第6章 OpenID Connect (OIDC) 設定プロパティー
Quarkus 開発者は、src/main/resources/application.properties ファイルで次のプロパティーを設定して、Quarkus OpenID Connect (OIDC) エクステンションを設定します。
6.1. OIDC 設定
ビルド時に固定された設定プロパティー: その他の設定プロパティーはすべて実行時にオーバーライド可能
| 設定プロパティー | 型 | デフォルト |
|
OIDC エクステンションが有効になっている場合。
環境変数: | boolean |
|
|
OIDC 'service' アプリケーションをテストするためのトークンを取得するために使用されるグラントタイプ
環境変数: | client: 'client_credentials' グラント password: 'password' グラント code: 'authorization_code' グラント implicit: 'implicit' グラント | |
|
グラントオプション
環境変数: | Map<String,Map<String,String>> | |
|
WebClient のタイムアウト。このプロパティーを使用して、OpenId Connect Provider からトークンを要求し、それをサービスエンドポイントに送信するときに、Dev UI ハンドラーによって使用される HTTP クライアントが応答を待機する時間を設定します。このタイムアウトは、OIDC 開発サービス管理クライアントでも使用されます。
環境変数: |
| |
|
デフォルトの TokenIntrospection および UserInfo Cache 実装 Bean の登録を有効にします。注記: これにより、デフォルトの実装のみが有効になります。有効にするには設定が必要です。
環境変数: | boolean |
|
|
OpenID Connect (OIDC) サーバーのベース URL (例:
環境変数: | string | |
|
OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。
環境変数: | boolean |
|
|
アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。
環境変数: | string | |
|
OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。
環境変数: | string | |
|
アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。
環境変数: | string | |
|
アプリケーションのクライアント名。これは、アプリケーション (クライアント) が OpenId Connect プロバイダーのダッシュボードに登録されるときに提供できる、人間が判読できる形式のアプリケーションの説明を示すことを目的としています。たとえば、このプロパティーを設定すると、特定のクライアントのアクティビティーを記録した、より有益なログメッセージを取得できます。
環境変数: | string | |
|
OIDC サーバーへの初期接続を試行する期間。たとえば、期間を
環境変数: | ||
|
既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される
環境変数: | int |
|
|
現在の OIDC 接続リクエストがタイムアウトするまでの秒数。
環境変数: |
| |
|
DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。
環境変数: | boolean |
|
|
WebClient が使用する接続プールの最大サイズ。
環境変数: | int | |
|
環境変数: | string | |
|
クライアントシークレットの値。
環境変数: | string | |
|
CredentialsProvider Bean 名。複数の CredentialsProvider が登録されている場合にのみ設定する必要があります。
環境変数: | string | |
|
CredentialsProvider のキーリング名。キーリング名は、使用されている CredentialsProvider がシークレットを検索するためにキーリング名を必要とする場合にのみ必要です。これは、vault インスタンスやシークレットマネージャーなど、より動的なソースから認証情報を取得するために、CredentialsProvider が複数のエクステンションによって共有される場合によく発生します。
環境変数: | string | |
|
CredentialsProvider クライアントのシークレットキー
環境変数: | string | |
|
認証方法。
環境変数: |
basic:
post:
post-jwt: query: クライアント ID とシークレットが、HTTP クエリーパラメーターとして送信されます。このオプションは OIDC エクステンションでのみサポートされます。 | |
|
JWT トークンソース: OIDC プロバイダークライアントまたは既存の JWT ベアラートークン。
環境変数: |
|
|
|
指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。
環境変数: | string | |
|
CredentialsProvider Bean 名。複数の CredentialsProvider が登録されている場合にのみ設定する必要があります。
環境変数: | string | |
|
CredentialsProvider のキーリング名。キーリング名は、使用されている CredentialsProvider がシークレットを検索するためにキーリング名を必要とする場合にのみ必要です。これは、vault インスタンスやシークレットマネージャーなど、より動的なソースから認証情報を取得するために、CredentialsProvider が複数のエクステンションによって共有される場合によく発生します。
環境変数: | string | |
|
CredentialsProvider クライアントのシークレットキー
環境変数: | string | |
|
秘密鍵の文字列表現。指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。
環境変数: | string | |
|
指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。
環境変数: | string | |
|
指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。
環境変数: | string | |
|
キーストアファイルのパスワードを指定するためのパラメーター。
環境変数: | string | |
|
秘密鍵の ID またはエイリアス。
環境変数: | string | |
|
秘密鍵のパスワード。
環境変数: | string | |
|
JWT オーディエンス (
環境変数: | string | |
|
JWT
環境変数: | string | |
|
JWT
環境変数: | string | |
|
JWT
環境変数: | string | |
|
追加のクレーム。
環境変数: | Map<String,String> | |
|
環境変数: | string | |
|
JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。
環境変数: | int |
|
|
true の場合、クライアント認証トークンは JWT ベアラーグラントアサーションです。'client_assertion' および 'client_assertion_type' フォームプロパティーを生成する代わりに、'assertion' のみが生成されます。このオプションは、OIDC クライアントエクステンションでのみサポートされます。
環境変数: | boolean |
|
|
プロキシーのホスト名または IP アドレス。
環境変数: | string | |
|
プロキシーのポート番号。デフォルト値は
環境変数: | int |
|
|
プロキシーに認証が必要な場合のユーザー名。
環境変数: | string | |
|
プロキシーに認証が必要な場合のパスワード。
環境変数: | string | |
|
証明書の検証とホスト名の検証。次のいずれかの
環境変数: | required: 証明書が検証され、ホスト名の検証が有効になります。これはデフォルト値です。 certificate-validation: 証明書は検証されますが、ホスト名の検証は無効になります。 none: すべての証明書が信頼され、ホスト名の検証が無効になります。 | |
|
個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。
環境変数: | path | |
|
キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: | string | |
|
キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: | string | |
|
キーストアファイルのパスワード。指定しない場合は、デフォルト値の
環境変数: | string | |
|
キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。
環境変数: | string | |
|
キーのパスワード (
環境変数: | string | |
|
信頼する証明書の証明書情報を保持するトラストストア。
環境変数: | path | |
|
トラストストアファイルのパスワード。
環境変数: | string | |
|
トラストストア証明書のエイリアス。
環境変数: | string | |
|
トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: | string | |
|
トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: | string | |
|
一意のテナント識別子。これは、テナント設定を動的に解決する
環境変数: | string | |
|
このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する
環境変数: | boolean |
|
|
アプリケーションの種類。次の
環境変数: |
web-app:
service:
hybrid: | service |
|
ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、
環境変数: | string | |
|
OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、
環境変数: | string | |
|
不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: | string | |
|
JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: | string | |
|
OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、
環境変数: | string | |
|
このテナントによって保護される必要があるパス。最も詳細なパスを持つテナントが優先されます。許可されるパスパターンの説明については、OIDC マルチテナンシーガイドの テナントパスを設定する セクションを参照してください。
環境変数: | 文字列のリスト | |
|
ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。
環境変数: | string | |
|
名前
環境変数: | string | |
|
シークレット
環境変数: | string | |
|
環境変数: | boolean |
|
|
グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに
環境変数: | 文字列のリスト | |
|
複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準
環境変数: | string | |
|
主なロールのソース。
環境変数: |
idtoken: ID トークン -
accesstoken: アクセストークン - userinfo: ユーザー情報。 | |
|
予想される発行者
環境変数: | string | |
|
予想される audience
環境変数: | 文字列のリスト | |
|
トークンに、現在のユーザーに対して一意で再割り当てされない識別子である
環境変数: | boolean |
|
|
必要なクレームとその期待値のマップ。たとえば
環境変数: | Map<String,String> | |
|
予想されるトークンの種類
環境変数: | string | |
|
期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。
環境変数: | int | |
|
トークンの経過時間。
環境変数: | ||
|
トークンに
環境変数: | boolean |
|
|
プリンシパル名を含むクレームの名前。デフォルトでは、
環境変数: | string | |
|
期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、
環境変数: | boolean |
|
|
更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。
環境変数: | ||
|
強制的な JWK セットの更新間隔 (分単位)。
環境変数: |
| |
|
ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが
環境変数: | string | |
|
HTTP 認可ヘッダースキーム。
環境変数: | string |
|
|
必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。
環境変数: |
| |
|
復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、
環境変数: | string | |
|
一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで
環境変数: | boolean |
|
|
JWT トークンはリモートでのみイントロスペクトされるように要求します。
環境変数: | boolean |
|
|
不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを
環境変数: | boolean |
|
|
トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム
環境変数: | string | |
|
不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。
環境変数: | boolean |
|
|
アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。
環境変数: | string | |
|
OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。
環境変数: | string | |
|
ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。
環境変数: | string |
|
|
ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。
環境変数: | Map<String,String> | |
|
アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。先頭がスラッシュ '/' である必要があります (例: '/back-channel-logout')。この値は常に 'quarkus.http.root-path' を基準として解決されます。
環境変数: | string | |
|
セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。
環境変数: | int |
|
|
ログアウトトークンをキャッシュできる時間 (分)。
環境変数: |
| |
|
トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: | ||
|
トークンをキャッシュするためのキーとして値が使用されるログアウトトークンクレーム。キーとして使用できるのは、
環境変数: | string |
|
|
アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。
環境変数: | string | |
|
リーフ証明書のコモンネーム。この証明書が
環境変数: | string | |
|
信頼された証明書のサムプリントを保存する Truststore ファイル。
環境変数: | path | |
|
環境変数: | string | |
|
トラストストア証明書のエイリアスを指定するためのパラメーター。
環境変数: | string | |
|
トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: | string | |
|
認可コードフローレスポンスモード。
環境変数: |
query: 認可レスポンスパラメーターが、 form-post: 認証レスポンスパラメーターが、HTML フォーム値としてエンコードされます。この値は、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信されます。 | query |
|
環境変数: | string | |
|
このプロパティーを
環境変数: | boolean |
|
|
ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された
環境変数: | boolean |
|
|
OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可
環境変数: | string | |
|
セッションの有効期限が切れたときに認証されたユーザーがリダイレクトされるパブリックエンドポイントへの相対パス。 OIDC セッションの有効期限が切れ、セッションを更新できない場合、ユーザーは再認証のために OIDC プロバイダーにリダイレクトされます。この場合、認証されたユーザーにとって、認証チャレンジが返される理由が明らかではない可能性があるため、ユーザーエクスペリエンスが最適ではない可能性があります。 セッションの有効期限が切れたユーザーを、代わりにパブリックアプリケーション固有のページにリダイレクトして、セッションの有効期限が切れたことを通知し、セキュリティーで保護された初期エントリーページへのリンクをたどって再認証するようにユーザーに指示する場合は、このプロパティーを設定します。
環境変数: | string | |
|
ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。 ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。
認可コードフローアクセストークンは、ダウンストリームサービスに伝播されるものであり、
このトークンが JsonWebToken として注入された場合、認可コードフローアクセストークンの検証も有効になります。必要ない場合はこのプロパティーを ベアラーアクセストークンは常に検証されます。
環境変数: | boolean |
|
|
SSL/TLS 終了リバースプロキシーの背後で実行する場合は、
環境変数: | boolean |
|
|
スコープのリスト
環境変数: | 文字列のリスト | |
|
複数のスコープが設定されている場合に使用される区切り文字。デフォルトでは 1 つのスペースが使用されます。
環境変数: | string | |
|
ID トークンに
環境変数: | boolean |
|
|
環境変数: | boolean |
|
|
認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。
環境変数: | Map<String,String> | |
|
存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。
環境変数: | 文字列のリスト | |
|
有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の
環境変数: | boolean |
|
|
Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は
環境変数: | string | |
|
Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。
環境変数: | string |
|
|
Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、
環境変数: | string | |
|
設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。
環境変数: | string | |
|
セッション Cookie の SameSite 属性。
環境変数: |
|
|
|
状態 Cookie が存在する場合は、
環境変数: | boolean |
|
|
状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。 複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。
このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、
ただし、上記のオプションが適切でない場合は、このプロパティーを
環境変数: | boolean |
|
|
このプロパティーが
環境変数: | boolean |
|
|
セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。
環境変数: |
| |
|
Cookie の有効期間を分単位で指定します。状態 Cookie は、新しい認可コードフローのリダイレクトが開始されるたびに作成され、このフローが完了すると削除されます。状態 Cookie 名はデフォルトで一意です。
環境変数: |
| |
|
このプロパティーが
このプロパティーが
環境変数: | boolean |
|
|
認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。
環境変数: | boolean |
|
|
内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。
環境変数: |
| |
|
Proof Key for Code Exchange (PKCE) の使用を必須にします。
環境変数: | boolean |
|
|
コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。
このシークレットが設定されていない場合は、 これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。 シークレットの長さが 16 文字未満の場合、エラーが報告されます。
環境変数: | string | |
|
必須の
環境変数: | Map<String,String> | |
|
認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。
環境変数: | Map<String,String> | |
|
デフォルトの TokenStateManager ストラテジー。
環境変数: | keep-all-tokens: ID、アクセストークン、および更新トークンを保持します。 id-token: ID トークンのみ保存します。 id-refresh-tokens: ID と更新のみ保持します。 | keep-all-tokens |
|
デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます
環境変数: | boolean |
|
|
デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。
環境変数: | boolean |
|
|
このシークレットが設定されていない場合は、 トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。
環境変数: | string | |
|
セッション Cookie キー暗号化アルゴリズム
環境変数: | a256-gcmkw: コンテンツ暗号鍵が、A256GCMKW アルゴリズムと設定された暗号化シークレットを使用して生成および暗号化されます。生成されたコンテンツ暗号鍵は、セッション Cookie コンテンツを暗号化するために使用されます。 dir: 設定したキー暗号化シークレットが、セッション Cookie コンテンツを暗号化するためのコンテンツ暗号鍵として使用されます。直接暗号化を使用すると、コンテンツ暗号鍵の生成手順が回避され、暗号化されたセッション Cookie シーケンスがわずかに短くなります。暗号化シークレットの長さが 32 文字未満の場合は、直接暗号化を使用しないでください。 | a256-gcmkw |
|
トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、
環境変数: | boolean |
|
|
ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、
環境変数: | boolean |
|
|
UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、OAuth2 プロバイダーが IdToken を返さず、内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。
セッション Cookie が暗号化されており、UserInfo キャッシュが有効になっていないか、
環境変数: | boolean | |
|
OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。 このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。
環境変数: | boolean |
|
|
キャッシュできる JWK キーの最大数。
環境変数: | int |
|
|
JWK キーをキャッシュできる時間 (分)。
環境変数: |
| |
|
キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: | ||
|
JOSE ヘッダーに鍵識別子 ('kid') または証明書のサムプリント ('x5t'、'x5t#S256') が指定されておらず、鍵を特定できない場合に、トークンアルゴリズム ('alg') ヘッダー値に一致する利用可能なすべての鍵を確認します。
環境変数: | boolean |
|
|
周知の OpenId Connect プロバイダー識別子
環境変数: |
| |
|
キャッシュエントリーの最大数。キャッシュを有効にする必要がある場合は、正の値に設定します。
環境変数: | int |
|
|
特定のキャッシュエントリーが有効な最大時間。
環境変数: |
| |
|
タイマー間隔をクリーンアップします。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: | ||
|
OIDC テナントを、ベアラーアクセストークンの発行者 (
環境変数: | boolean |
|
| 型 | デフォルト | |
|
OpenID Connect (OIDC) サーバーのベース URL (例:
環境変数: | string | |
|
OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。
環境変数: | boolean |
|
|
アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。
環境変数: | string | |
|
OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。
環境変数: | string | |
|
アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。
環境変数: | string | |
|
アプリケーションのクライアント名。これは、アプリケーション (クライアント) が OpenId Connect プロバイダーのダッシュボードに登録されるときに提供できる、人間が判読できる形式のアプリケーションの説明を示すことを目的としています。たとえば、このプロパティーを設定すると、特定のクライアントのアクティビティーを記録した、より有益なログメッセージを取得できます。
環境変数: | string | |
|
OIDC サーバーへの初期接続を試行する期間。たとえば、期間を
環境変数: | ||
|
既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される
環境変数: | int |
|
|
現在の OIDC 接続リクエストがタイムアウトするまでの秒数。
環境変数: |
| |
|
DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。
環境変数: | boolean |
|
|
WebClient が使用する接続プールの最大サイズ。
環境変数: | int | |
|
環境変数: | string | |
|
クライアントシークレットの値。
環境変数: | string | |
|
CredentialsProvider Bean 名。複数の CredentialsProvider が登録されている場合にのみ設定する必要があります。
環境変数: | string | |
|
CredentialsProvider のキーリング名。キーリング名は、使用されている CredentialsProvider がシークレットを検索するためにキーリング名を必要とする場合にのみ必要です。これは、vault インスタンスやシークレットマネージャーなど、より動的なソースから認証情報を取得するために、CredentialsProvider が複数のエクステンションによって共有される場合によく発生します。
環境変数: | string | |
|
CredentialsProvider クライアントのシークレットキー
環境変数: | string | |
|
認証方法。
環境変数: |
basic:
post:
post-jwt: query: クライアント ID とシークレットが、HTTP クエリーパラメーターとして送信されます。このオプションは OIDC エクステンションでのみサポートされます。 | |
|
JWT トークンソース: OIDC プロバイダークライアントまたは既存の JWT ベアラートークン。
環境変数: |
|
|
|
指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。
環境変数: | string | |
|
CredentialsProvider Bean 名。複数の CredentialsProvider が登録されている場合にのみ設定する必要があります。
環境変数: | string | |
|
CredentialsProvider のキーリング名。キーリング名は、使用されている CredentialsProvider がシークレットを検索するためにキーリング名を必要とする場合にのみ必要です。これは、vault インスタンスやシークレットマネージャーなど、より動的なソースから認証情報を取得するために、CredentialsProvider が複数のエクステンションによって共有される場合によく発生します。
環境変数: | string | |
|
CredentialsProvider クライアントのシークレットキー
環境変数: | string | |
|
秘密鍵の文字列表現。指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。
環境変数: | string | |
|
指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。
環境変数: | string | |
|
指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。
環境変数: | string | |
|
キーストアファイルのパスワードを指定するためのパラメーター。
環境変数: | string | |
|
秘密鍵の ID またはエイリアス。
環境変数: | string | |
|
秘密鍵のパスワード。
環境変数: | string | |
|
JWT オーディエンス (
環境変数: | string | |
|
JWT
環境変数: | string | |
|
JWT
環境変数: | string | |
|
JWT
環境変数: | string | |
|
追加のクレーム。
環境変数: | Map<String,String> | |
|
環境変数: | string | |
|
JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。
環境変数: | int |
|
|
true の場合、クライアント認証トークンは JWT ベアラーグラントアサーションです。'client_assertion' および 'client_assertion_type' フォームプロパティーを生成する代わりに、'assertion' のみが生成されます。このオプションは、OIDC クライアントエクステンションでのみサポートされます。
環境変数: | boolean |
|
|
プロキシーのホスト名または IP アドレス。
環境変数: | string | |
|
プロキシーのポート番号。デフォルト値は
環境変数: | int |
|
|
プロキシーに認証が必要な場合のユーザー名。
環境変数: | string | |
|
プロキシーに認証が必要な場合のパスワード。
環境変数: | string | |
|
証明書の検証とホスト名の検証。次のいずれかの
環境変数: | required: 証明書が検証され、ホスト名の検証が有効になります。これはデフォルト値です。 certificate-validation: 証明書は検証されますが、ホスト名の検証は無効になります。 none: すべての証明書が信頼され、ホスト名の検証が無効になります。 | |
|
個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。
環境変数: | path | |
|
キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: | string | |
|
キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: | string | |
|
キーストアファイルのパスワード。指定しない場合は、デフォルト値の
環境変数: | string | |
|
キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。
環境変数: | string | |
|
キーのパスワード (
環境変数: | string | |
|
信頼する証明書の証明書情報を保持するトラストストア。
環境変数: | path | |
|
トラストストアファイルのパスワード。
環境変数: | string | |
|
トラストストア証明書のエイリアス。
環境変数: | string | |
|
トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: | string | |
|
トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: | string | |
|
一意のテナント識別子。これは、テナント設定を動的に解決する
環境変数: | string | |
|
このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する
環境変数: | boolean |
|
|
アプリケーションの種類。次の
環境変数: |
web-app:
service:
hybrid: | service |
|
ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、
環境変数: | string | |
|
OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、
環境変数: | string | |
|
不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: | string | |
|
JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: | string | |
|
OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、
環境変数: | string | |
|
このテナントによって保護される必要があるパス。最も詳細なパスを持つテナントが優先されます。許可されるパスパターンの説明については、OIDC マルチテナンシーガイドの テナントパスを設定する セクションを参照してください。
環境変数: | 文字列のリスト | |
|
ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。
環境変数: | string | |
|
名前
環境変数: | string | |
|
シークレット
環境変数: | string | |
|
環境変数: | boolean |
|
|
グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに
環境変数: | 文字列のリスト | |
|
複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準
環境変数: | string | |
|
主なロールのソース。
環境変数: |
idtoken: ID トークン -
accesstoken: アクセストークン - userinfo: ユーザー情報。 | |
|
予想される発行者
環境変数: | string | |
|
予想される audience
環境変数: | 文字列のリスト | |
|
トークンに、現在のユーザーに対して一意で再割り当てされない識別子である
環境変数: | boolean |
|
|
必要なクレームとその期待値のマップ。たとえば
環境変数: | Map<String,String> | |
|
予想されるトークンの種類
環境変数: | string | |
|
期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。
環境変数: | int | |
|
トークンの経過時間。
環境変数: | ||
|
トークンに
環境変数: | boolean |
|
|
プリンシパル名を含むクレームの名前。デフォルトでは、
環境変数: | string | |
|
期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、
環境変数: | boolean |
|
|
更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。
環境変数: | ||
|
強制的な JWK セットの更新間隔 (分単位)。
環境変数: |
| |
|
ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが
環境変数: | string | |
|
HTTP 認可ヘッダースキーム。
環境変数: | string |
|
|
必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。
環境変数: |
| |
|
復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、
環境変数: | string | |
|
一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで
環境変数: | boolean |
|
|
JWT トークンはリモートでのみイントロスペクトされるように要求します。
環境変数: | boolean |
|
|
不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを
環境変数: | boolean |
|
|
トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム
環境変数: | string | |
|
不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。
環境変数: | boolean |
|
|
アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。
環境変数: | string | |
|
OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。
環境変数: | string | |
|
ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。
環境変数: | string |
|
|
ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。
環境変数: | Map<String,String> | |
|
アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。先頭がスラッシュ '/' である必要があります (例: '/back-channel-logout')。この値は常に 'quarkus.http.root-path' を基準として解決されます。
環境変数: | string | |
|
セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。
環境変数: | int |
|
|
ログアウトトークンをキャッシュできる時間 (分)。
環境変数: |
| |
|
トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: | ||
|
トークンをキャッシュするためのキーとして値が使用されるログアウトトークンクレーム。キーとして使用できるのは、
環境変数: | string |
|
|
アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。
環境変数: | string | |
|
リーフ証明書のコモンネーム。この証明書が
環境変数: | string | |
|
信頼された証明書のサムプリントを保存する Truststore ファイル。
環境変数: | path | |
|
環境変数: | string | |
|
トラストストア証明書のエイリアスを指定するためのパラメーター。
環境変数: | string | |
|
トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: | string | |
|
認可コードフローレスポンスモード。
環境変数: |
query: 認可レスポンスパラメーターが、 form-post: 認証レスポンスパラメーターが、HTML フォーム値としてエンコードされます。この値は、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信されます。 | query |
|
環境変数: | string | |
|
このプロパティーを
環境変数: | boolean |
|
|
ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された
環境変数: | boolean |
|
|
OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可
環境変数: | string | |
|
セッションの有効期限が切れたときに認証されたユーザーがリダイレクトされるパブリックエンドポイントへの相対パス。 OIDC セッションの有効期限が切れ、セッションを更新できない場合、ユーザーは再認証のために OIDC プロバイダーにリダイレクトされます。この場合、認証されたユーザーにとって、認証チャレンジが返される理由が明らかではない可能性があるため、ユーザーエクスペリエンスが最適ではない可能性があります。 セッションの有効期限が切れたユーザーを、代わりにパブリックアプリケーション固有のページにリダイレクトして、セッションの有効期限が切れたことを通知し、セキュリティーで保護された初期エントリーページへのリンクをたどって再認証するようにユーザーに指示する場合は、このプロパティーを設定します。
環境変数: | string | |
|
ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。 ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。
認可コードフローアクセストークンは、ダウンストリームサービスに伝播されるものであり、
このトークンが JsonWebToken として注入された場合、認可コードフローアクセストークンの検証も有効になります。必要ない場合はこのプロパティーを ベアラーアクセストークンは常に検証されます。
環境変数: | boolean |
|
|
SSL/TLS 終了リバースプロキシーの背後で実行する場合は、
環境変数: | boolean |
|
|
スコープのリスト
環境変数: | 文字列のリスト | |
|
複数のスコープが設定されている場合に使用される区切り文字。デフォルトでは 1 つのスペースが使用されます。
環境変数: | string | |
|
ID トークンに
環境変数: | boolean |
|
|
環境変数: | boolean |
|
|
認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。
環境変数: | Map<String,String> | |
|
存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。
環境変数: | 文字列のリスト | |
|
有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の
環境変数: | boolean |
|
|
Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は
環境変数: | string | |
|
Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。
環境変数: | string |
|
|
Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、
環境変数: | string | |
|
設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。
環境変数: | string | |
|
セッション Cookie の SameSite 属性。
環境変数: |
|
|
|
状態 Cookie が存在する場合は、
環境変数: | boolean |
|
|
状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。 複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。
このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、
ただし、上記のオプションが適切でない場合は、このプロパティーを
環境変数: | boolean |
|
|
このプロパティーが
環境変数: | boolean |
|
|
セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。
環境変数: |
| |
|
Cookie の有効期間を分単位で指定します。状態 Cookie は、新しい認可コードフローのリダイレクトが開始されるたびに作成され、このフローが完了すると削除されます。状態 Cookie 名はデフォルトで一意です。
環境変数: |
| |
|
このプロパティーが
このプロパティーが
環境変数: | boolean |
|
|
認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。
環境変数: | boolean |
|
|
内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。
環境変数: |
| |
|
Proof Key for Code Exchange (PKCE) の使用を必須にします。
環境変数: | boolean |
|
|
コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。
このシークレットが設定されていない場合は、 これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。 シークレットの長さが 16 文字未満の場合、エラーが報告されます。
環境変数: | string | |
|
必須の
環境変数: | Map<String,String> | |
|
認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。
環境変数: | Map<String,String> | |
|
デフォルトの TokenStateManager ストラテジー。
環境変数: | keep-all-tokens: ID、アクセストークン、および更新トークンを保持します。 id-token: ID トークンのみ保存します。 id-refresh-tokens: ID と更新のみ保持します。 | keep-all-tokens |
|
デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます
環境変数: | boolean |
|
|
デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。
環境変数: | boolean |
|
|
このシークレットが設定されていない場合は、 トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。
環境変数: | string | |
|
セッション Cookie キー暗号化アルゴリズム
環境変数: | a256-gcmkw: コンテンツ暗号鍵が、A256GCMKW アルゴリズムと設定された暗号化シークレットを使用して生成および暗号化されます。生成されたコンテンツ暗号鍵は、セッション Cookie コンテンツを暗号化するために使用されます。 dir: 設定したキー暗号化シークレットが、セッション Cookie コンテンツを暗号化するためのコンテンツ暗号鍵として使用されます。直接暗号化を使用すると、コンテンツ暗号鍵の生成手順が回避され、暗号化されたセッション Cookie シーケンスがわずかに短くなります。暗号化シークレットの長さが 32 文字未満の場合は、直接暗号化を使用しないでください。 | a256-gcmkw |
|
トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、
環境変数: | boolean |
|
|
ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、
環境変数: | boolean |
|
|
UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、OAuth2 プロバイダーが IdToken を返さず、内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。
セッション Cookie が暗号化されており、UserInfo キャッシュが有効になっていないか、
環境変数: | boolean | |
|
OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。 このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。
環境変数: | boolean |
|
|
キャッシュできる JWK キーの最大数。
環境変数: | int |
|
|
JWK キーをキャッシュできる時間 (分)。
環境変数: |
| |
|
キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: | ||
|
JOSE ヘッダーに鍵識別子 ('kid') または証明書のサムプリント ('x5t'、'x5t#S256') が指定されておらず、鍵を特定できない場合に、トークンアルゴリズム ('alg') ヘッダー値に一致する利用可能なすべての鍵を確認します。
環境変数: | boolean |
|
|
周知の OpenId Connect プロバイダー識別子
環境変数: |
|
duration の値を書き込むには、標準の java.time.Duration フォーマットを使用します。詳細は、Duration#parse() Java API ドキュメント を参照してください。
数字で始まる簡略化されたフォーマットも使用できます。
- 値が数値のみの場合は、秒単位の時間を表します。
-
数字の後に
msが続く値は、ミリ秒単位の時間を表します。
その他の場合は、解析のために簡略化されたフォーマットが java.time.Duration フォーマットに変換されます。
-
数字の後に
h、m、またはsが続く値には、接頭辞PTが付きます。 -
数字の後に
dが続く値は、接頭辞Pが付きます。
