Red Hat Summit1.6. 設定の参照
1.6.1. OIDC クライアント
🔒 ビルド時に固定: 設定プロパティーはビルド時に固定されます。他のすべての設定プロパティーは実行時にオーバーライドできます。
| 設定プロパティー | 型 | デフォルト |
|
🔒 ビルド時に固定 OIDC クライアントエクステンションを有効にするかどうか。
環境変数: | boolean |
|
|
OpenID Connect (OIDC) サーバーのベース URL (例:
環境変数: | string | |
|
OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。
環境変数: | boolean |
|
|
OIDC 動的クライアント登録エンドポイントの相対パスまたは絶対 URL。
環境変数: | string | |
|
OIDC サーバーへの初期接続を試行する期間。たとえば、期間を
環境変数: | ||
|
既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される
環境変数: | int |
|
|
現在の OIDC 接続リクエストがタイムアウトするまでの秒数。
環境変数: |
| |
|
DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。
環境変数: | boolean |
|
|
WebClient が使用する接続プールの最大サイズ。
環境変数: | int | |
|
WebClient が HTTP 302 を取得すると、リダイレクトを自動的に実行します。このプロパティーが無効な場合、リダイレクト要求時に 1 つ以上の Cookie が設定されている場合にのみ、まったく同じ元の URI へのリダイレクトが 1 回だけ許可されます。
環境変数: | boolean |
|
|
アクセストークンとリフレッシュトークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。
環境変数: | string | |
|
OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。
環境変数: | string | |
|
アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。
環境変数: | string | |
|
アプリケーションのクライアント名。これは、アプリケーション (クライアント) が OpenId Connect プロバイダーのダッシュボードに登録されるときに提供できる、人間が判読できる形式のアプリケーションの説明を示すことを目的としています。たとえば、このプロパティーを設定すると、特定のクライアントのアクティビティーを記録した、より有益なログメッセージを取得できます。
環境変数: | string | |
|
一意の OIDC クライアント識別子。OIDC クライアントが動的に作成される場合は設定する必要があります。そうでない場合は任意です。
環境変数: | string | |
|
このクライアント設定を有効にするかどうか。
環境変数: | boolean |
|
|
アクセストークンのスコープのリスト
環境変数: | list of string | |
|
リフレッシュトークンの時間のずれ。このプロパティーを有効にすると、アクセストークンを更新する必要があるかどうかを確認するときに、設定した期間が秒数に変換され、現在の時刻に追加されます。合計がこのアクセストークンの有効期限よりも大きい場合は、更新が行われます。
環境変数: | ||
|
現在の時刻を基準としたアクセストークンの有効期限。このプロパティーは、アクセストークングラントのレスポンスにアクセストークンの有効期限プロパティーが含まれていない場合にのみチェックされます。
環境変数: | ||
|
計算されたトークン有効期限に追加できるアクセストークン有効期限のずれ。
環境変数: | ||
|
アクセストークンの 'expires_in' プロパティーを、現在の時刻に対する相対的な期間ではなく、絶対的な時間値としてチェックするかどうか。
環境変数: | boolean |
|
|
グラントタイプ
環境変数: | client: 'client_credentials' グラント。これは、OIDC クライアント認証だけを必要とします。 password: 'password' グラント。これは、OIDC クライアント認証とユーザー ('username' と 'password') 認証の両方を必要とします。 code: 'authorization_code' グラント。これは、OIDC クライアント認証と、トークンリクエスト時に OidcClient に渡す必要がある 'code' および 'redirect_uri' パラメーターを少なくとも必要とします。 exchange: 'urn:ietf:params:oauth:grant-type:token-exchange' グラント。これは、OIDC クライアント認証と、トークンリクエスト時に OidcClient に渡す必要がある 'subject_token' パラメーターを少なくとも必要とします。 jwt: 'urn:ietf:params:oauth:grant-type:jwt-bearer' グラント。これは、OIDC クライアント認証と、トークンリクエスト時に OidcClient に渡す必要がある 'assertion' パラメーターを少なくとも必要とします。
refresh: 'refresh_token' グラント。これは、OIDC クライアント認証とリフレッシュトークンを必要とします。なお、アクセストークン取得レスポンスにリフレッシュトークンが含まれている場合、OidcClient はデフォルトでこのグラントをサポートします。ただし、場合によっては、リフレッシュトークンが帯域外で提供されることもあります。たとえば、リフレッシュトークンが複数の機密クライアントのサービス間で共有されることがあります。'quarkus.oidc-client.grant-type' が 'refresh' に設定されている場合、 ciba: 'urn:openid:params:grant-type:ciba' グラント。これは、OIDC クライアント認証と、トークンリクエスト時に OidcClient に渡す必要がある 'auth_req_id' パラメーターを必要とします。 device: 'urn:ietf:params:oauth:grant-type:device_code' グラント。これは、OIDC クライアント認証と、トークンリクエスト時に OidcClient に渡す必要がある 'device_code' パラメーターを必要とします。 | client |
|
トークングラントレスポンス内のアクセストークンプロパティー名
環境変数: | string |
|
|
トークングラントレスポンス内のトークンプロパティー名の更新
環境変数: | string |
|
|
トークングラントレスポンス内のアクセストークンの有効期限プロパティー名
環境変数: | string |
|
|
トークングラントレスポンス内のトークン有効期限プロパティー名の更新
環境変数: | string |
|
|
グラントオプション
環境変数: | Map<String,Map<String,String>> | |
|
'OidcClient' を使用するすべてのフィルターが、構築後の初期化時にトークンを取得することを必須にします。この初期化は、これらのトークンが使用されるはるか前に行われる可能性があります。アクセストークンが初めて使用される前に期限切れになる可能性があり、リフレッシュトークンが利用できない場合は、このプロパティーを無効にする必要があります。
環境変数: | boolean |
|
|
トークンエンドポイントに送信する必要があるカスタム HTTP ヘッダー
環境変数: | Map<String,String> | |
| 型 | デフォルト | |
|
プロキシーのホスト名または IP アドレス。
環境変数: | string | |
|
プロキシーのポート番号。デフォルト値は
環境変数: | int |
|
|
プロキシーに認証が必要な場合のユーザー名。
環境変数: | string | |
|
プロキシーに認証が必要な場合のパスワード。
環境変数: | string | |
| 型 | デフォルト | |
|
使用する TLS 設定の名前。
名前が設定されている場合は、 デフォルトの TLS 設定はデフォルトでは 使用されません。
環境変数: | string | |
| OIDC クライアントが OIDC トークンやその他の保護されたエンドポイントにアクセスするためのさまざまな認証オプション | 型 | デフォルト |
|
環境変数: | string | |
|
クライアントシークレットの値。
環境変数: | string | |
|
CredentialsProvider Bean 名。複数の CredentialsProvider が登録されている場合にのみ設定する必要があります。
環境変数: | string | |
|
CredentialsProvider のキーリング名。キーリング名は、使用されている CredentialsProvider がシークレットを検索するためにキーリング名を必要とする場合にのみ必要です。これは、vault インスタンスやシークレットマネージャーなど、より動的なソースから認証情報を取得するために、CredentialsProvider が複数のエクステンションによって共有される場合によく発生します。
環境変数: | string | |
|
CredentialsProvider クライアントのシークレットキー
環境変数: | string | |
|
認証方法。
環境変数: |
basic:
post:
post-jwt: query: クライアント ID とシークレットが、HTTP クエリーパラメーターとして送信されます。このオプションは OIDC エクステンションでのみサポートされます。 | |
|
JWT トークンソース: OIDC プロバイダークライアントまたは既存の JWT ベアラートークン。
環境変数: |
client: JWT トークンが、 bearer: JWT ベアラートークンがクライアントアサーションとして使用されます (https://www.rfc-editor.org/rfc/rfc7523#section-2.2)。 | client |
|
クライアントアサーションとして使用する必要がある JWT ベアラートークンを含むファイルへのパス。このパスは、JWT ソース (
環境変数: | path | |
|
指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。これは、
環境変数: | string | |
|
CredentialsProvider Bean 名。複数の CredentialsProvider が登録されている場合にのみ設定する必要があります。
環境変数: | string | |
|
CredentialsProvider のキーリング名。キーリング名は、使用されている CredentialsProvider がシークレットを検索するためにキーリング名を必要とする場合にのみ必要です。これは、vault インスタンスやシークレットマネージャーなど、より動的なソースから認証情報を取得するために、CredentialsProvider が複数のエクステンションによって共有される場合によく発生します。
環境変数: | string | |
|
CredentialsProvider クライアントのシークレットキー
環境変数: | string | |
|
秘密鍵の文字列表現。指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。これは、
環境変数: | string | |
|
指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。これは、
環境変数: | string | |
|
指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。これは、
環境変数: | string | |
|
キーストアファイルのパスワードを指定するためのパラメーター。
環境変数: | string | |
|
秘密鍵の ID またはエイリアス。
環境変数: | string | |
|
秘密鍵のパスワード。
環境変数: | string | |
|
JWT オーディエンス (
環境変数: | string | |
|
JWT
環境変数: | string | |
|
JWT
環境変数: | string | |
|
JWT
環境変数: | string | |
|
追加のクレーム。
環境変数: | Map<String,String> | |
|
環境変数: | string | |
|
JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。
環境変数: | int |
|
|
true の場合、クライアント認証トークンは JWT ベアラーグラントアサーションです。'client_assertion' および 'client_assertion_type' フォームプロパティーを生成する代わりに、'assertion' のみが生成されます。このオプションは、OIDC クライアントエクステンションでのみサポートされます。
環境変数: | boolean |
|
duration の値を書き込むには、標準の java.time.Duration フォーマットを使用します。詳細は、Duration#parse() Java API ドキュメント を参照してください。
数字で始まる簡略化されたフォーマットも使用できます。
- 値が数値のみの場合は、秒単位の時間を表します。
-
数字の後に
msが続く値は、ミリ秒単位の時間を表します。
その他の場合は、解析のために簡略化されたフォーマットが java.time.Duration フォーマットに変換されます。
-
数字の後に
h、m、またはsが続く値には、接頭辞PTが付きます。 -
数字の後に
dが続く値は、接頭辞Pが付きます。
1.6.2. OIDC トークンの伝播
🔒 ビルド時に固定: 設定プロパティーはビルド時に固定されます。他のすべての設定プロパティーは実行時にオーバーライドできます。
| 設定プロパティー | 型 | デフォルト |
|
🔒 ビルド時に固定 OIDC トークンリアクティブプロパゲーションを有効にするかどうか。
環境変数: | boolean |
|
|
🔒 ビルド時に固定
たとえば、 この機能は複製されたコンテキストに依存することに注意してください。Vert.x の複製されたコンテキストの詳細は、こちらのガイド を参照してください。
環境変数: | boolean |
|
|
🔒 ビルド時に固定 トークンを伝播する前に、"urn:ietf:params:oauth:grant-type:token-exchange" または "urn:ietf:params:oauth:grant-type:jwt-bearer" トークングラントのいずれかを使用して、OpenId Connect プロバイダーで現在のトークンを新しいトークンと交換します。
環境変数: | boolean |
|
|
🔒 ビルド時に固定
設定された OidcClient の名前。このプロパティーは、
環境変数: | string |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}