--network-external-port

クラスター内の他のインスタンスがこのノードに接続するために使用する必要のあるポート。

このインスタンスがファイアウォールの背後にある場合など、cache-embedded-network-bind-port と異なる場合にのみ設定します。

CLI: --spi-cache-embedded--default--network-external-port
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__NETWORK_EXTERNAL_PORT

任意の Integer

spi-cache-embedded--default--node-name

現在のノードの名前を設定します。

これは、ログなどをよりわかりやすくするための、人間が判別しやすい名前です。

CLI: --spi-cache-embedded--default--node-name
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__NODE_NAME

任意の String

spi-cache-embedded--default--offline-client-sessions-max-count

offlineClientSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--offline-client-sessions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__OFFLINE_CLIENT_SESSIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--offline-sessions-max-count

offlineSessions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--offline-sessions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__OFFLINE_SESSIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--rack-name

このインスタンスが実行されるラックの名前。

複数の Keycloak インスタンスが同じ物理ラック内で実行されている場合に設定できます。Infinispan は、この値を考慮して、バックアップデータを異なるラック間に分散させます。

CLI: --spi-cache-embedded--default--rack-name
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__RACK_NAME

任意の String

spi-cache-embedded--default--realm-revisions-max-count

realmRevisions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--realm-revisions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__REALM_REVISIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--realms-max-count

レルムキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--realms-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__REALMS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--sessions-max-count

セッションキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--sessions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__SESSIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--sessions-owners

セッション分散キャッシュの所有者の数を設定します。

クラスター内のデータのコピー数を定義します。

CLI: --spi-cache-embedded--default--sessions-owners
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__SESSIONS_OWNERS

任意の Integer

spi-cache-embedded--default--site-name

このインスタンスが実行されるサイト (アベイラビリティーゾーン) の名前。

異なるアベイラビリティーゾーンで Keycloak を実行する場合に設定できます。Infinispan は、この値を考慮して、バックアップデータを異なるサイト間で分散させます。

CLI: --spi-cache-embedded--default--site-name
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__SITE_NAME

任意の String

spi-cache-embedded--default--user-revisions-max-count

userRevisions キャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--user-revisions-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__USER_REVISIONS_MAX_COUNT

任意の Integer

spi-cache-embedded--default--users-max-count

ユーザーキャッシュによってメモリー内に保存できるエントリーの最大数。

CLI: --spi-cache-embedded--default--users-max-count
環境変数: KC_SPI_CACHE_EMBEDDED__DEFAULT__USERS_MAX_COUNT

任意の Integer

22.4. cache-remote
リンクのコピー

22.4.1. default
リンクのコピー

Expand
 

spi-cache-remote--default--auth-realm

認証に使用する Infinispan サーバーレルムを指定します。

CLI: --spi-cache-remote--default--auth-realm
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__AUTH_REALM

default (デフォルト) または任意の String

spi-cache-remote--default--backup-sites

外部 Infinispan クラスターが Keycloak データをバックアップするバックアップサイト名のリストを設定します。

CLI: --spi-cache-remote--default--backup-sites
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__BACKUP_SITES

任意の List

spi-cache-remote--default--client-intelligence

Hot Rod クライアントが持つべきインテリジェンスのレベルを指定します。

CLI: --spi-cache-remote--default--client-intelligence
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__CLIENT_INTELLIGENCE

BASICTOPOLOGY_AWAREHASH_DISTRIBUTION_AWARE (デフォルト)

spi-cache-remote--default--connection-pool-exhausted-action

サーバーの接続プールが枯渇している状態で接続を要求した際の動作を指定します。

CLI: --spi-cache-remote--default--connection-pool-exhausted-action
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__CONNECTION_POOL_EXHAUSTED_ACTION

EXCEPTIONWAITCREATE_NEW (デフォルト)

spi-cache-remote--default--connection-pool-max-active

Infinispan サーバーインスタンスあたりの最大接続数を設定します。

CLI: --spi-cache-remote--default--connection-pool-max-active
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__CONNECTION_POOL_MAX_ACTIVE

16 (デフォルト) または任意の Integer

spi-cache-remote--default--hostname

外部 Infinispan クラスターのホスト名。

CLI: --spi-cache-remote--default--hostname
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__HOSTNAME

任意の String

spi-cache-remote--default--password

外部 Infinispan クラスターへの認証用のパスワード。

セキュアではない外部 Infinispan クラスターに接続する場合はオプションです。オプションを指定する場合は、cache-remote-username も必要です。

CLI: --spi-cache-remote--default--password
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__PASSWORD

任意の String

spi-cache-remote--default--port

外部 Infinispan クラスターのポート。

CLI: --spi-cache-remote--default--port
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__PORT

11222 (デフォルト) または任意の Integer

spi-cache-remote--default--properties-file

Hot Rod クライアント設定が含まれるプロパティーファイルへのパス。

CLI: --spi-cache-remote--default--properties-file
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__PROPERTIES_FILE

任意の File

spi-cache-remote--default--sasl-mechanism

Infinispan サーバーへの接続に使用する SASL メカニズムを選択します。

CLI: --spi-cache-remote--default--sasl-mechanism
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__SASL_MECHANISM

SCRAM-SHA-512 (デフォルト) または任意の String

spi-cache-remote--default--tls-enabled

TLS サポートを有効にして、保護されたリモート Infinispan サーバーと通信します。

実稼働環境では有効にすることを推奨します。

CLI: --spi-cache-remote--default--tls-enabled
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__TLS_ENABLED

true (デフォルト)、false

spi-cache-remote--default--tls-sni-hostname

Infinispan サーバーへの接続用の TLS SNI ホスト名を指定します。

CLI: --spi-cache-remote--default--tls-sni-hostname
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__TLS_SNI_HOSTNAME

任意の String

spi-cache-remote--default--username

外部 Infinispan クラスターへの認証用のユーザー名。

セキュアではない外部 Infinispan クラスターに接続する場合はオプションです。オプションを指定する場合は、cache-remote-password も必要です。

CLI: --spi-cache-remote--default--username
環境変数: KC_SPI_CACHE_REMOTE__DEFAULT__USERNAME

任意の String

22.5. ciba-auth-channel
リンクのコピー

22.5.1. ciba-http-auth-channel
リンクのコピー

Expand
 

spi-ciba-auth-channel--ciba-http-auth-channel--http-authentication-channel-uri

認証チャネルの HTTP(S) URI。

CLI: --spi-ciba-auth-channel--ciba-http-auth-channel--http-authentication-channel-uri
環境変数: KC_SPI_CIBA_AUTH_CHANNEL__CIBA_HTTP_AUTH_CHANNEL__HTTP_AUTHENTICATION_CHANNEL_URI

任意の string

22.6. connections-http-client
リンクのコピー

22.6.1. default
リンクのコピー

Expand
 

spi-connections-http-client--default--client-key-password

キーのパスワード。

CLI: --spi-connections-http-client--default--client-key-password
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__CLIENT_KEY_PASSWORD

-1 (デフォルト) または任意の string

spi-connections-http-client--default--client-keystore

TLS 接続をセットアップするためにキーマテリアルが読み取られるキーストアのファイルパス。

CLI: --spi-connections-http-client--default--client-keystore
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__CLIENT_KEYSTORE

任意の string

spi-connections-http-client--default--client-keystore-password

キーストアのパスワード。

CLI: --spi-connections-http-client--default--client-keystore-password
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__CLIENT_KEYSTORE_PASSWORD

任意の string

spi-connections-http-client--default--connection-pool-size

合計接続数の最大値を割り当てます。

CLI: --spi-connections-http-client--default--connection-pool-size
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__CONNECTION_POOL_SIZE

任意の int

spi-connections-http-client--default--connection-ttl-millis

永続的な接続の最大存続時間をミリ秒単位で設定します。

CLI: --spi-connections-http-client--default--connection-ttl-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__CONNECTION_TTL_MILLIS

-1 (デフォルト) または任意の long

spi-connections-http-client--default--disable-cookies

状態 (Cookie) の管理を無効にします。

CLI: --spi-connections-http-client--default--disable-cookies
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__DISABLE_COOKIES

true (デフォルト)、false

spi-connections-http-client--default--disable-trust-manager

信頼管理とホスト名の検証を無効にします。

注記: これはセキュリティーホールです。通信しているホストのアイデンティティーを検証できない、または検証したくない場合にのみこのオプションを設定してください。

CLI: --spi-connections-http-client--default--disable-trust-manager
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__DISABLE_TRUST_MANAGER

truefalse (デフォルト)

spi-connections-http-client--default--establish-connection-timeout-millis

最初のソケット接続を試みた場合のタイムアウトの長さは?

CLI: --spi-connections-http-client--default--establish-connection-timeout-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__ESTABLISH_CONNECTION_TIMEOUT_MILLIS

-1 (デフォルト) または任意の long

spi-connections-http-client--default--max-connection-idle-time-millis

アイドル状態の接続をプールから退避する時間をミリ秒単位で設定します。

CLI: --spi-connections-http-client--default--max-connection-idle-time-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__MAX_CONNECTION_IDLE_TIME_MILLIS

900000 (デフォルト) または任意の long

spi-connections-http-client--default--max-consumed-response-size

クライアントが消費する応答の最大サイズ (サービス拒否を防ぐため)

CLI: --spi-connections-http-client--default--max-consumed-response-size
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__MAX_CONSUMED_RESPONSE_SIZE

10000000 (デフォルト) または任意の long

spi-connections-http-client--default--max-pooled-per-route

ルートごとの最大接続値を割り当てます。

CLI: --spi-connections-http-client--default--max-pooled-per-route
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__MAX_POOLED_PER_ROUTE

64 (デフォルト) または任意の int

spi-connections-http-client--default--proxy-mappings

正規表現ベースのホスト名パターンと proxy-uri の組み合わせを hostnamePattern;proxyUri の形式で示します。

CLI: --spi-connections-http-client--default--proxy-mappings
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__PROXY_MAPPINGS

任意の string

spi-connections-http-client--default--reuse-connections

接続を再利用する必要があるかどうか。

CLI: --spi-connections-http-client--default--reuse-connections
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__REUSE_CONNECTIONS

true (デフォルト)、false

spi-connections-http-client--default--socket-timeout-millis

ソケットの非アクティブタイムアウト。

CLI: --spi-connections-http-client--default--socket-timeout-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__DEFAULT__SOCKET_TIMEOUT_MILLIS

5000 (デフォルト) または任意の long

22.6.2. opentelemetry
リンクのコピー

Expand
 

spi-connections-http-client--opentelemetry--client-key-password

キーのパスワード。

CLI: --spi-connections-http-client--opentelemetry--client-key-password
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__CLIENT_KEY_PASSWORD

-1 (デフォルト) または任意の string

spi-connections-http-client--opentelemetry--client-keystore

TLS 接続をセットアップするためにキーマテリアルが読み取られるキーストアのファイルパス。

CLI: --spi-connections-http-client--opentelemetry--client-keystore
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__CLIENT_KEYSTORE

任意の string

spi-connections-http-client--opentelemetry--client-keystore-password

キーストアのパスワード。

CLI: --spi-connections-http-client--opentelemetry--client-keystore-password
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__CLIENT_KEYSTORE_PASSWORD

任意の string

spi-connections-http-client--opentelemetry--connection-pool-size

合計接続数の最大値を割り当てます。

CLI: --spi-connections-http-client--opentelemetry--connection-pool-size
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__CONNECTION_POOL_SIZE

任意の int

spi-connections-http-client--opentelemetry--connection-ttl-millis

永続的な接続の最大存続時間をミリ秒単位で設定します。

CLI: --spi-connections-http-client--opentelemetry--connection-ttl-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__CONNECTION_TTL_MILLIS

-1 (デフォルト) または任意の long

spi-connections-http-client--opentelemetry--disable-cookies

状態 (Cookie) の管理を無効にします。

CLI: --spi-connections-http-client--opentelemetry--disable-cookies
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__DISABLE_COOKIES

true (デフォルト)、false

spi-connections-http-client--opentelemetry--disable-trust-manager

信頼管理とホスト名の検証を無効にします。

注記: これはセキュリティーホールです。通信しているホストのアイデンティティーを検証できない、または検証したくない場合にのみこのオプションを設定してください。

CLI: --spi-connections-http-client--opentelemetry--disable-trust-manager
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__DISABLE_TRUST_MANAGER

truefalse (デフォルト)

spi-connections-http-client--opentelemetry--establish-connection-timeout-millis

最初のソケット接続を試みた場合のタイムアウトの長さは?

CLI: --spi-connections-http-client--opentelemetry--establish-connection-timeout-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__ESTABLISH_CONNECTION_TIMEOUT_MILLIS

-1 (デフォルト) または任意の long

spi-connections-http-client--opentelemetry--max-connection-idle-time-millis

アイドル状態の接続をプールから退避する時間をミリ秒単位で設定します。

CLI: --spi-connections-http-client--opentelemetry--max-connection-idle-time-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__MAX_CONNECTION_IDLE_TIME_MILLIS

900000 (デフォルト) または任意の long

spi-connections-http-client--opentelemetry--max-consumed-response-size

クライアントが消費する応答の最大サイズ (サービス拒否を防ぐため)

CLI: --spi-connections-http-client--opentelemetry--max-consumed-response-size
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__MAX_CONSUMED_RESPONSE_SIZE

10000000 (デフォルト) または任意の long

spi-connections-http-client--opentelemetry--max-pooled-per-route

ルートごとの最大接続値を割り当てます。

CLI: --spi-connections-http-client--opentelemetry--max-pooled-per-route
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__MAX_POOLED_PER_ROUTE

64 (デフォルト) または任意の int

spi-connections-http-client--opentelemetry--proxy-mappings

正規表現ベースのホスト名パターンと proxy-uri の組み合わせを hostnamePattern;proxyUri の形式で示します。

CLI: --spi-connections-http-client--opentelemetry--proxy-mappings
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__PROXY_MAPPINGS

任意の string

spi-connections-http-client--opentelemetry--reuse-connections

接続を再利用する必要があるかどうか。

CLI: --spi-connections-http-client--opentelemetry--reuse-connections
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__REUSE_CONNECTIONS

true (デフォルト)、false

spi-connections-http-client--opentelemetry--socket-timeout-millis

ソケットの非アクティブタイムアウト。

CLI: --spi-connections-http-client--opentelemetry--socket-timeout-millis
環境変数: KC_SPI_CONNECTIONS_HTTP_CLIENT__OPENTELEMETRY__SOCKET_TIMEOUT_MILLIS

5000 (デフォルト) または任意の long

22.7. connections-jpa
リンクのコピー

22.7.1. quarkus
リンクのコピー

Expand
 

spi-connections-jpa--quarkus--initialize-empty

空の場合はデータベースを初期化します。

false に設定する場合は、データベースを手動で初期化する必要があります。データベースを手動で初期化する場合は、migrationStrategy を手動に設定します。これにより、データベースを初期化するための SQL コマンドを含むファイルが作成されます。

CLI: --spi-connections-jpa--quarkus--initialize-empty
環境変数: KC_SPI_CONNECTIONS_JPA__QUARKUS__INITIALIZE_EMPTY

true (デフォルト)、false

spi-connections-jpa--quarkus--migration-export

手動のデータベース初期化/移行ファイルを書き込む場所のパス。

CLI: --spi-connections-jpa--quarkus--migration-export
環境変数: KC_SPI_CONNECTIONS_JPA__QUARKUS__MIGRATION_EXPORT

任意の string

spi-connections-jpa--quarkus--migration-strategy

データベースの移行に使用するストラテジー。

有効な値は、update、manual、および validate です。update は、データベーススキーマを自動的に移行します。manual は、データベースで手動で実行できる SQL コマンドを使用して、必要な変更をファイルにエクスポートします。validate は、データベースが最新かどうかを確認します。

CLI: --spi-connections-jpa--quarkus--migration-strategy
環境変数: KC_SPI_CONNECTIONS_JPA__QUARKUS__MIGRATION_STRATEGY

update (デフォルト)、manualvalidate

22.8. credential
リンクのコピー

22.8.1. keycloak-password
リンクのコピー

Expand
 

spi-credential--keycloak-password--validations-counter-tags

パスワード検証のカウンターメトリクスを公開するときに使用するタグのコンマ区切りリスト。

CLI: --spi-credential--keycloak-password--validations-counter-tags
環境変数: KC_SPI_CREDENTIAL__KEYCLOAK_PASSWORD__VALIDATIONS_COUNTER_TAGS

realm, algorithm, hashing_strength, outcome

22.9. crl-storage
リンクのコピー

22.9.1. infinispan
リンクのコピー

Expand
 

spi-crl-storage--infinispan--cache-time

CRL がキャッシュされる間隔 (秒単位)。

CRL の次回の更新時刻は常に最小値になります (ある場合)。ゼロまたは負の値は、CRL に指定された次の更新時刻まで CRL がキャッシュされることを意味します (CRL に次の更新が含まれていない場合は無期限)。

CLI: --spi-crl-storage--infinispan--cache-time
環境変数: KC_SPI_CRL_STORAGE__INFINISPAN__CACHE_TIME

-1 (デフォルト) または任意の int

spi-crl-storage--infinispan--min-time-between-requests

CRL を再取得するまでの最小間隔 (秒単位)。

前回の更新からこの最小時間が経過するまでは、CRL は URL から再取得されません。理論上、CRL が次回の更新時に正しく更新された場合、このオプションは使用されません。間隔は正の数である必要があります。デフォルト: 10 秒

CLI: --spi-crl-storage--infinispan--min-time-between-requests
環境変数: KC_SPI_CRL_STORAGE__INFINISPAN__MIN_TIME_BETWEEN_REQUESTS

10 (デフォルト) または任意の int

22.10. datastore
リンクのコピー

22.10.1. legacy
リンクのコピー

Expand
 

spi-datastore--legacy--allow-migrate-existing-database-to-snapshot

デフォルトでは、過去に正式リリースされたサーバーバージョンに移行済みのデータベースに対して、スナップショット版や開発版のサーバーを実行できません。

これを実行すると、開発サーバーを実稼働データベースに対して実行しようとしていることになり、データの損失や破損が発生する可能性があり、アップグレードもできなくなります。開発版などのサーバーを本当に実行しようとしている場合は、専用のオプションを明示的に true に設定することで、ナイトリービルドや開発サーバーを実稼働データベースに対して使えるようになります。このオプションは開発環境でのみ推奨されており、実稼働環境では使用しないでください。

CLI: --spi-datastore--legacy--allow-migrate-existing-database-to-snapshot
環境変数: KC_SPI_DATASTORE__LEGACY__ALLOW_MIGRATE_EXISTING_DATABASE_TO_SNAPSHOT

truefalse (デフォルト)

22.11. dblock
リンクのコピー

22.11.1. jpa
リンクのコピー

Expand
 

spi-dblock--jpa--lock-wait-timeout

データベースロックの解放を待機する際の最大待機時間。

CLI: --spi-dblock--jpa--lock-wait-timeout
環境変数: KC_SPI_DBLOCK__JPA__LOCK_WAIT_TIMEOUT

任意の int

22.12. device-representation
リンクのコピー

22.12.1. device-representation
リンクのコピー

Expand
 

spi-device-representation--device-representation--cache-size

ローカルキャッシュ内の解析された user-agent 値の最大数を設定します。

CLI: --spi-device-representation--device-representation--cache-size
環境変数: KC_SPI_DEVICE_REPRESENTATION__DEVICE_REPRESENTATION__CACHE_SIZE

2048 (デフォルト) または任意の Integer

22.13. events-listener
リンクのコピー

22.13.1. email
リンクのコピー

Expand
 

spi-events-listener--email--exclude-events

ユーザーのアカウントにメールで送信するべきではないイベントのコンマ区切りリスト。

CLI: --spi-events-listener--email--exclude-events
環境変数: KC_SPI_EVENTS_LISTENER__EMAIL__EXCLUDE_EVENTS

authreqid_to_token, authreqid_to_token_error, client_delete, client_delete_error, client_info, client_info_error, client_initiated_account_linking, client_initiated_account_linking_error, client_login, client_login_error, client_register, client_register_error, client_update, client_update_error, code_to_token, code_to_token_error, custom_required_action, custom_required_action_error, delete_account, delete_account_error, execute_action_token, execute_action_token_error, execute_actions, execute_actions_error, federated_identity_link, federated_identity_link_error, federated_identity_override_link, federated_identity_override_link_error, grant_consent, grant_consent_error, identity_provider_first_login, identity_provider_first_login_error, identity_provider_link_account, identity_provider_link_account_error, identity_provider_login, identity_provider_login_error, identity_provider_post_login, identity_provider_post_login_error, identity_provider_response, identity_provider_response_error, identity_provider_retrieve_token, identity_provider_retrieve_token_error, impersonate, impersonate_error, introspect_token, introspect_token_error, invalid_signature, invalid_signature_error, invite_org, invite_org_error, login, login_error, logout, logout_error, oauth2_device_auth, oauth2_device_auth_error, oauth2_device_code_to_token, oauth2_device_code_to_token_error, oauth2_device_verify_user_code, oauth2_device_verify_user_code_error, oauth2_extension_grant, oauth2_extension_grant_error, permission_token, permission_token_error, pushed_authorization_request, pushed_authorization_request_error, refresh_token, refresh_token_error, register, register_error, register_node, register_node_error, remove_credential, remove_credential_error, remove_federated_identity, remove_federated_identity_error, remove_totp, remove_totp_error, reset_password, reset_password_error, restart_authentication, restart_authentication_error, revoke_grant, revoke_grant_error, send_identity_provider_link, send_identity_provider_link_error, send_reset_password, send_reset_password_error, send_verify_email, send_verify_email_error, token_exchange, token_exchange_error, unregister_node, unregister_node_error, update_consent, update_consent_error, update_credential, update_credential_error, update_email, update_email_error, update_password, update_password_error, update_profile, update_profile_error, update_totp, update_totp_error, user_disabled_by_permanent_lockout, user_disabled_by_permanent_lockout_error, user_disabled_by_temporary_lockout, user_disabled_by_temporary_lockout_error, user_info_request, user_info_request_error, validate_access_token, validate_access_token_error, verify_email, verify_email_error, verify_profile, verify_profile_error

spi-events-listener--email--include-events

ユーザーのアカウントにメールで送信する必要があるイベントのコンマ区切りリスト。

CLI: --spi-events-listener--email--include-events
環境変数: KC_SPI_EVENTS_LISTENER__EMAIL__INCLUDE_EVENTS

authreqid_to_token, authreqid_to_token_error, client_delete, client_delete_error, client_info, client_info_error, client_initiated_account_linking, client_initiated_account_linking_error, client_login, client_login_error, client_register, client_register_error, client_update, client_update_error, code_to_token, code_to_token_error, custom_required_action, custom_required_action_error, delete_account, delete_account_error, execute_action_token, execute_action_token_error, execute_actions, execute_actions_error, federated_identity_link, federated_identity_link_error, federated_identity_override_link, federated_identity_override_link_error, grant_consent, grant_consent_error, identity_provider_first_login, identity_provider_first_login_error, identity_provider_link_account, identity_provider_link_account_error, identity_provider_login, identity_provider_login_error, identity_provider_post_login, identity_provider_post_login_error, identity_provider_response, identity_provider_response_error, identity_provider_retrieve_token, identity_provider_retrieve_token_error, impersonate, impersonate_error, introspect_token, introspect_token_error, invalid_signature, invalid_signature_error, invite_org, invite_org_error, login, login_error, logout, logout_error, oauth2_device_auth, oauth2_device_auth_error, oauth2_device_code_to_token, oauth2_device_code_to_token_error, oauth2_device_verify_user_code, oauth2_device_verify_user_code_error, oauth2_extension_grant, oauth2_extension_grant_error, permission_token, permission_token_error, pushed_authorization_request, pushed_authorization_request_error, refresh_token, refresh_token_error, register, register_error, register_node, register_node_error, remove_credential, remove_credential_error, remove_federated_identity, remove_federated_identity_error, remove_totp, remove_totp_error, reset_password, reset_password_error, restart_authentication, restart_authentication_error, revoke_grant, revoke_grant_error, send_identity_provider_link, send_identity_provider_link_error, send_reset_password, send_reset_password_error, send_verify_email, send_verify_email_error, token_exchange, token_exchange_error, unregister_node, unregister_node_error, update_consent, update_consent_error, update_credential, update_credential_error, update_email, update_email_error, update_password, update_password_error, update_profile, update_profile_error, update_totp, update_totp_error, user_disabled_by_permanent_lockout, user_disabled_by_permanent_lockout_error, user_disabled_by_temporary_lockout, user_disabled_by_temporary_lockout_error, user_info_request, user_info_request_error, validate_access_token, validate_access_token_error, verify_email, verify_email_error, verify_profile, verify_profile_error

22.13.2. jboss-logging
リンクのコピー

Expand
 

spi-events-listener--jboss-logging--error-level

エラーメッセージのログレベル。

CLI: --spi-events-listener--jboss-logging--error-level
環境変数: KC_SPI_EVENTS_LISTENER__JBOSS_LOGGING__ERROR_LEVEL

debugerrorfatalinfotracewarn (デフォルト)

spi-events-listener--jboss-logging--include-representation

"true" の場合、JSON 管理オブジェクトが含まれる "representation" フィールドもメッセージに追加されます。

管理イベントの表現も含めるようにレルムを設定する必要があります。

CLI: --spi-events-listener--jboss-logging--include-representation
環境変数: KC_SPI_EVENTS_LISTENER__JBOSS_LOGGING__INCLUDE_REPRESENTATION

truefalse (デフォルト)

spi-events-listener--jboss-logging--quotes

値に使用する引用符は、" または ' のように 1 文字にする必要があります。

引用符が必要ない場合は、"none" を使用します。

CLI: --spi-events-listener--jboss-logging--quotes
環境変数: KC_SPI_EVENTS_LISTENER__JBOSS_LOGGING__QUOTES

" (デフォルト) または任意の string

spi-events-listener--jboss-logging--sanitize

true の場合、改行を避けるためにログメッセージがサニタイズされます。

誤ったメッセージがサニタイズされていない場合。

CLI: --spi-events-listener--jboss-logging--sanitize
環境変数: KC_SPI_EVENTS_LISTENER__JBOSS_LOGGING__SANITIZE

true (デフォルト)、false

spi-events-listener--jboss-logging--success-level

成功メッセージのログレベル。

CLI: --spi-events-listener--jboss-logging--success-level
環境変数: KC_SPI_EVENTS_LISTENER__JBOSS_LOGGING__SUCCESS_LEVEL

debug (デフォルト)、errorfatalinfotracewarn

22.14. export
リンクのコピー

22.14.1. dir
リンクのコピー

Expand
 

spi-export--dir--dir

エクスポート先のディレクトリー

CLI: --spi-export--dir--dir
環境変数: KC_SPI_EXPORT__DIR__DIR

任意の string

spi-export--dir--realm-name

エクスポートするレルム

CLI: --spi-export--dir--realm-name
環境変数: KC_SPI_EXPORT__DIR__REALM_NAME

任意の string

spi-export--dir--users-export-strategy

ユーザーのエクスポートストラテジー

CLI: --spi-export--dir--users-export-strategy
環境変数: KC_SPI_EXPORT__DIR__USERS_EXPORT_STRATEGY

DIFFERENT_FILES (デフォルト)、または任意の string

spi-export--dir--users-per-file

エクスポートされたファイルごとのユーザー

CLI: --spi-export--dir--users-per-file
環境変数: KC_SPI_EXPORT__DIR__USERS_PER_FILE

50 (デフォルト) または任意の int

22.14.2. single-file
リンクのコピー

Expand
 

spi-export--single-file--file

エクスポート先のファイル

CLI: --spi-export--single-file--file
環境変数: KC_SPI_EXPORT__SINGLE_FILE__FILE

任意の string

spi-export--single-file--realm-name

エクスポートするレルム

CLI: --spi-export--single-file--realm-name
環境変数: KC_SPI_EXPORT__SINGLE_FILE__REALM_NAME

任意の string

22.15. group
リンクのコピー

22.15.1. jpa
リンクのコピー

Expand
 

spi-group--jpa--escape-slashes-in-group-path

true の場合、グループ名内のスラッシュ / は、パスに変換されるときに文字 ~ でエスケープされます。

CLI: --spi-group--jpa--escape-slashes-in-group-path
環境変数: KC_SPI_GROUP__JPA__ESCAPE_SLASHES_IN_GROUP_PATH

truefalse (デフォルト)

spi-group--jpa--searchable-attributes

クライアント属性検索で許可される、コンマで区切られた属性のリスト。

CLI: --spi-group--jpa--searchable-attributes
環境変数: KC_SPI_GROUP__JPA__SEARCHABLE_ATTRIBUTES

任意の string

22.16. import
リンクのコピー

22.16.1. dir
リンクのコピー

Expand
 

spi-import--dir--dir

インポート元のディレクトリー

CLI: --spi-import--dir--dir
環境変数: KC_SPI_IMPORT__DIR__DIR

任意の string

spi-import--dir--realm-name

エクスポートするレルム

CLI: --spi-import--dir--realm-name
環境変数: KC_SPI_IMPORT__DIR__REALM_NAME

任意の string

spi-import--dir--strategy

インポートストラテジー: IGNORE_EXISTING、OVERWRITE_EXISTING

CLI: --spi-import--dir--strategy
環境変数: KC_SPI_IMPORT__DIR__STRATEGY

任意の string

22.16.2. single-file
リンクのコピー

Expand
 

spi-import--single-file--file

インポート元のファイル

CLI: --spi-import--single-file--file
環境変数: KC_SPI_IMPORT__SINGLE_FILE__FILE

任意の string

spi-import--single-file--realm-name

エクスポートするレルム

CLI: --spi-import--single-file--realm-name
環境変数: KC_SPI_IMPORT__SINGLE_FILE__REALM_NAME

任意の string

spi-import--single-file--strategy

インポートストラテジー: IGNORE_EXISTING、OVERWRITE_EXISTING

CLI: --spi-import--single-file--strategy
環境変数: KC_SPI_IMPORT__SINGLE_FILE__STRATEGY

任意の string

22.17. jgroups-mtls
リンクのコピー

22.17.1. default
リンクのコピー

Expand
 

spi-jgroups-mtls--default--enabled

Keycloak サーバー間のネットワーク通信を暗号化します。

キーストアとトラストストアに関する追加のパラメーターが指定されていない場合は、一時的なキーペアと証明書が自動的に作成され、ローテーションされます。これは標準設定に推奨されます。

CLI: --spi-jgroups-mtls--default--enabled
環境変数: KC_SPI_JGROUPS_MTLS__DEFAULT__ENABLED

true (デフォルト)、false

spi-jgroups-mtls--default--keystore-file

キーストアファイルのパス。

キーストアには、TLS プロトコルが使用する証明書が含まれている必要があります。デフォルトでは、conf/ディレクトリーの下にある cache-mtls-keystore.p12 が検索されます。

CLI: --spi-jgroups-mtls--default--keystore-file
環境変数: KC_SPI_JGROUPS_MTLS__DEFAULT__KEYSTORE_FILE

任意の String

spi-jgroups-mtls--default--keystore-password

キーストアにアクセスするためのパスワード。

CLI: --spi-jgroups-mtls--default--keystore-password
環境変数: KC_SPI_JGROUPS_MTLS__DEFAULT__KEYSTORE_PASSWORD

任意の Password

spi-jgroups-mtls--default--rotation

自動 JGroups MTLS 証明書のローテーション期間 (日数)。

CLI: --spi-jgroups-mtls--default--rotation
環境変数: KC_SPI_JGROUPS_MTLS__DEFAULT__ROTATION

30 (デフォルト) または任意の Integer

spi-jgroups-mtls--default--truststore-file

トラストストアファイルのパス。

トラストストアには、信頼済み証明書または証明書に署名した認証局が含まれている必要があります。デフォルトでは、conf/ ディレクトリーの下にある cache-mtls-truststore.p12 が検索されます。

CLI: --spi-jgroups-mtls--default--truststore-file
環境変数: KC_SPI_JGROUPS_MTLS__DEFAULT__TRUSTSTORE_FILE

任意の String

spi-jgroups-mtls--default--truststore-password

トラストストアにアクセスするためのパスワード。

CLI: --spi-jgroups-mtls--default--truststore-password
環境変数: KC_SPI_JGROUPS_MTLS__DEFAULT__TRUSTSTORE_PASSWORD

任意の Password

22.18. load-balancer-check
リンクのコピー

22.18.1. remote
リンクのコピー

Expand
 

spi-load-balancer-check--remote--poll-interval

接続の可用性を確認するためのリモートキャッシュのポーリング間隔 (ミリ秒単位)

CLI: --spi-load-balancer-check--remote--poll-interval
環境変数: KC_SPI_LOAD_BALANCER_CHECK__REMOTE__POLL_INTERVAL

5000 (デフォルト) または任意の int

22.19. login-protocol
リンクのコピー

22.19.1. openid-connect
リンクのコピー

Expand
 

spi-login-protocol--openid-connect--add-req-params-fail-fast

OIDC 認証リクエストに送信されたパラメーターに対して、一部の標準 OIDC パラメーターまたは追加の OIDC パラメーターの制限が満たされていない場合に、フェイルファーストストラテジーを適用するかどうか。

false の場合、設定を満たさない追加のリクエストパラメーターはすべて通知なしに無視されます。true の場合、例外が発生し、OIDC 認証要求は許可されません。

CLI: --spi-login-protocol--openid-connect--add-req-params-fail-fast
環境変数: KC_SPI_LOGIN_PROTOCOL__OPENID_CONNECT__ADD_REQ_PARAMS_FAIL_FAST

truefalse (デフォルト)

spi-login-protocol--openid-connect--add-req-params-max-number

OIDC 認証リクエストに送信される追加のリクエストパラメーターの最大数。

追加のリクエストパラメーターとは、標準の OIDC/OAuth2 プロトコルパラメーターとして直接扱われないカスタムパラメーターを意味します。追加のパラメーターは、OIDC トークンにカスタムクレームを追加する場合などに役立ちます (特定のプロトコルマッパーも設定されている場合)。

CLI: --spi-login-protocol--openid-connect--add-req-params-max-number
環境変数: KC_SPI_LOGIN_PROTOCOL__OPENID_CONNECT__ADD_REQ_PARAMS_MAX_NUMBER

5 (デフォルト) または任意の int

spi-login-protocol--openid-connect--add-req-params-max-overall-size

すべての追加リクエストパラメーター値の合計最大サイズ。

追加のリクエストパラメーターの詳細は、add-req-params-max-number を参照してください。

CLI: --spi-login-protocol--openid-connect--add-req-params-max-overall-size
環境変数: KC_SPI_LOGIN_PROTOCOL__OPENID_CONNECT__ADD_REQ_PARAMS_MAX_OVERALL_SIZE

2147483647 (デフォルト) または任意の int

spi-login-protocol--openid-connect--add-req-params-max-size

単一の追加リクエストパラメーター値の最大サイズ追加リクエストパラメーターの詳細は、add-req-params-max-number を参照してください。

CLI: --spi-login-protocol--openid-connect--add-req-params-max-size
環境変数: KC_SPI_LOGIN_PROTOCOL__OPENID_CONNECT__ADD_REQ_PARAMS_MAX_SIZE

2000 (デフォルト) または任意の int

spi-login-protocol--openid-connect--req-params-default-max-size

OIDC 認証要求に送信される標準 OIDC パラメーターの最大デフォルト長。

これは、statenonce などのほとんどの標準パラメーターに適用されます。例外は login_hint パラメーターで、最大長は 255 文字です。

CLI: --spi-login-protocol--openid-connect--req-params-default-max-size
環境変数: KC_SPI_LOGIN_PROTOCOL__OPENID_CONNECT__REQ_PARAMS_DEFAULT_MAX_SIZE

4000 (デフォルト) または任意の int

spi-login-protocol--openid-connect--req-params-max-size--login_hint

指定されたパラメーターに対してオーバーライドされる標準 OIDC 認証要求パラメーターの最大長。

一部の標準の OIDC パラメーターで req-params-default-max-size とは異なる制限が必要な場合に役立ちます。この接頭辞の後のパラメーター名を設定に追加する必要があります。この例では、login_hint パラメーターが使用されていますが、この形式は既知の標準 OIDC/OAuth2 パラメーターであればサポートされています。

CLI: --spi-login-protocol--openid-connect--req-params-max-size--login_hint
環境変数: KC_SPI_LOGIN_PROTOCOL__OPENID_CONNECT__REQ_PARAMS_MAX_SIZE__LOGIN_HINT

任意の int

22.19.2. saml
リンクのコピー

Expand
 

spi-login-protocol--saml--max-inflating-size

REDIRECT バインディングの最大展開サイズ (バイト単位)。

CLI: --spi-login-protocol--saml--max-inflating-size
環境変数: KC_SPI_LOGIN_PROTOCOL__SAML__MAX_INFLATING_SIZE

131072 (デフォルト) または任意の long

22.20. login-failure
リンクのコピー

22.20.1. remote
リンクのコピー

Expand
 

spi-login-failure--remote--max-retries

エラーが発生した場合の最大再試行回数。

値が 0 以下の場合、再試行は無効になります。

CLI: --spi-login-failure--remote--max-retries
環境変数: KC_SPI_LOGIN_FAILURE__REMOTE__MAX_RETRIES

10 (デフォルト) または任意の int

spi-login-failure--remote--retry-base-time

基本バックオフ時間 (ミリ秒単位)。

CLI: --spi-login-failure--remote--retry-base-time
環境変数: KC_SPI_LOGIN_FAILURE__REMOTE__RETRY_BASE_TIME

10 (デフォルト) または任意の int

22.21. mapped-diagnostic-context
リンクのコピー

22.21.1. default
リンクのコピー

Expand
 

spi-mapped-diagnostic-context--default--mdc-keys

Mapped Diagnostic Context に追加する MDC キーのコンマ区切りリスト。

CLI: --spi-mapped-diagnostic-context--default--mdc-keys
環境変数: KC_SPI_MAPPED_DIAGNOSTIC_CONTEXT__DEFAULT__MDC_KEYS

realmNameclientIduserIdipAddressorgsessionIdauthenticationSessionIdauthenticationTabId

22.22. password-hashing
リンクのコピー

22.22.1. argon2
リンクのコピー

Expand
 

spi-password-hashing--argon2--cpu-cores

ハッシュに使用する最大並列 CPU コア数

CLI: --spi-password-hashing--argon2--cpu-cores
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__CPU_CORES

任意の int

spi-password-hashing--argon2--hash-length

ハッシュの長さ

CLI: --spi-password-hashing--argon2--hash-length
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__HASH_LENGTH

32 (デフォルト) または任意の int

spi-password-hashing--argon2--iterations

イテレーション

CLI: --spi-password-hashing--argon2--iterations
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__ITERATIONS

5 (デフォルト) または任意の int

spi-password-hashing--argon2--memory

メモリーサイズ (KB)

CLI: --spi-password-hashing--argon2--memory
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__MEMORY

7168 (デフォルト) または任意の int

spi-password-hashing--argon2--parallelism

並列処理

CLI: --spi-password-hashing--argon2--parallelism
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__PARALLELISM

1 (デフォルト) または任意の int

spi-password-hashing--argon2--type

CLI: --spi-password-hashing--argon2--type
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__TYPE

id (デフォルト)、di

spi-password-hashing--argon2--version

Version

CLI: --spi-password-hashing--argon2--version
環境変数: KC_SPI_PASSWORD_HASHING__ARGON2__VERSION

1.3 (デフォルト)、1.0

22.23. public-key-storage
リンクのコピー

22.23.1. infinispan
リンクのコピー

Expand
 

spi-public-key-storage--infinispan--max-cache-time

すべての鍵方式によって鍵を取得したときに鍵をキャッシュする最大間隔 (秒単位)。

エントリーのすべての鍵を取得しても、(たとえば、鍵を ID によって取得する場合とは異なり) 鍵が欠落しているかどうかを検出する方法はありません。そのような場合、このオプションで、定期的に強制的に更新を行います。この時間はプロトコルによってオーバーライドできます (たとえば、SAML 記述子の cacheDuration または validUntil を使用する)。デフォルトは 24 時間です。

CLI: --spi-public-key-storage--infinispan--max-cache-time
環境変数: KC_SPI_PUBLIC_KEY_STORAGE__INFINISPAN__MAX_CACHE_TIME

86400 (デフォルト) または任意の int

spi-public-key-storage--infinispan--min-time-between-requests

新しい公開鍵を取得する 2 つの要求間の最小間隔 (秒単位)。

1 つの鍵が要求されても見つからなかった場合、サーバーは常に新しい公開鍵のダウンロードを試みます。ただし、前回の更新が 10 秒未満前に行われた場合は、ダウンロードが回避されます (デフォルト)。この動作は、外部の鍵エンドポイントに対する DoS 攻撃を回避するために使用されます。

CLI: --spi-public-key-storage--infinispan--min-time-between-requests
環境変数: KC_SPI_PUBLIC_KEY_STORAGE__INFINISPAN__MIN_TIME_BETWEEN_REQUESTS

10 (デフォルト) または任意の int

22.24. required-action
リンクのコピー

22.24.1. CONFIGURE_RECOVERY_AUTHN_CODES
リンクのコピー

Expand
 

spi-required-action--CONFIGURE_RECOVERY_AUTHN_CODES--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--CONFIGURE_RECOVERY_AUTHN_CODES--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__CONFIGURE_RECOVERY_AUTHN_CODES__MAX_AUTH_AGE

300 (デフォルト) または任意の String

spi-required-action--CONFIGURE_RECOVERY_AUTHN_CODES--warning_threshold

ユーザーのアカウントにある残りのリカバリーコードの数が、ここで設定した値よりも少ない場合、アカウントコンソールにユーザーへの警告が表示され、新しいリカバリーコードセットをセットアップするように推奨します。

CLI: --spi-required-action--CONFIGURE_RECOVERY_AUTHN_CODES--warning_threshold
環境変数: KC_SPI_REQUIRED_ACTION__CONFIGURE_RECOVERY_AUTHN_CODES__WARNING_THRESHOLD

4 (デフォルト) または任意の Integer

22.24.2. CONFIGURE_TOTP
リンクのコピー

Expand
 

spi-required-action--CONFIGURE_TOTP--add-recovery-codes

このオプションを有効にすると、ユーザーは OTP 設定に続いて回復コードを設定する必要が生じます。

ユーザーがすでにリカバリーコードを設定している場合、Keycloak はそれらのセットアップを求めません。前提条件として、リカバリーコードの必須アクションを有効にし、認証フローでリカバリーコードを有効にします。

CLI: --spi-required-action--CONFIGURE_TOTP--add-recovery-codes
環境変数: KC_SPI_REQUIRED_ACTION__CONFIGURE_TOTP__ADD_RECOVERY_CODES

truefalse (デフォルト)

spi-required-action--CONFIGURE_TOTP--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--CONFIGURE_TOTP--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__CONFIGURE_TOTP__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.3. TERMS_AND_CONDITIONS
リンクのコピー

Expand
 

spi-required-action--TERMS_AND_CONDITIONS--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--TERMS_AND_CONDITIONS--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__TERMS_AND_CONDITIONS__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.4. UPDATE_EMAIL
リンクのコピー

Expand
 

spi-required-action--UPDATE_EMAIL--email-resend-cooldown-seconds

別のメール確認メールを送信するまでの最小遅延秒数。

CLI: --spi-required-action--UPDATE_EMAIL--email-resend-cooldown-seconds
環境変数: KC_SPI_REQUIRED_ACTION__UPDATE_EMAIL__EMAIL_RESEND_COOLDOWN_SECONDS

30 (デフォルト) または任意の String

spi-required-action--UPDATE_EMAIL--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--UPDATE_EMAIL--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__UPDATE_EMAIL__MAX_AUTH_AGE

300 (デフォルト) または任意の String

spi-required-action--UPDATE_EMAIL--verify-email

有効にすると、レルムレベルでメール検証が有効になっているかどうかに関係なく、ユーザーはメールを強制的に検証することになります。

それ以外の場合、検証はレルムレベルの設定に基づいて行われます。

CLI: --spi-required-action--UPDATE_EMAIL--verify-email
環境変数: KC_SPI_REQUIRED_ACTION__UPDATE_EMAIL__VERIFY_EMAIL

truefalse (デフォルト)

22.24.5. UPDATE_PASSWORD
リンクのコピー

Expand
 

spi-required-action--UPDATE_PASSWORD--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--UPDATE_PASSWORD--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__UPDATE_PASSWORD__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.6. UPDATE_PROFILE
リンクのコピー

Expand
 

spi-required-action--UPDATE_PROFILE--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--UPDATE_PROFILE--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__UPDATE_PROFILE__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.7. VERIFY_EMAIL
リンクのコピー

Expand
 

spi-required-action--VERIFY_EMAIL--email-resend-cooldown-seconds

別のメール確認メールを送信するまでの最小遅延秒数。

CLI: --spi-required-action--VERIFY_EMAIL--email-resend-cooldown-seconds
環境変数: KC_SPI_REQUIRED_ACTION__VERIFY_EMAIL__EMAIL_RESEND_COOLDOWN_SECONDS

30 (デフォルト) または任意の String

spi-required-action--VERIFY_EMAIL--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--VERIFY_EMAIL--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__VERIFY_EMAIL__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.8. VERIFY_PROFILE
リンクのコピー

Expand
 

spi-required-action--VERIFY_PROFILE--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--VERIFY_PROFILE--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__VERIFY_PROFILE__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.9. delete_credential
リンクのコピー

Expand
 

spi-required-action--delete_credential--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--delete_credential--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__DELETE_CREDENTIAL__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.10. idp_link
リンクのコピー

Expand
 

spi-required-action--idp_link--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--idp_link--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__IDP_LINK__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.11. update_user_locale
リンクのコピー

Expand
 

spi-required-action--update_user_locale--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--update_user_locale--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__UPDATE_USER_LOCALE__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.12. webauthn-register
リンクのコピー

Expand
 

spi-required-action--webauthn-register--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--webauthn-register--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__WEBAUTHN_REGISTER__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.24.13. webauthn-register-passwordless
リンクのコピー

Expand
 

spi-required-action--webauthn-register-passwordless--max_auth_age

最後の認証後、ユーザーが再認証を要求されるまでにこのアクションを使用できる期間を秒単位で設定します。

このパラメーターは、リクエストで kc_action パラメーターが使用可能な場合、つまり、ユーザー自身がアカウントコンソールでパスワードを更新する場合などに、AIA のコンテキストでのみ使用されます。

CLI: --spi-required-action--webauthn-register-passwordless--max_auth_age
環境変数: KC_SPI_REQUIRED_ACTION__WEBAUTHN_REGISTER_PASSWORDLESS__MAX_AUTH_AGE

300 (デフォルト) または任意の String

22.25. resource-encoding
リンクのコピー

22.25.1. gzip
リンクのコピー

Expand
 

spi-resource-encoding--gzip--excluded-content-types

エンコードから除外するコンテンツ型のスペース区切りリスト。

CLI: --spi-resource-encoding--gzip--excluded-content-types
環境変数: KC_SPI_RESOURCE_ENCODING__GZIP__EXCLUDED_CONTENT_TYPES

image/png image/jpeg (デフォルト) または任意の string

22.26. security-profile
リンクのコピー

22.26.1. default
リンクのコピー

Expand
 

spi-security-profile--default--name

使用するセキュリティー設定ファイルの名前。

ファイル name.json は、classapth および conf インストールフォルダーで検索されます。

CLI: --spi-security-profile--default--name
環境変数: KC_SPI_SECURITY_PROFILE__DEFAULT__NAME

任意の string

22.27. single-use-object
リンクのコピー

22.27.1. infinispan
リンクのコピー

Expand
 

spi-single-use-object--infinispan--persist-revoked-tokens

取り消されたトークンが再起動後も永続的に保存される場合

CLI: --spi-single-use-object--infinispan--persist-revoked-tokens
環境変数: KC_SPI_SINGLE_USE_OBJECT__INFINISPAN__PERSIST_REVOKED_TOKENS

true (デフォルト)、false

22.27.2. remote
リンクのコピー

Expand
 

spi-single-use-object--remote--persist-revoked-tokens

取り消されたトークンが再起動後も永続的に保存される場合

CLI: --spi-single-use-object--remote--persist-revoked-tokens
環境変数: KC_SPI_SINGLE_USE_OBJECT__REMOTE__PERSIST_REVOKED_TOKENS

true (デフォルト)、false

22.28. sticky-session-encoder
リンクのコピー

22.28.1. infinispan
リンクのコピー

Expand
 

spi-sticky-session-encoder--infinispan--should-attach-route

特定のセッションを所有するノードを反映するために、ルートを cookie にアタッチする必要があるかどうか。

CLI: --spi-sticky-session-encoder--infinispan--should-attach-route
環境変数: KC_SPI_STICKY_SESSION_ENCODER__INFINISPAN__SHOULD_ATTACH_ROUTE

true (デフォルト)、false

22.28.2. remote
リンクのコピー

Expand
 

spi-sticky-session-encoder--remote--should-attach-route

特定のセッションを所有するノードを反映するために、ルートを cookie にアタッチする必要があるかどうか。

CLI: --spi-sticky-session-encoder--remote--should-attach-route
環境変数: KC_SPI_STICKY_SESSION_ENCODER__REMOTE__SHOULD_ATTACH_ROUTE

true (デフォルト)、false

22.29. storage
リンクのコピー

22.29.1. ldap
リンクのコピー

Expand
 

spi-storage--ldap--secure-referral

セキュアな LDAP 参照のみを許可する (非推奨)

CLI: --spi-storage--ldap--secure-referral
環境変数: KC_SPI_STORAGE__LDAP__SECURE_REFERRAL

true (デフォルト)、false

22.30. truststore
リンクのコピー

22.30.1. file
リンクのコピー

Expand
 

spi-truststore--file--file

非推奨: TLS 接続を検証するための証明書の読み取り先であるトラストストアのファイルパス。

CLI: --spi-truststore--file--file
環境変数: KC_SPI_TRUSTSTORE__FILE__FILE

任意の string

spi-truststore--file--hostname-verification-policy

非推奨: ホスト名検証ポリシー。

CLI: --spi-truststore--file--hostname-verification-policy
環境変数: KC_SPI_TRUSTSTORE__FILE__HOSTNAME_VERIFICATION_POLICY

ANYWILDCARDSTRICTDEFAULT (default)

spi-truststore--file--password

非推奨: トラストストアのパスワード。

CLI: --spi-truststore--file--password
環境変数: KC_SPI_TRUSTSTORE__FILE__PASSWORD

任意の string

spi-truststore--file--type

非推奨: トラストストアのタイプ。

指定しない場合、トラストストアのファイル拡張子またはデフォルトのプラットフォームタイプに基づきタイプが検出されます。

CLI: --spi-truststore--file--type
環境変数: KC_SPI_TRUSTSTORE__FILE__TYPE

任意の string

22.31. user-profile
リンクのコピー

22.31.1. declarative-user-profile
リンクのコピー

Expand
 

spi-user-profile--declarative-user-profile--admin-read-only-attributes

管理者が変更できないように、読み取り専用として扱う必要があるフィールドを識別するための正規表現の配列。

CLI: --spi-user-profile--declarative-user-profile--admin-read-only-attributes
環境変数: KC_SPI_USER_PROFILE__DECLARATIVE_USER_PROFILE__ADMIN_READ_ONLY_ATTRIBUTES

任意の MultivaluedString

spi-user-profile--declarative-user-profile--max-email-local-part-length

ユーザープロファイルのメールローカル部分の最大長を設定します。

CLI: --spi-user-profile--declarative-user-profile--max-email-local-part-length
環境変数: KC_SPI_USER_PROFILE__DECLARATIVE_USER_PROFILE__MAX_EMAIL_LOCAL_PART_LENGTH

任意の String

spi-user-profile--declarative-user-profile--read-only-attributes

ユーザーが変更できないように、読み取り専用として扱う必要があるフィールドを識別するための正規表現の配列。

CLI: --spi-user-profile--declarative-user-profile--read-only-attributes
環境変数: KC_SPI_USER_PROFILE__DECLARATIVE_USER_PROFILE__READ_ONLY_ATTRIBUTES

任意の MultivaluedString

22.32. user-sessions
リンクのコピー

22.32.1. infinispan
リンクのコピー

Expand
 

spi-user-sessions--infinispan--max-batch-size

バッチサイズの最大サイズ (永続セッションにのみ適用)

CLI: --spi-user-sessions--infinispan--max-batch-size
環境変数: KC_SPI_USER_SESSIONS__INFINISPAN__MAX_BATCH_SIZE

4 (デフォルト) または任意の int

spi-user-sessions--infinispan--offline-client-session-cache-entry-lifespan-override

オフラインクライアントセッションをメモリーに保持する時間を秒単位でオーバーライドします (非推奨、Keycloak 27 で削除予定)

CLI: --spi-user-sessions--infinispan--offline-client-session-cache-entry-lifespan-override
環境変数: KC_SPI_USER_SESSIONS__INFINISPAN__OFFLINE_CLIENT_SESSION_CACHE_ENTRY_LIFESPAN_OVERRIDE

任意の int

spi-user-sessions--infinispan--offline-session-cache-entry-lifespan-override

オフラインユーザーセッションをメモリーに保持する時間を秒単位でオーバーライドします (非推奨、Keycloak 27 で削除予定)

CLI: --spi-user-sessions--infinispan--offline-session-cache-entry-lifespan-override
環境変数: KC_SPI_USER_SESSIONS__INFINISPAN__OFFLINE_SESSION_CACHE_ENTRY_LIFESPAN_OVERRIDE

任意の int

spi-user-sessions--infinispan--use-batches

データベースへのバッチ書き込みを有効または無効にします。

persistent-user-sessions 機能によりデフォルトで有効化されています。

CLI: --spi-user-sessions--infinispan--use-batches
環境変数: KC_SPI_USER_SESSIONS__INFINISPAN__USE_BATCHES

truefalse (デフォルト)

spi-user-sessions--infinispan--use-caches

キャッシュを有効または無効にします。

外部リモートキャッシュのみを使用する外部機能が使用されない限り、デフォルトで有効になります。

CLI: --spi-user-sessions--infinispan--use-caches
環境変数: KC_SPI_USER_SESSIONS__INFINISPAN__USE_CACHES

truefalse

22.32.2. remote
リンクのコピー

Expand
 

spi-user-sessions--remote--batch-size

リモートキャッシュからセッションをストリーミングする場合のバッチサイズ

CLI: --spi-user-sessions--remote--batch-size
環境変数: KC_SPI_USER_SESSIONS__REMOTE__BATCH_SIZE

1024 (デフォルト) または任意の int

spi-user-sessions--remote--max-retries

エラーが発生した場合の最大再試行回数。

値が 0 以下の場合、再試行は無効になります。

CLI: --spi-user-sessions--remote--max-retries
環境変数: KC_SPI_USER_SESSIONS__REMOTE__MAX_RETRIES

10 (デフォルト) または任意の int

spi-user-sessions--remote--retry-base-time

基本バックオフ時間 (ミリ秒単位)。

CLI: --spi-user-sessions--remote--retry-base-time
環境変数: KC_SPI_USER_SESSIONS__REMOTE__RETRY_BASE_TIME

10 (デフォルト) または任意の int

22.33. well-known
リンクのコピー

22.33.1. oauth-authorization-server
リンクのコピー

Expand
 

spi-well-known--oauth-authorization-server--include-client-scopes

サポートされるスコープのリストを計算するために、クライアントスコープを使用する必要があかどうか。

CLI: --spi-well-known--oauth-authorization-server--include-client-scopes
環境変数: KC_SPI_WELL_KNOWN__OAUTH_AUTHORIZATION_SERVER__INCLUDE_CLIENT_SCOPES

true (デフォルト)、false

spi-well-known--oauth-authorization-server--openid-configuration-override

メタデータのロード元となるファイルパス。

絶対ファイルパスを使用できます。また、ファイルがサーバークラスパスにある場合は、classpath: を接頭辞として使用してクラスパスからファイルをロードすることもできます。

CLI: --spi-well-known--oauth-authorization-server--openid-configuration-override
環境変数: KC_SPI_WELL_KNOWN__OAUTH_AUTHORIZATION_SERVER__OPENID_CONFIGURATION_OVERRIDE

任意の string

22.33.2. openid-configuration
リンクのコピー

Expand
 

spi-well-known--openid-configuration--include-client-scopes

サポートされるスコープのリストを計算するために、クライアントスコープを使用する必要があかどうか。

CLI: --spi-well-known--openid-configuration--include-client-scopes
環境変数: KC_SPI_WELL_KNOWN__OPENID_CONFIGURATION__INCLUDE_CLIENT_SCOPES

true (デフォルト)、false

spi-well-known--openid-configuration--openid-configuration-override

メタデータのロード元となるファイルパス。

絶対ファイルパスを使用できます。また、ファイルがサーバークラスパスにある場合は、classpath: を接頭辞として使用してクラスパスからファイルをロードすることもできます。

CLI: --spi-well-known--openid-configuration--openid-configuration-override
環境変数: KC_SPI_WELL_KNOWN__OPENID_CONFIGURATION__OPENID_CONFIGURATION_OVERRIDE

任意の string

第23章 ローリング更新が可能かどうかを確認する
リンクのコピー

更新互換性コマンドを実行して、Red Hat build of Keycloak がデプロイメントの変更に対するローリング更新をサポートしているかどうかを確認します。

機能を有効化または無効化するとき、あるいは Red Hat build of Keycloak のバージョン、設定、プロバイダー、テーマを変更するときに、ローリング更新ストラテジーを使用してデプロイメントを更新できるかどうかを確認するには、更新互換性コマンドを使用します。結果には、ローリング更新が可能かどうか、または再作成更新が必要かどうかが示されます。

現在のバージョンでは、古いバージョンと新しいバージョンの Red Hat build of Keycloak バージョンが同じである場合にローリング更新が可能であることを示しています。Red Hat build of Keycloak の今後のバージョンでは、その動作が変更され、設定、イメージ、バージョンからの追加情報を使用して、ローリング更新でダウンタイムを削減可能かどうかが判断されます。

注記

この機能の次のイテレーションでは、Red Hat build of Keycloak の次のパッチリリースに更新する際にも、ローリング更新ストラテジーを使用できます。詳細は、「パッチリリースのローリング更新」 セクションを参照してください。

これは完全にスクリプト化可能であるため、更新手順ではその情報を使用して、実行された変更に応じてローリングを実行したり、ストラテジーを再作成したりできます。また、以前の設定のメタデータをファイルに保存できるため、GitOps にも適しています。このファイルを新しい設定の CI/CD パイプラインで使用して、ローリング更新が可能かどうか、または再作成更新が必要かどうかを判断します。

Red Hat build of Keycloak Operator を使用している場合は、ローリング更新によるダウンタイムの回避 の章と Auto ストラテジーに移動して、詳細を確認してください。

23.1. サポート対象の更新ストラテジー
リンクのコピー

ローリング更新
このガイドでは、ローリング更新とは、少なくとも 2 つのノードで構成されるデプロイメントに対して、ダウンタイムなしで実行できる更新を指します。Red Hat build of Keycloak を 1 つずつ更新します。古いデプロイメントノードの 1 つをシャットダウンし、新しいデプロイメントノードを起動します。Red Hat build of Keycloak に進む前に、新しいノードの起動プローブが成功を返すまで待機します。起動プローブを有効にして使用する方法の詳細は ヘルスチェックによるインスタンスステータスの追跡 の章を参照してください。
再作成更新
再作成更新はゼロダウンタイムと互換性がないため、ダウンタイムを適用する必要があります。新しいバージョンのノードを起動する前に、古いバージョンを実行しているクラスターのすべてのノードをシャットダウンします。

23.2. 更新された設定に対する更新ストラテジーの決定
リンクのコピー

ローリング更新が可能かどうかを判断するには、以下を実行します。

  1. 更新互換性コマンドを実行して、古い設定で必要なメタデータを生成します。
  2. 新しい設定でメタデータをチェックして、更新ストラテジーを決定します。
注記

--optimized を使用しない場合、update コマンドによって暗黙的に最適化されたビルドが作成または更新される可能性があることに注意してください。サーバーインスタンスと同じマシンからコマンドを実行している場合、サーバーの次回の起動に影響する可能性があります。

警告

これらのコマンドのコンシューマーは、メタデータファイルの内部動作や構造に依存しないでください。今後の内部ロジックの改善によるメリットを得るためにも、ローリングアップデートの可否判断には、check コマンドの終了コードのみをもとに判断するようにしてください。

23.2.1. メタデータの生成
リンクのコピー

メタデータを生成するには、同じ Red Hat build of Keycloak バージョンと設定オプションを使用して、次のコマンドを実行します。

現在のデプロイメントからメタデータを生成して保存します。

bin/kc.[sh|bat] update-compatibility metadata --file=/path/to/file.json

このコマンドは、start コマンドで使用されるオプションをすべて使用できます。このコマンドは、デバッグの目的で、JSON 形式でメタデータをコンソールに表示します。--file パラメーターを使用すると、メタデータをファイルに保存できます。このファイルを後続の check コマンドで使用します。

警告

上記のコマンドを実行する際は、環境変数か CLI 引数かに関係なく、すべての設定オプションが含まれていることを確認してください。

設定オプションを省略すると、メタデータが不完全になり、次のステップで間違った結果が報告される可能性があります。

23.2.2. メタデータの確認
リンクのコピー

このコマンドは、前のコマンドによって生成されたメタデータをチェックして、現在の設定と Red Hat build of Keycloak と比較します。新しい Red Hat build of Keycloak バージョンに更新する場合は、このコマンドを新しいバージョンで実行する必要があります。

以前のデプロイメントからのメタデータを確認します。

bin/kc.[sh|bat] update-compatibility check --file=/path/to/file.json

警告
  • コマンドを実行する際は、環境変数か CLI 引数かに関係なく、すべての設定オプションが含まれていることを確認してください。
  • 正しい Red Hat build of Keycloak バージョンが使用されていることを確認します。

これらの要件を満たさない場合、結果は不正確になります。

コマンドは結果をコンソールに出力します。たとえば、ローリング更新が可能な場合は、次のように表示されます。

ローリング更新が可能であることを示すメッセージ

[OK] Rolling Update is available.

ローリング更新が不可能な場合、このコマンドで互換性がない旨の情報が表示されます。

ローリング更新が不可能であることを示すメッセージ

[keycloak] Rolling Update is not available. 'keycloak.version' is incompatible: 26.2.0 -> 26.2.1
1

1
この例では、Keycloak バージョン 26.2.0 はバージョン 26.2.1 と互換性がなく、ローリング更新は実行できません。
注記

この機能の次のイテレーションでは、Red Hat build of Keycloak の次のパッチリリースに更新する際にも、ローリング更新ストラテジーを使用できます。詳細は、「パッチリリースのローリング更新」 セクションを参照してください。

コマンド終了コード

コマンドの終了コードを使用して、自動化パイプラインの更新タイプを判別します。

Expand
終了コード説明

0

ローリング更新が可能です。

1

予期しないエラーが発生しました (メタデータファイルが見つからないか破損しているなど)。

2

無効な CLI オプションです。

3

ローリング更新はできません。新しい設定を適用する前に、デプロイメントをシャットダウンする必要があります。

4

ローリング更新はできません。rolling-updates 機能は無効になっています。

23.3. 互換性のない変更のローリング
リンクのコピー

次の設定変更では、"Rolling Update is not possible" という結果コードが返されます。

23.3.1. 機能
リンクのコピー

23.3.1.1. 常に再作成する
リンクのコピー

以下の機能を有効化または無効化する場合、再作成更新が必要です。

Expand
機能説明

multi-site:v1

マルチサイトサポート

persistent-user-sessions:v1

再起動やアップグレード後もオンラインユーザーセッションが維持される

23.3.1.2. 機能バージョンの変更時に再作成する
リンクのコピー

以下の機能のバージョンを変更すると、再作成更新がトリガーされます。

Expand
機能説明

login:v1

レガシーログインテーマ

login:v2

新しいログインテーマ

passkeys-conditional-ui-authenticator:v1

Passkeys 条件付き UI オーセンティケーター

23.3.2. 設定オプション
リンクのコピー

以下のいずれかの CLI オプションの値を変更すると、再作成更新がトリガーされます。

Expand
表23.1 Cache
オプション理由

--cache

ispnlocal 設定は相互に排他的であり、一方から他方へ変更するとデータが失われます。

--cache-config-file

設定ファイルを変更すると、キャッシュまたはトランスポート設定に互換性がなくなり、クラスターが期待どおりに形成されなくなる可能性があります。

--cache-stack

スタックを変更すると、ローリング更新中にクラスターが形成されなくなり、データが失われます。

--cache-embedded-mtls-enabled

TLS を有効化/無効化すると、ローリング更新中にクラスターが形成されなくなり、データが失われます。

--cache-remote-host

新しいリモートキャッシュに接続すると、以前にキャッシュされたデータが失われます。

--cache-remote-port

新しいリモートキャッシュに接続すると、以前にキャッシュされたデータが失われます。

警告

Red Hat build of Keycloak は、--cache-config-file を介して提供されるキャッシュ設定ファイルの内容の変更を検証しません。このファイルを変更する場合は、新しい設定を使用するノードが古い設定を実行しているノードとクラスターを形成できることを確認するために、変更内容を確認してテストする必要があります。クラスターを形成できない場合は、新しい設定に移行する前に、まず古い設定を実行している Red Hat build of Keycloak をシャットダウンする必要があります。

Expand
表23.2 データベース
オプション理由

--db

データの一貫性を確保するために、新しいデータベースベンダーへの移行をすべてのクラスターメンバーに適用する必要があります。

--db-schema

データの一貫性を確保するために、新しいデータベーススキーマへの移行をすべてのクラスターメンバーに適用する必要があります。

--db-url-database

データの一貫性を確保するために、新しいデータベース名への移行をすべてのクラスターメンバーに適用する必要があります。

--db-url-host

データの一貫性を確保するには、すべてのクラスターメンバーが同じデータベースに接続する必要があります。

--db-url-port

データの一貫性を確保するには、すべてのクラスターメンバーが同じデータベースに接続する必要があります。

警告

Red Hat build of Keycloak では、JDBC プロパティーの変更を容易にするために、--db-url オプションの変更をロールアウトできます。ホスト、ポート、またはデータベース名を変更すると、異なるクラスターメンバーが別のデータベースに接続し、データの一貫性の問題が発生する可能性があるため、この値を更新するときは十分注意する必要があります。

23.4. パッチリリースのローリング更新
リンクのコピー

警告

この動作は現在プレビューモードであり、実稼働環境での使用は推奨されません。

同じ major.minor リリースストリーム内の新しいパッチバージョンにアップグレードする際に、ローリング更新を許可するように Red Hat build of Keycloak 互換性コマンドを設定できます。

互換性チェックコマンドでこの動作を有効化するには、次の例のように rolling-updates:v2 機能を有効化します。 

bin/kc.[sh|bat] update-compatibility check --file=/path/to/file.json --features=rolling-updates:v2

metadata コマンドを使用してメタデータを生成する場合は、変更の必要がないことに注意してください。

推奨される設定:

  • ロードバランサーでスティッキーセッションを有効化して、ユーザーが Red Hat build of Keycloak の異なるバージョン間を行き来することを防ぎます。そうしないと、アップグレードの進行中にユーザーがアカウントコンソールおよび管理 UI を複数回更新する必要が生じる可能性があります。

ローリング更新中にサポートされる機能:

  • ユーザーは OpenID Connect クライアントにログインおよびログアウトできます。
  • OpenID Connect クライアントは、トークンの更新やユーザー情報エンドポイントのクエリーなど、すべての操作を実行できます。

既知の制限

  • パッチリリースでアカウントコンソールまたは管理 UI に変更があり、ユーザーがアップグレード前またはアップグレード中にアカウントコンソールまたは管理 UI を開いた場合、アップグレード中またはアップグレード後にブラウザーで操作している際にエラーメッセージが表示され、アプリケーションの再読み込みを求められることがあります。
  • Red Hat build of Keycloak の 2 つのパッチリリースで、組み込み Infinispan の異なるバージョンが使用されている場合、Red Hat build of Keycloak のローリング更新は実行されません。

23.5. 関連資料
リンクのコピー

Red Hat build of Keycloak Operator は、上記の機能を使用して、ローリング更新が可能かどうかを判断します。詳細は、ローリング更新によるダウンタイムの回避 の章と Auto ストラテジーを参照してください。

23.6. 関連するオプション
リンクのコピー

Expand
 

features 🛠

1 つ以上の機能セットを有効にします。

CLI: --features
環境変数: KC_FEATURES

account-api[:v1], account[:v3], admin-api[:v1], admin-fine-grained-authz[:v1,v2], admin[:v2], authorization[:v1], ciba[:v1], client-auth-federated[:v1], client-policies[:v1], client-secret-rotation[:v1], client-types[:v1], clusterless[:v1], db-tidb[:v1], declarative-ui[:v1], device-flow[:v1], docker[:v1], dpop[:v1], dynamic-scopes[:v1], fips[:v1], hostname[:v2], impersonation[:v1], instagram-broker[:v1], ipa-tuura-federation[:v1], kerberos[:v1], kubernetes-service-accounts[:v1], log-mdc[:v1], login[:v2,v1], logout-all-sessions[:v1], multi-site[:v1], oid4vc-vci[:v1], opentelemetry[:v1], organization[:v1], par[:v1], passkeys-conditional-ui-authenticator[:v1], passkeys[:v1], persistent-user-sessions[:v1], preview, quick-theme[:v1], recovery-codes[:v1], rolling-updates[:v1,v2], scripts[:v1], spiffe[:v1], step-up-authentication[:v1], token-exchange-external-internal[:v2], token-exchange-standard[:v2], token-exchange[:v1], transient-users[:v1], update-email[:v1], user-event-metrics[:v1], web-authn[:v1], workflows[:v1]

features-disabled 🛠

1 つ以上の機能のセットを無効にします。

CLI: --features-disabled
環境変数: KC_FEATURES_DISABLED

account, account-api, admin, admin-api, admin-fine-grained-authz, authorization, ciba, client-auth-federated, client-policies, client-secret-rotation, client-types, clusterless, db-tidb, declarative-ui, device-flow, docker, dpop, dynamic-scopes, fips, impersonation, instagram-broker, ipa-tuura-federation, kerberos, kubernetes-service-accounts, log-mdc, login, logout-all-sessions, multi-site, oid4vc-vci, opentelemetry, organization, par, passkeys, passkeys-conditional-ui-authenticator, persistent-user-sessions, preview, quick-theme, recovery-codes, rolling-updates, scripts, spiffe, step-up-authentication, token-exchange, token-exchange-external-internal, token-exchange-standard, transient-users, update-email, user-event-metrics, web-authn, workflows

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る