Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

OpenID Connect (OIDC) 認証

Red Hat build of Quarkus 3.8

Red Hat Customer Content Services

概要

このガイドでは、OpenID Connect (OIDC) 認証、ベアラートークン認証を使用したサービスアプリケーションの保護、OIDC 認可コードフローを使用した Web アプリケーションの保護、および複数の OIDC プロバイダーとフローをサポートするための OIDC マルチテナンシーを詳しく説明します。

Red Hat build of Quarkus ドキュメントへのフィードバックの提供
リンクのコピー

エラーを報告したり、ドキュメントを改善したりするには、Red Hat Jira アカウントにログインし、課題を送信してください。Red Hat Jira アカウントをお持ちでない場合は、アカウントを作成するように求められます。

手順

  1. 次のリンクをクリックして チケットを作成します
  2. Summary に課題の簡単な説明を入力します。
  3. Description に課題や機能拡張の詳細な説明を入力します。問題があるドキュメントのセクションへの URL も記載してください。
  4. Submit をクリックすると、課題が作成され、適切なドキュメントチームに転送されます。

多様性を受け入れるオープンソースの強化
リンクのコピー

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 OpenID Connect (OIDC) ベアラートークン認証
リンクのコピー

Quarkus OpenID Connect (OIDC) エクステンションを使用して、ベアラートークン認証により、アプリケーション内の Jakarta REST (旧称 JAX-RS) エンドポイントへの HTTP アクセスを保護します。

1.1. Quarkus のベアラートークン認証メカニズムの概要
リンクのコピー

Quarkus は、Quarkus OpenID Connect (OIDC) エクステンションを通じて、ベアラートークン認証メカニズムをサポートします。

ベアラートークンは、OIDC と、Keycloak などの OAuth 2.0 準拠の認可サーバーによって発行されます。

ベアラートークン認証は、ベアラートークンの存在と有効性に基づいて HTTP リクエストを承認するプロセスです。ベアラートークンは、呼び出しのサブジェクトに関する情報を提供します。これは、HTTP リソースにアクセスできるかどうかを判断するために使用されます。

次の図は、Quarkus のベアラートークン認証メカニズムの概要を示しています。

図1.1 シングルページアプリケーションを使用した Quarkus のベアラートークン認証メカニズム

ベアラートークン認証
View larger image
ベアラートークン認証
  1. Quarkus サービスは、OIDC プロバイダーから検証キーを取得します。検証キーは、ベアラーアクセストークンの署名を検証するために使用されます。
  2. Quarkus ユーザーは、シングルページアプリケーション (SPA) にアクセスします。
  3. 単一ページアプリケーションは、Authorization Code Flow を使用してユーザーを認証し、OIDC プロバイダーからトークンを取得します。
  4. シングルページアプリケーションは、アクセストークンを使用して、Quarkus サービスからサービスデータを取得します。
  5. Quarkus サービスは、検証キーを使用してベアラーアクセストークンの署名を検証し、トークンの有効期限やその他のリクエストをチェックします。トークンが有効な場合はリクエストを続行できるようにし、シングルページアプリケーションにサービス応答を返します。
  6. シングルページアプリケーションは、Quarkus ユーザーに同じデータを返します。

図1.2 Java またはコマンドラインクライアントを使用した Quarkus のベアラートークン認証メカニズム

ベアラートークン認証
View larger image
ベアラートークン認証
  1. Quarkus サービスは、OIDC プロバイダーから検証キーを取得します。検証キーは、ベアラーアクセストークンの署名を検証するために使用されます。
  2. クライアントが、client_credentials かパスワードグラントを使用して、OIDC プロバイダーからアクセストークンを取得します。client_credentials には、クライアント ID とシークレットが必要です。パスワードグラントには、クライアント ID、シークレット、ユーザー名、およびパスワードが必要です。
  3. クライアントはアクセストークンを使用して、Quarkus サービスからサービスデータを取得します。
  4. Quarkus サービスは、検証キーを使用してベアラーアクセストークンの署名を検証し、トークンの有効期限やその他のクレームをチェックして、トークンが有効な場合はリクエストの続行を許可し、サービスレスポンスをクライアントに返します。

OIDC 認可コードフローを使用してユーザーを認証および認可する必要がある場合は、Quarkus ガイド Web アプリケーションを保護するための OpenID Connect 認可コードフローメカニズム を参照してください。また、Keycloak およびベアラートークンを使用する場合は、Quarkus ガイド Using Keycloak to centralize authorization を参照してください。

OIDC ベアラートークン認証を使用してサービスアプリケーションを保護する方法は、次のチュートリアルを参照してください: * OpenID Connect (OIDC) 認可コードフローを使用した Web アプリケーションの保護

複数のテナントをサポートする方法の詳細は、Quarkus ガイドの OpenID Connect マルチテナンシーの使用 を参照してください。

1.1.1. JWT クレームへのアクセス
リンクのコピー

JWT トークンクレームにアクセスする必要がある場合は、JsonWebToken を注入します。 

package org.acme.security.openid.connect;

import org.eclipse.microprofile.jwt.JsonWebToken;
import jakarta.inject.Inject;
import jakarta.annotation.security.RolesAllowed;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;
import jakarta.ws.rs.core.MediaType;

@Path("/api/admin")
public class AdminResource {

    @Inject
    JsonWebToken jwt;

    @GET
    @RolesAllowed("admin")
    @Produces(MediaType.TEXT_PLAIN)
    public String admin() {
        return "Access for subject " + jwt.getSubject() + " is granted";
    }
}
Copy to Clipboard Toggle word wrap

JsonWebToken の注入は、@ApplicationScoped@Singleton、および @RequestScoped スコープでサポートされています。ただし、個々のクレームが単純な型として注入される場合は、@RequestScoped を使用する必要があります。詳細は、Quarkus ガイドの "Using JWT RBAC" の Supported injection scopes セクションを参照してください。

1.1.2. UserInfo
リンクのコピー

OIDC UserInfo エンドポイントから UserInfo JSON オブジェクトをリクエストする必要がある場合は、quarkus.oidc.authentication.user-info-required=true を設定します。OIDC プロバイダーの UserInfo エンドポイントにリクエストが送信され、io.quarkus.oidc.UserInfo (単純な javax.json.JsonObject ラッパー) オブジェクトが作成されます。io.quarkus.oidc.UserInfo は、SecurityIdentity userinfo 属性として注入またはアクセスできます。

1.1.3. 設定メタデータ
リンクのコピー

現在のテナントの検出された OpenID Connect 設定メタデータ は、io.quarkus.oidc.OidcConfigurationMetadata で表され、SecurityIdentity configuration-metadata 属性として注入またはアクセスできます。

エンドポイントがパブリックの場合、デフォルトのテナントの OidcConfigurationMetadata が注入されます。

1.1.4. トークンクレームと SecurityIdentity ロール
リンクのコピー

検証済みの JWT アクセストークンから SecurityIdentity ロールを次のようにマップできます。

  • quarkus.oidc.roles.role-claim-path プロパティーが設定されており、一致する配列または文字列のクレームが見つかった場合、これらのクレームからロールが展開されます。たとえば、customrolescustomroles/arrayscope"http://namespace-qualified-custom-claim"/roles"http://namespace-qualified-roles" などです。
  • groups クレームが利用可能な場合は、その値が使用されます。
  • realm_access/roles または resource_access/client_id/roles (client_idquarkus.oidc.client-id プロパティーの値) クレームが利用可能な場合は、その値が使用されます。このチェックは、Keycloak によって発行されたトークンをサポートします。

たとえば、次の JWT トークンには、ロールを含む roles 配列のある複雑な groups クレームがあります。 

{
    "iss": "https://server.example.com",
    "sub": "24400320",
    "upn": "jdoe@example.com",
    "preferred_username": "jdoe",
    "exp": 1311281970,
    "iat": 1311280970,
    "groups": {
        "roles": [
          "microprofile_jwt_user"
        ],
    }
}
Copy to Clipboard Toggle word wrap

microprofile_jwt_user ロールを SecurityIdentity ロールにマップする必要があります。これは、quarkus.oidc.roles.role-claim-path=groups/roles という設定で実行できます。

トークンが不透明 (バイナリー) の場合、リモートトークンイントロスペクション応答の scope プロパティーが使用されます。

UserInfo がロールのソースである場合は、quarkus.oidc.authentication.user-info-required=true および quarkus.oidc.roles.source=userinfo を設定し、必要に応じて quarkus.oidc.roles.role-claim-path を設定します。

さらに、カスタム SecurityIdentityAugmentor を使用して、ロールを追加することもできます。詳細は、Quarkus ガイド "Security Tips and Tricks" の Security identity customization セクションを参照してください。

HTTP セキュリティーポリシー を使用して、トークン要求から作成された SecurityIdentity ロールをデプロイメント固有のロールにマップすることもできます。

1.1.5. トークンスコープと SecurityIdentity 権限
リンクのコピー

SecurityIdentity 権限は、ロールのソース のスコープパラメーターから io.quarkus.security.StringPermission の形式でマッピングされ、同じクレームセパレーターが使用されます。 

import java.util.List;
import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;

import org.eclipse.microprofile.jwt.Claims;
import org.eclipse.microprofile.jwt.JsonWebToken;

import io.quarkus.security.PermissionsAllowed;

@Path("/service")
public class ProtectedResource {

    @Inject
    JsonWebToken accessToken;

    @PermissionsAllowed("email")
1 

    @GET
    @Path("/email")
    public Boolean isUserEmailAddressVerifiedByUser() {
        return accessToken.getClaim(Claims.email_verified.name());
    }

    @PermissionsAllowed("orders_read")
2 

    @GET
    @Path("/order")
    public List<Order> listOrders() {
        return List.of(new Order(1));
    }

    public static class Order {
        String id;
        public Order() {
        }
        public Order(String id) {
            this.id = id;
        }
        public String getId() {
            return id;
        }
        public void setId() {
            this.id = id;
        }
    }
}
Copy to Clipboard Toggle word wrap
1
OpenID Connect スコープの email を含むリクエストのみにアクセスが許可されます。
2
読み取りアクセスは、orders_read スコープを持つクライアントリクエストに制限されます。

io.quarkus.security.PermissionsAllowed アノテーションの詳細は、"Authorization of web endpoints" の 権限のアノテーション セクションを参照してください。

1.1.6. トークンの検証とイントロスペクション
リンクのコピー

トークンが JWT トークンの場合、デフォルトでは、OIDC プロバイダーの JWK エンドポイントから取得されたローカル JsonWebKeySetJsonWebKey (JWK) キーを使用して検証されます。トークンのキー識別子 (kid) ヘッダー値は、一致する JWK キーを見つけるために使用されます。一致する JWK がローカルで利用できない場合は、JWK エンドポイントから現在のキーセットを取得して JsonWebKeySet が更新されます。JsonWebKeySet の更新は、quarkus.oidc.token.forced-jwk-refresh-interval の有効期限が切れた後にのみ、繰り返すことができます。デフォルトの有効期限は 10 分です。更新後に一致する JWK が利用できない場合は、JWT トークンが OIDC プロバイダーのトークンイントロスペクションエンドポイントに送信されます。

トークンが不透明である場合は、それがバイナリートークンまたは暗号化された JWT トークンである可能性があり、そのトークンは常に OIDC プロバイダーのトークンイントロスペクションエンドポイントに送信されます。

JWT トークンのみを使用しており、一致する JsonWebKey が常に使用可能であることが予想される場合 (たとえば、キーセットを更新した後など)、次の例に示すように、トークンイントロスペクションを無効にする必要があります。 

quarkus.oidc.token.allow-jwt-introspection=false
quarkus.oidc.token.allow-opaque-token-introspection=false
Copy to Clipboard Toggle word wrap

JWT トークンをイントロスペクションのみで検証する必要がある場合があります。これは、イントロスペクションエンドポイントアドレスのみを設定することで強制できます。次のプロパティー設定は、Keycloak を使用してこれを実現する方法の例を示しています。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.discovery-enabled=false
# Token Introspection endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/tokens/introspect
quarkus.oidc.introspection-path=/protocol/openid-connect/tokens/introspect
Copy to Clipboard Toggle word wrap

JWT トークンのイントロスペクションをリモートで間接的に実施することには、利点と欠点があります。利点は、2 つのリモート呼び出し (リモート OIDC メタデータ検出呼び出しと、それに続く使用されない検証キーを取得するための別のリモート呼び出し) が不要になることです。欠点は、イントロスペクションエンドポイントアドレスを知って、手動で設定する必要があることです。

この他にも、OIDC メタデータ検出のデフォルトオプションを許可しながら、リモート JWT イントロスペクションのみの実行を要求する方法があります (次の例を参照)。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.token.require-jwt-introspection-only=true
Copy to Clipboard Toggle word wrap

このアプローチの利点は、設定がよりシンプルで理解しやすいことです。欠点は、検証キーが取得されない場合でも、イントロスペクションエンドポイントアドレスを検出するためにリモート OIDC メタデータ検出呼び出しが必要になることです。

シンプルな jakarta.json.JsonObject ラッパーオブジェクトである io.quarkus.oidc.TokenIntrospection が作成されます。JWT または不透明トークンのいずれかが正常にイントロスペクトされている場合、SecurityIdentity introspection 属性として注入またはアクセスできます。

1.1.7. トークンイントロスペクションと UserInfo キャッシュ
リンクのコピー

すべての不透明アクセストークンは、リモートでイントロスペクトする必要があります。場合によっては、JWT アクセストークンをイントロスペクトする必要もあります。UserInfo も必要な場合は、OIDC プロバイダーへの後続のリモート呼び出しで同じアクセストークンが使用されます。したがって、UserInfo が必要で、現在のアクセストークンが不透明である場合、そのようなトークンごとに 2 つのリモート呼び出しが行われます。1 つのリモート呼び出しはトークンをイントロスペクトするためのもので、もう 1 つは UserInfo を取得するためのものです。トークンが JWT の場合、イントロスペクトもされている必要がない限り、UserInfo を取得するためのリモート呼び出しは 1 回だけ必要です。

着信ベアラーまたはコードフローアクセストークンごとに最大 2 回のリモート呼び出しを実行するコストが問題になる場合があります。

実稼働環境でこれが当てはまる場合は、トークンイントロスペクションと UserInfo データを 3 分または 5 分などの短期間キャッシュすることを検討してください。

quarkus-oidc は、@ApplicationScoped キャッシュ実装に使用できる quarkus.oidc.TokenIntrospectionCache および quarkus.oidc.UserInfoCache インターフェイスを提供します。次の例に示すように、@ApplicationScoped キャッシュ実装を使用して、quarkus.oidc.TokenIntrospection オブジェクトや quarkus.oidc.UserInfo オブジェクトを保存および取得します。 

@ApplicationScoped
@Alternative
@Priority(1)
public class CustomIntrospectionUserInfoCache implements TokenIntrospectionCache, UserInfoCache {
...
}
Copy to Clipboard Toggle word wrap

各 OIDC テナントは、quarkus.oidc.TokenIntrospection データ、quarkus.oidc.UserInfo データ、またはその両方の保存を許可または拒否できます。これには、ブール値 quarkus.oidc."tenant".allow-token-introspection-cache および quarkus.oidc."tenant".allow-user-info-cache プロパティーを使用します。

さらに、quarkus-oidcquarkus.oidc.TokenIntrospectionCachequarkus.oidc.UserInfoCache の両方のインターフェイスを実装する、シンプルなデフォルトのメモリーベースのトークンキャッシュを提供します。

デフォルトの OIDC トークンキャッシュは、次のように設定してアクティブ化できます。 

# 'max-size' is 0 by default, so the cache can be activated by setting 'max-size' to a positive value:
quarkus.oidc.token-cache.max-size=1000
# 'time-to-live' specifies how long a cache entry can be valid for and will be used by a cleanup timer:
quarkus.oidc.token-cache.time-to-live=3M
# 'clean-up-timer-interval' is not set by default, so the cleanup timer can be activated by setting 'clean-up-timer-interval':
quarkus.oidc.token-cache.clean-up-timer-interval=1M
Copy to Clipboard Toggle word wrap

デフォルトのキャッシュはトークンをキーとして使用し、各エントリーには TokenIntrospectionUserInfo、またはその両方を含めることができます。max-size のエントリー数までのみが保持されます。新しいエントリーを追加するときにキャッシュがすでにいっぱいになっている場合は、期限切れのエントリーを 1 つ削除してスペースを見つけようとします。さらに、クリーンアップタイマーをアクティベートにすると、期限切れのエントリーが定期的にチェックされ、削除されます。

デフォルトのキャッシュ実装を試したり、カスタムのキャッシュ実装を登録したりできます。

1.1.8. JSON Web Token のクレームの検証
リンクのコピー

ベアラー JWT トークンの署名が検証され、その expires at (exp) クレームがチェックされた後、次に iss (issuer) クレーム値が検証されます。

デフォルトでは、iss クレーム値は、周知のプロバイダー設定で検出された可能性のある issuer プロパティーと比較されます。ただし、quarkus.oidc.token.issuer プロパティーが設定されている場合は、代わりに iss クレーム値がそれと比較されます。

場合によっては、この ISS クレーム検証が機能しないことがあります。たとえば、検出された issuer プロパティーに内部 HTTP/IP アドレスが含まれているのに、トークンの iss クレーム値に外部 HTTP/IP アドレスが含まれている場合などです。または、検出された issuer プロパティーにテンプレートテナント変数が含まれているが、トークンの iss クレーム値には完全なテナント固有の発行者値が含まれている場合などです。

このような場合は、quarkus.oidc.token.issuer=any を設定して発行者の検証をスキップすることを検討してください。他のオプションが利用できない場合にのみ、発行者の検証をスキップします。

  • Keycloak を使用しており、異なるホストアドレスによって発行者検証エラーが発生する場合は、KEYCLOAK_FRONTEND_URL プロパティーを使用して Keycloak を設定し、同じホストアドレスが使用されるようにします。
  • マルチテナントデプロイメントで iss プロパティーがテナント固有である場合は、SecurityIdentity tenant-id 属性を使用して、エンドポイントまたはカスタム Jakarta フィルターで発行者が正しいことを確認します。以下に例を示します。 
import jakarta.inject.Inject;
import jakarta.ws.rs.container.ContainerRequestContext;
import jakarta.ws.rs.container.ContainerRequestFilter;
import jakarta.ws.rs.core.Response;
import jakarta.ws.rs.ext.Provider;

import org.eclipse.microprofile.jwt.JsonWebToken;
import io.quarkus.oidc.OidcConfigurationMetadata;
import io.quarkus.security.identity.SecurityIdentity;

@Provider
public class IssuerValidator implements ContainerRequestFilter {
    @Inject
    OidcConfigurationMetadata configMetadata;

    @Inject JsonWebToken jwt;
    @Inject SecurityIdentity identity;

    public void filter(ContainerRequestContext requestContext) {
        String issuer = configMetadata.getIssuer().replace("{tenant-id}", identity.getAttribute("tenant-id"));
        if (!issuer.equals(jwt.getIssuer())) {
            requestContext.abortWith(Response.status(401).build());
        }
    }
}
Copy to Clipboard Toggle word wrap
注記

quarkus.oidc.token.audience プロパティーを使用して、トークン aud (audience) クレーム値を検証することを検討してください。

1.1.9. シングルページアプリケーション
リンクのコピー

シングルページアプリケーション (SPA) は通常、XMLHttpRequest (XHR) と OIDC プロバイダーが提供する JavaScript ユーティリティーコードを使用して、Quarkus service アプリケーションにアクセスするためのベアラートークンを取得します。

たとえば、Keycloak を使用する場合は、keycloak.js を使用してユーザーを認証し、SPA から期限切れのトークンを更新できます。 

<html>
<head>
    <title>keycloak-spa</title>
    <script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script>
    <script src="http://localhost:8180/js/keycloak.js"></script>
    <script>
        var keycloak = new Keycloak();
        keycloak.init({onLoad: 'login-required'}).success(function () {
            console.log('User is now authenticated.');
        }).error(function () {
            window.location.reload();
        });
        function makeAjaxRequest() {
            axios.get("/api/hello", {
                headers: {
                    'Authorization': 'Bearer ' + keycloak.token
                }
            })
            .then( function (response) {
                console.log("Response: ", response.status);
            }).catch(function (error) {
                console.log('refreshing');
                keycloak.updateToken(5).then(function () {
                    console.log('Token refreshed');
                }).catch(function () {
                    console.log('Failed to refresh token');
                    window.location.reload();
                });
            });
    }
    </script>
</head>
<body>
    <button onclick="makeAjaxRequest()">Request</button>
</body>
</html>
Copy to Clipboard Toggle word wrap

1.1.10. Cross-Origin Resource Sharing
リンクのコピー

別のドメインで実行されているシングルページアプリケーションから OIDC サービス アプリケーションを使用する予定の場合は、Cross-Origin Resource Sharing (CORS) を設定する必要があります。詳細は、"Cross-origin resource sharing" の CORS filter セクションを参照してください。

1.1.11. プロバイダーエンドポイントの設定
リンクのコピー

OIDC service アプリケーションは、OIDC プロバイダーのトークン、JsonWebKey (JWK) セット、そして場合によっては UserInfo およびイントロスペクションエンドポイントアドレスを認識している必要があります。

デフォルトでは、設定された quarkus.oidc.auth-server-url/.well-known/openid-configuration パスを追加することによって検出されます。

あるいは、検出エンドポイントが利用できない場合、または検出エンドポイントのラウンドトリップを節約したい場合は、検出を無効にして、相対パス値で設定することができます。以下に例を示します。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.discovery-enabled=false
# Token endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/token
quarkus.oidc.token-path=/protocol/openid-connect/token
# JWK set endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/certs
quarkus.oidc.jwks-path=/protocol/openid-connect/certs
# UserInfo endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/userinfo
quarkus.oidc.user-info-path=/protocol/openid-connect/userinfo
# Token Introspection endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/tokens/introspect
quarkus.oidc.introspection-path=/protocol/openid-connect/tokens/introspect
Copy to Clipboard Toggle word wrap

1.1.12. トークンの伝播
リンクのコピー

ダウンストリームサービスへのベアラーアクセストークンの伝播に関する詳細は、Quarkus の「OpenID Connect (OIDC) と OAuth2 クライアントおよびフィルターのリファレンス」ガイドの トークンの伝播 セクションを参照してください。

1.1.13. OIDC プロバイダークライアント認証
リンクのコピー

quarkus.oidc.runtime.OidcProviderClient は、OIDC プロバイダーへのリモートリクエストが必要な場合に使用されます。ベアラートークンのイントロスペクションが必要な場合は、OidcProviderClient が OIDC プロバイダーに対して認証する必要があります。サポート対象認証オプションの詳細は、Quarkus ガイド「Web アプリケーションを保護するための OpenID Connect 認可コードフローメカニズム」の OIDC プロバイダークライアント認証 セクションを参照してください。

1.1.14. テスト
リンクのコピー

注記

Keycloak 認証 を必要とする Quarkus OIDC サービスエンドポイントをテストする必要がある場合は、Keycloak 認可のテスト セクションに従ってください。

次の依存関係をテストプロジェクトに追加することで、テストを開始できます。

  • Maven を使用: 

    <dependency>
    <groupId>io.rest-assured</groupId>
    <artifactId>rest-assured</artifactId>
    <scope>test</scope>
</dependency>
<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-junit5</artifactId>
    <scope>test</scope>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    testImplementation("io.rest-assured:rest-assured")
testImplementation("io.quarkus:quarkus-junit5")
    Copy to Clipboard Toggle word wrap
1.1.14.1. WireMock
リンクのコピー

テストプロジェクトに次の依存関係を追加します。

  • Maven を使用: 

    <dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-test-oidc-server</artifactId>
    <scope>test</scope>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    testImplementation("io.quarkus:quarkus-test-oidc-server")
    Copy to Clipboard Toggle word wrap

REST テストエンドポイントを準備し、application.properties を設定します。以下に例を示します。 

# keycloak.url is set by OidcWiremockTestResource
quarkus.oidc.auth-server-url=${keycloak.url}/realms/quarkus/
quarkus.oidc.client-id=quarkus-service-app
quarkus.oidc.application-type=service
Copy to Clipboard Toggle word wrap

最後にテストコードを記述します。以下に例を示します。 

import static org.hamcrest.Matchers.equalTo;

import java.util.Set;

import org.junit.jupiter.api.Test;

import io.quarkus.test.common.QuarkusTestResource;
import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.oidc.server.OidcWiremockTestResource;
import io.restassured.RestAssured;
import io.smallrye.jwt.build.Jwt;

@QuarkusTest
@QuarkusTestResource(OidcWiremockTestResource.class)
public class BearerTokenAuthorizationTest {

    @Test
    public void testBearerToken() {
        RestAssured.given().auth().oauth2(getAccessToken("alice", Set.of("user")))
            .when().get("/api/users/me")
            .then()
            .statusCode(200)
            // The test endpoint returns the name extracted from the injected `SecurityIdentity` principal.
            .body("userName", equalTo("alice"));
    }

    private String getAccessToken(String userName, Set<String> groups) {
        return Jwt.preferredUserName(userName)
                .groups(groups)
                .issuer("https://server.example.com")
                .audience("https://service.example.com")
                .sign();
    }
}
Copy to Clipboard Toggle word wrap

quarkus-test-oidc-server エクステンションには、JSON Web Key (JWK) 形式の署名 RSA 秘密鍵ファイルが含まれており、smallrye.jwt.sign.key.location 設定プロパティーでそのファイルを指します。引数なしの sign() 操作を使用してトークンに署名できます。

OidcWiremockTestResource を使用して quarkus-oidc service アプリケーションをテストすると、通信チャネルも WireMock HTTP スタブに対してテストされるため、最高のカバレッジが提供されます。OidcWiremockTestResource でまだサポートされていない WireMock スタブを使用してテストを実行する必要がある場合は、次の例に示すように、テストクラスに WireMockServer インスタンスを注入できます。

注記

OidcWiremockTestResource は、Docker コンテナーに対して @QuarkusIntegrationTest では機能しません。これは、WireMock サーバーがテストを実行する JVM で実行され、Quarkus アプリケーションを実行する Docker コンテナーからはアクセスできないためです。 

package io.quarkus.it.keycloak;

import static com.github.tomakehurst.wiremock.client.WireMock.matching;
import static org.hamcrest.Matchers.equalTo;

import org.junit.jupiter.api.Test;

import com.github.tomakehurst.wiremock.WireMockServer;
import com.github.tomakehurst.wiremock.client.WireMock;

import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.oidc.server.OidcWireMock;
import io.restassured.RestAssured;

@QuarkusTest
public class CustomOidcWireMockStubTest {

    @OidcWireMock
    WireMockServer wireMockServer;

    @Test
    public void testInvalidBearerToken() {
        wireMockServer.stubFor(WireMock.post("/auth/realms/quarkus/protocol/openid-connect/token/introspect")
                .withRequestBody(matching(".*token=invalid_token.*"))
                .willReturn(WireMock.aResponse().withStatus(400)));

        RestAssured.given().auth().oauth2("invalid_token").when()
                .get("/api/users/me/bearer")
                .then()
                .statusCode(401)
                .header("WWW-Authenticate", equalTo("Bearer"));
    }
}
Copy to Clipboard Toggle word wrap

1.1.15. OidcTestClient
リンクのコピー

Auth0 などの SaaS OIDC プロバイダーを使用していて、テスト (開発) ドメインに対してテストを実行したり、リモート Keycloak テストレルムに対してテストを実行したりする場合、quarkus.oidc.auth-server-url がすでに設定されている場合は、OidcTestClient を使用できます。

たとえば、次のような設定があるとします。 

%test.quarkus.oidc.auth-server-url=https://dev-123456.eu.auth0.com/
%test.quarkus.oidc.client-id=test-auth0-client
%test.quarkus.oidc.credentials.secret=secret
Copy to Clipboard Toggle word wrap

まず、WireMock セクションで説明されているものと同じ依存関係 quarkus-test-oidc-server を追加します。

次に、次のようにテストコードを記述します。 

package org.acme;

import org.junit.jupiter.api.AfterAll;
import static io.restassured.RestAssured.given;
import static org.hamcrest.CoreMatchers.is;

import java.util.Map;

import org.junit.jupiter.api.Test;

import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.oidc.client.OidcTestClient;

@QuarkusTest
public class GreetingResourceTest {

    static OidcTestClient oidcTestClient = new OidcTestClient();

    @AfterAll
    public static void close() {
        oidcTestClient.close();
    }

    @Test
    public void testHelloEndpoint() {
        given()
          .auth().oauth2(getAccessToken("alice", "alice"))
          .when().get("/hello")
          .then()
             .statusCode(200)
             .body(is("Hello, Alice"));
    }

    private String getAccessToken(String name, String secret) {
        return oidcTestClient.getAccessToken(name, secret,
            Map.of("audience", "https://dev-123456.eu.auth0.com/api/v2/",
	           "scope", "profile"));
    }
}
Copy to Clipboard Toggle word wrap

このテストコードは、クライアント ID test-auth0-client でアプリケーションを登録し、パスワード alice でユーザー alice を作成したテスト Auth0 ドメインから password 付与を使用してトークンを取得します。このようなテストが機能するには、テスト Auth0 アプリケーションで password 付与が有効になっている必要があります。このサンプルコードでは、追加のパラメーターを渡す方法も示しています。Auth0 の場合、これらは audiencescope パラメーターです。

1.1.15.1. Dev Services for Keycloak
リンクのコピー

Keycloak に対する結合テストを行う際に推奨される手法は、Dev Services for Keycloak です。Dev Services for Keycloak が起動し、テストコンテナーを初期化します。次に、quarkus レルムと quarkus-app クライアント (secret シークレット) を作成し、alice (admin および user ロール) および bob (user ロール) ユーザーを追加します。これらのプロパティーはすべてカスタマイズできます。

まず、アクセストークンを取得するためのテストで使用できるユーティリティークラス io.quarkus.test.keycloak.client.KeycloakTestClient を提供する次の依存関係を追加します。

  • Maven を使用: 

    <dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-test-keycloak-server</artifactId>
    <scope>test</scope>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    testImplementation("io.quarkus:quarkus-test-keycloak-server")
    Copy to Clipboard Toggle word wrap

次に、application.properties 設定ファイルを準備します。Dev Services for Keycloakquarkus.oidc.auth-server-url を登録し、それを実行中のテストコンテナー quarkus.oidc.client-id=quarkus-app および quarkus.oidc.credentials.secret=secret を指すため、空の application.properties ファイルから開始できます。

ただし、必要な quarkus-oidc プロパティーをすでに設定している場合は、次の例に示すように、quarkus.oidc.auth-server-url を `Dev Services for Keycloak` の prod プロファイルに関連付けるだけでコンテナーを起動できます。 

%prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
Copy to Clipboard Toggle word wrap

テストを実行する前にカスタムレルムファイルを Keycloak にインポートする必要がある場合は、次のように Dev Services for Keycloak を設定します。 

%prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.keycloak.devservices.realm-path=quarkus-realm.json
Copy to Clipboard Toggle word wrap

最後に、次の例に示すように、JVM モードで実行されるテストを記述します。

JVM モードで実行されたテストの例:

package org.acme.security.openid.connect;

import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.keycloak.client.KeycloakTestClient;
import io.restassured.RestAssured;
import org.junit.jupiter.api.Test;

@QuarkusTest
public class BearerTokenAuthenticationTest {

    KeycloakTestClient keycloakClient = new KeycloakTestClient();

    @Test
    public void testAdminAccess() {
        RestAssured.given().auth().oauth2(getAccessToken("alice"))
                .when().get("/api/admin")
                .then()
                .statusCode(200);
        RestAssured.given().auth().oauth2(getAccessToken("bob"))
                .when().get("/api/admin")
                .then()
                .statusCode(403);
    }

    protected String getAccessToken(String userName) {
        return keycloakClient.getAccessToken(userName);
    }
}
Copy to Clipboard Toggle word wrap

ネイティブモードで実行されたテストの例:

package org.acme.security.openid.connect;

import io.quarkus.test.junit.QuarkusIntegrationTest;

@QuarkusIntegrationTest
public class NativeBearerTokenAuthenticationIT extends BearerTokenAuthenticationTest {
}
Copy to Clipboard Toggle word wrap

Dev Services for Keycloak の初期化と設定の詳細は、Dev Services for Keycloak ガイドを参照してください。

1.1.15.2. ローカル公開鍵
リンクのコピー

次の例に示すように、ローカルのインライン公開鍵を使用して quarkus-oidc service アプリケーションをテストできます。 

quarkus.oidc.client-id=test
quarkus.oidc.public-key=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlivFI8qB4D0y2jy0CfEqFyy46R0o7S8TKpsx5xbHKoU1VWg6QkQm+ntyIv1p4kE1sPEQO73+HY8+Bzs75XwRTYL1BmR1w8J5hmjVWjc6R2BTBGAYRPFRhor3kpM6ni2SPmNNhurEAHw7TaqszP5eUF/F9+KEBWkwVta+PZ37bwqSE4sCb1soZFrVz/UT/LF4tYpuVYt3YbqToZ3pZOZ9AX2o1GCG3xwOjkc4x0W7ezbQZdC9iftPxVHR8irOijJRRjcPDtA6vPKpzLl6CyYnsIYPd99ltwxTHjr3npfv/3Lw50bAkbT4HeLFxTx4flEoZLKO/g0bAoV2uqBhkA9xnQIDAQAB

smallrye.jwt.sign.key.location=/privateKey.pem
Copy to Clipboard Toggle word wrap

JWT トークンを生成するには、main Quarkus リポジトリーの integration-tests/oidc-tenancy から privateKey.pem をコピーし、前の WireMock セクションのものと同様のテストコードを使用します。必要に応じて、独自のテストキーを使用することもできます。

このアプローチでは、WireMock アプローチと比較してカバレッジが制限されます。たとえば、リモート通信コードはカバーされません。

1.1.15.3. TestSecurity アノテーション
リンクのコピー

@TestSecurity および @OidcSecurity アノテーションを使用して、次のインジェクションのいずれか 1 つまたは 3 つすべてに依存する service アプリケーションエンドポイントコードをテストできます。

  • JsonWebToken
  • UserInfo
  • OidcConfigurationMetadata

まず、次の依存関係を追加します。

  • Maven を使用: 

    <dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-test-security-oidc</artifactId>
    <scope>test</scope>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    testImplementation("io.quarkus:quarkus-test-security-oidc")
    Copy to Clipboard Toggle word wrap

次の例に示すようにテストコードを記述します。 

import static org.hamcrest.Matchers.is;
import org.junit.jupiter.api.Test;
import io.quarkus.test.common.http.TestHTTPEndpoint;
import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.security.TestSecurity;
import io.quarkus.test.security.oidc.Claim;
import io.quarkus.test.security.oidc.ConfigMetadata;
import io.quarkus.test.security.oidc.OidcSecurity;
import io.quarkus.test.security.oidc.OidcConfigurationMetadata;
import io.quarkus.test.security.oidc.UserInfo;
import io.restassured.RestAssured;

@QuarkusTest
@TestHTTPEndpoint(ProtectedResource.class)
public class TestSecurityAuthTest {

    @Test
    @TestSecurity(user = "userOidc", roles = "viewer")
    public void testOidc() {
        RestAssured.when().get("test-security-oidc").then()
                .body(is("userOidc:viewer"));
    }

    @Test
    @TestSecurity(user = "userOidc", roles = "viewer")
    @OidcSecurity(claims = {
            @Claim(key = "email", value = "user@gmail.com")
    }, userinfo = {
            @UserInfo(key = "sub", value = "subject")
    }, config = {
            @ConfigMetadata(key = "issuer", value = "issuer")
    })
    public void testOidcWithClaimsUserInfoAndMetadata() {
        RestAssured.when().get("test-security-oidc-claims-userinfo-metadata").then()
                .body(is("userOidc:viewer:user@gmail.com:subject:issuer"));
    }

}
Copy to Clipboard Toggle word wrap

このコード例で使用されている ProtectedResource クラスは、次のようになります。 

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;

import io.quarkus.oidc.OidcConfigurationMetadata;
import io.quarkus.oidc.UserInfo;
import io.quarkus.security.Authenticated;

import org.eclipse.microprofile.jwt.JsonWebToken;

@Path("/service")
@Authenticated
public class ProtectedResource {

    @Inject
    JsonWebToken accessToken;
    @Inject
    UserInfo userInfo;
    @Inject
    OidcConfigurationMetadata configMetadata;

    @GET
    @Path("test-security-oidc")
    public String testSecurityOidc() {
        return accessToken.getName() + ":" + accessToken.getGroups().iterator().next();
    }

    @GET
    @Path("test-security-oidc-claims-userinfo-metadata")
    public String testSecurityOidcWithClaimsUserInfoMetadata() {
        return accessToken.getName() + ":" + accessToken.getGroups().iterator().next()
                + ":" + accessToken.getClaim("email")
                + ":" + userInfo.getString("sub")
                + ":" + configMetadata.get("issuer");
    }
}
Copy to Clipboard Toggle word wrap

常に @TestSecurity アノテーションを使用する必要があります。その user プロパティーは JsonWebToken.getName() として返され、その roles プロパティーは JsonWebToken.getGroups() として返されます。@OidcSecurity アノテーションは任意です。これを使用すると、追加のトークンクレームと UserInfo および OidcConfigurationMetadata プロパティーを設定できます。さらに、quarkus.oidc.token.issuer プロパティーが設定されている場合は、OidcConfigurationMetadata issuer プロパティー値として使用されます。

不透明なトークンを使用する場合は、次のコード例に示すようにテストできます。 

import static org.hamcrest.Matchers.is;
import org.junit.jupiter.api.Test;
import io.quarkus.test.common.http.TestHTTPEndpoint;
import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.security.TestSecurity;
import io.quarkus.test.security.oidc.OidcSecurity;
import io.quarkus.test.security.oidc.TokenIntrospection;
import io.restassured.RestAssured;

@QuarkusTest
@TestHTTPEndpoint(ProtectedResource.class)
public class TestSecurityAuthTest {

    @Test
    @TestSecurity(user = "userOidc", roles = "viewer")
    @OidcSecurity(introspectionRequired = true,
        introspection = {
            @TokenIntrospection(key = "email", value = "user@gmail.com")
        }
    )
    public void testOidcWithClaimsUserInfoAndMetadata() {
        RestAssured.when().get("test-security-oidc-claims-userinfo-metadata").then()
                .body(is("userOidc:viewer:userOidc:viewer"));
    }

}
Copy to Clipboard Toggle word wrap

このコード例で使用されている ProtectedResource クラスは、次のようになります。 

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;

import io.quarkus.oidc.TokenIntrospection;
import io.quarkus.security.Authenticated;
import io.quarkus.security.identity.SecurityIdentity;

@Path("/service")
@Authenticated
public class ProtectedResource {

    @Inject
    SecurityIdentity securityIdentity;
    @Inject
    TokenIntrospection introspection;

    @GET
    @Path("test-security-oidc-opaque-token")
    public String testSecurityOidcOpaqueToken() {
        return securityIdentity.getPrincipal().getName() + ":" + securityIdentity.getRoles().iterator().next()
            + ":" + introspection.getString("username")
            + ":" + introspection.getString("scope")
            + ":" + introspection.getString("email");
    }
}
Copy to Clipboard Toggle word wrap

@TestSecurityuser、および roles 属性は、TokenIntrospectionusername、および scope プロパティーとして使用できます。io.quarkus.test.security.oidc.TokenIntrospection を使用して、email などの追加のイントロスペクション応答プロパティーを追加します。

ヒント

@TestSecurity@OidcSecurity は、次の例に示すように、メタアノテーションで組み合わせることができます。 

    @Retention(RetentionPolicy.RUNTIME)
    @Target({ ElementType.METHOD })
    @TestSecurity(user = "userOidc", roles = "viewer")
    @OidcSecurity(introspectionRequired = true,
        introspection = {
            @TokenIntrospection(key = "email", value = "user@gmail.com")
        }
    )
    public @interface TestSecurityMetaAnnotation {

    }
Copy to Clipboard Toggle word wrap

これは、複数のテスト方法で同じセキュリティー設定セットを使用する必要がある場合に特に便利です。

1.1.16. ログエラーの確認
リンクのコピー

トークン検証エラーの詳細を確認するには、io.quarkus.oidc.runtime.OidcProviderTRACE レベルのロギングを有効にします。 

quarkus.log.category."io.quarkus.oidc.runtime.OidcProvider".level=TRACE
quarkus.log.category."io.quarkus.oidc.runtime.OidcProvider".min-level=TRACE
Copy to Clipboard Toggle word wrap

OidcProvider クライアント初期化エラーの詳細を確認するには、次のように io.quarkus.oidc.runtime.OidcRecorderTRACE レベルのロギングを有効にします。 

quarkus.log.category."io.quarkus.oidc.runtime.OidcRecorder".level=TRACE
quarkus.log.category."io.quarkus.oidc.runtime.OidcRecorder".min-level=TRACE
Copy to Clipboard Toggle word wrap

1.1.17. OIDC プロバイダーへの外部および内部アクセス
リンクのコピー

OIDC プロバイダーおよびその他のエンドポイントの外部アクセス可能なトークンは、quarkus.oidc.auth-server-url 内部 URL を基準として自動検出された URL または設定された URL とは異なる HTTP(S) URL を持つ場合があります。たとえば、SPA が外部トークンエンドポイントアドレスからトークンを取得し、それをベアラートークンとして Quarkus に送信するとします。その場合、エンドポイントは発行者の検証の失敗を報告する可能性があります。

このような場合、Keycloak を使用する場合は、KEYCLOAK_FRONTEND_URL システムプロパティーを外部からアクセス可能なベース URL に設定して起動します。他の OIDC プロバイダーを使用する場合は、プロバイダーのドキュメントを参照してください。

1.1.18. client-id プロパティーの使用
リンクのコピー

quarkus.oidc.client-id プロパティーは、現在のベアラートークンをリクエストした OIDC クライアントを識別します。OIDC クライアントは、ブラウザーで実行される SPA アプリケーション、または Quarkus service アプリケーションにアクセストークンを伝播する Quarkus web-app の機密クライアントアプリケーションです。

service アプリケーションがトークンをリモートでイントロスペクトすることが予想される場合、このプロパティーは必須です。これは、不透明トークンの場合は常に該当します。このプロパティーは、ローカル JSON Web Token (JWT) 検証の場合のみのオプションです。

エンドポイントがリモートイントロスペクションエンドポイントへのアクセスを必要としない場合でも、quarkus.oidc.client-id プロパティーを設定することを推奨します。これは、client-id が設定されている場合、それを使用してトークン audience を検証できるためです。また、トークンの検証が失敗した場合にもログに含まれるため、特定のクライアントに発行されたトークンの追跡可能性が向上し、より長い期間にわたる分析が可能になります。

たとえば、OIDC プロバイダーがトークン audience を設定する場合は、次の設定パターンを検討してください。 

# Set client-id
quarkus.oidc.client-id=quarkus-app
# Token audience claim must contain 'quarkus-app'
quarkus.oidc.token.audience=${quarkus.oidc.client-id}
Copy to Clipboard Toggle word wrap

quarkus.oidc.client-id を設定したが、エンドポイントが OIDC プロバイダーエンドポイントの 1 つへのリモートアクセスを必要としない場合 (イントロスペクション、トークンの取得など) は、quarkus.oidc.credentials または同様のプロパティーを使用してクライアントシークレットを設定しないでください (このプロパティーは使用されないため)。

注記

Quarkus web-app アプリケーションには常に quarkus.oidc.client-id プロパティーが必要です。

1.2. HTTP リクエストが完了した後の認証
リンクのコピー

場合によっては、アクティブな HTTP リクエストコンテキストが存在しない場合に、特定のトークンの SecurityIdentity を作成する必要があります。quarkus-oidc エクステンションは、トークンを SecurityIdentity インスタンスに変換するための io.quarkus.oidc.TenantIdentityProvider を提供します。たとえば、HTTP リクエストが完了した後にトークンを検証する必要がある状況の 1 つは、Vert.x event bus を使用してメッセージを処理している場合です。以下の例では、さまざまな CDI リクエストコンテキスト内で 'product-order' メッセージを使用しています。したがって、注入された SecurityIdentity は検証された ID を正しく表さず、匿名になります。 

package org.acme.quickstart.oidc;

import static jakarta.ws.rs.core.HttpHeaders.AUTHORIZATION;

import jakarta.inject.Inject;
import jakarta.ws.rs.HeaderParam;
import jakarta.ws.rs.POST;
import jakarta.ws.rs.Path;
import io.vertx.core.eventbus.EventBus;

@Path("order")
public class OrderResource {

    @Inject
    EventBus eventBus;

    @POST
    public void order(String product, @HeaderParam(AUTHORIZATION) String bearer) {
        String rawToken = bearer.substring("Bearer ".length());
1 

        eventBus.publish("product-order", new Product(product, rawToken));
    }

    public static class Product {
         public String product;
         public String customerAccessToken;
         public Product() {
         }
         public Product(String product, String customerAccessToken) {
             this.product = product;
             this.customerAccessToken = customerAccessToken;
         }
    }
}
Copy to Clipboard Toggle word wrap
1
この時点では、プロアクティブ認証が無効になっているとトークンは検証されません。 
package org.acme.quickstart.oidc;

import jakarta.enterprise.context.ApplicationScoped;
import jakarta.inject.Inject;

import io.quarkus.oidc.AccessTokenCredential;
import io.quarkus.oidc.TenantFeature;
import io.quarkus.oidc.TenantIdentityProvider;
import io.quarkus.security.identity.SecurityIdentity;
import io.quarkus.vertx.ConsumeEvent;
import io.smallrye.common.annotation.Blocking;

@ApplicationScoped
public class OrderService {

    @TenantFeature("tenantId")
    @Inject
    TenantIdentityProvider identityProvider;

    @Inject
    TenantIdentityProvider defaultIdentityProvider;
1 


    @Blocking
    @ConsumeEvent("product-order")
    void processOrder(Product product) {
        AccessTokenCredential tokenCredential = new AccessTokenCredential(product.customerAccessToken);
        SecurityIdentity securityIdentity = identityProvider.authenticate(tokenCredential).await().indefinitely();
2 

        ...
    }

}
Copy to Clipboard Toggle word wrap
1
デフォルトのテナントの場合、TenantFeature 修飾子はオプションです。
2
トークンの検証を実行し、トークンを SecurityIdentity に変換します。
注記

HTTP リクエスト中にプロバイダーが使用される場合、OpenID Connect マルチテナンシーの使用 ガイドで説明されているように、テナント設定を解決できます。ただし、アクティブな HTTP リクエストがない場合は、io.quarkus.oidc.TenantFeature 修飾子を使用してテナントを明示的に選択する必要があります。

警告

動的テナント設定の解決 は現在サポートされていません。動的テナントを必要とする認証は失敗します。

1.3. OIDC リクエストフィルター
リンクのコピー

1 つ以上の OidcRequestFilter 実装を登録することで、Quarkus から OIDC プロバイダーに対して行われた OIDC リクエストをフィルタリングできます。これにより、新しいリクエストヘッダーを更新または追加したり、リクエストをログに記録したりできます。詳細は、OIDC リクエストフィルター を参照してください。

1.4. 参考資料
リンクのコピー

第2章 OpenID Connect (OIDC) ベアラートークン認証を使用したサービスアプリケーションの保護
リンクのコピー

Quarkus OpenID Connect (OIDC) エクステンションを使用して、ベアラートークン認証で Jakarta REST アプリケーションを保護します。ベアラートークンは、OIDC と、Keycloak などの OAuth 2.0 準拠の認可サーバーによって発行されます。

OIDC ベアラートークン認証の詳細は、Quarkus ガイド OpenID Connect (OIDC) ベアラートークン認証 を参照してください。

OIDC 認可コードフロー認証を使用して Web アプリケーションを保護する場合は、Web アプリケーションを保護するための OpenID Connect 認可コードフローメカニズム ガイドを参照してください。

2.1. 前提条件
リンクのコピー

このガイドを完了するには、以下が必要です。

  • 約 15 分
  • IDE
  • JAV_HOME が適切に設定された状態でインストールされた JDK 17 以降
  • Apache Maven 3.9.6
  • 動作するコンテナーランタイム (Docker または Podman)
  • オプションで使用する場合は Quarkus CLI
  • ネイティブ実行可能ファイル (ネイティブコンテナービルドを使用する場合は Docker) をビルドする必要がある場合は、オプションで Mandrel または GraalVM がインストールされ、適切に設定されている
  • jq コマンドラインプロセッサーツール

2.2. アーキテクチャー
リンクのコピー

この例では、2 つのエンドポイントを提供するシンプルなマイクロサービスをビルドする方法を示します。

  • /api/users/me
  • /api/admin

これらのエンドポイントは保護されており、クライアントがリクエストとともにベアラートークンを送信した場合にのみアクセスできます。ベアラートークンは有効 (署名、有効期限、audience など) であり、マイクロサービスによって信頼されている必要があります。

Keycloak サーバーはベアラートークンを発行し、トークンが発行されたサブジェクトを表します。これは OAuth 2.0 認可サーバーであるため、トークンはユーザーに代わって動作するクライアントも参照します。

有効なトークンを持つすべてのユーザーは、/api/users/me エンドポイントにアクセスできます。レスポンスとして、トークンの情報から取得したユーザーの詳細を含む JSON ドキュメントを返します。

/api/admin エンドポイントは RBAC (ロールベースのアクセス制御) で保護されており、admin ロールを持つユーザーのみがアクセスできます。このエンドポイントでは、@RolesAllowed アノテーションを使用して、アクセス制約を宣言的に適用します。

2.3. ソリューション
リンクのコピー

次のセクションの指示に従って、アプリケーションを段階的に作成します。完成した例に直接進むこともできます。

git clone https://github.com/quarkusio/quarkus-quickstarts.git -b 3.8 コマンドを実行して Git リポジトリーをクローンするか、アーカイブ をダウンロードすることができます。

ソリューションは、security-openid-connect-quickstartディレクトリー にあります。

2.4. Maven プロジェクトの作成
リンクのコピー

oidc エクステンションを使用して新しい Maven プロジェクトを作成することも、既存の Maven プロジェクトにエクステンションを追加することもできます。次のいずれかのコマンドを実行します。

新しい Maven プロジェクトを作成するには、次のコマンドを使用します。

  • Quarkus CLI を使用: 

    quarkus create app org.acme:security-openid-connect-quickstart \
    --extension='oidc,resteasy-reactive-jackson' \
    --no-code
cd security-openid-connect-quickstart
    Copy to Clipboard Toggle word wrap

    Gradle プロジェクトを作成するには、--gradle オプションまたは --gradle-kotlin-dsl オプションを追加します。

    Quarkus CLI のインストール方法と使用方法の詳細は、Quarkus CLI ガイドを参照してください。

  • Maven を使用: 

    mvn io.quarkus.platform:quarkus-maven-plugin:3.8.5:create \
    -DprojectGroupId=org.acme \
    -DprojectArtifactId=security-openid-connect-quickstart \
    -Dextensions='oidc,resteasy-reactive-jackson' \
    -DnoCode
cd security-openid-connect-quickstart
    Copy to Clipboard Toggle word wrap

    Gradle プロジェクトを作成するには、-DbuildTool=gradle または -DbuildTool=gradle-kotlin-dsl オプションを追加します。

Windows ユーザーの場合:

  • cmd を使用する場合は、バックスラッシュ \ を使用せず、すべてを同じ行に記述してください。
  • Powershell を使用する場合は、-D パラメーターを二重引用符で囲みます (例: "-DprojectArtifactId=security-openid-connect-quickstart")。

Quarkus プロジェクトがすでに設定されている場合は、プロジェクトベースディレクトリーで次のコマンドを実行して、oidc エクステンションをプロジェクトに追加できます。

  • Quarkus CLI を使用: 

    quarkus extension add oidc
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw quarkus:add-extension -Dextensions='oidc'
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew addExtension --extensions='oidc'
    Copy to Clipboard Toggle word wrap

これにより、ビルドファイルに次の内容が追加されます。

  • Maven を使用: 

    <dependency>
   <groupId>io.quarkus</groupId>
   <artifactId>quarkus-oidc</artifactId>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    implementation("io.quarkus:quarkus-oidc")
    Copy to Clipboard Toggle word wrap

2.5. アプリケーションの作成
リンクのコピー

  1. 次の例に示すように、通常の Jakarta REST リソースである /api/users/me エンドポイントを実装します。 

    package org.acme.security.openid.connect;

import jakarta.annotation.security.RolesAllowed;
import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;

import org.jboss.resteasy.reactive.NoCache;
import io.quarkus.security.identity.SecurityIdentity;

@Path("/api/users")
public class UsersResource {

    @Inject
    SecurityIdentity securityIdentity;

    @GET
    @Path("/me")
    @RolesAllowed("user")
    @NoCache
    public User me() {
        return new User(securityIdentity);
    }

    public static class User {

        private final String userName;

        User(SecurityIdentity securityIdentity) {
            this.userName = securityIdentity.getPrincipal().getName();
        }

        public String getUserName() {
            return userName;
        }
    }
}
    Copy to Clipboard Toggle word wrap

  2. 次の例に示すように、/api/admin エンドポイントを実装します。 

    package org.acme.security.openid.connect;

import jakarta.annotation.security.RolesAllowed;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;
import jakarta.ws.rs.core.MediaType;

@Path("/api/admin")
public class AdminResource {

    @GET
    @RolesAllowed("admin")
    @Produces(MediaType.TEXT_PLAIN)
    public String admin() {
        return "granted";
    }
}
    Copy to Clipboard Toggle word wrap
    注記

    この例の主な違いは、@RolesAllowed アノテーションを使用して、admin ロールを付与されたユーザーのみがエンドポイントにアクセスできることを確認することです。

SecurityIdentity の注入は、@RequestScoped コンテキストと @ApplicationScoped コンテキストの両方でサポートされています。

2.6. アプリケーションの設定
リンクのコピー

  • src/main/resources/application.properties ファイルで次の設定プロパティーを設定して、Quarkus OpenID Connect (OIDC) エクステンションを設定します。 

    %prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=backend-service
quarkus.oidc.credentials.secret=secret

# Tell Dev Services for Keycloak to import the realm file
# This property is not effective when running the application in JVM or native modes

quarkus.keycloak.devservices.realm-path=quarkus-realm.json
    Copy to Clipboard Toggle word wrap

詳細は以下のようになります。

  • %prod.quarkus.oidc.auth-server-url は、OpenID Connect (OIDC) サーバーのベース URL を設定します。%prod. プロファイル接頭辞により、アプリケーションを開発 (dev) モードで実行するときに、Dev Services for Keycloak がコンテナーを起動します。詳細は、開発モードでのアプリケーションの実行 セクションを参照してください。
  • quarkus.oidc.client-id は、アプリケーションを識別するクライアント ID を設定します。
  • quarkus.oidc.credentials.secret は、client_secret_basic 認証方法で使用されるクライアントシークレットを設定します。

詳細は、Quarkus ガイドの OpenID Connect (OIDC) 設定プロパティー を参照してください。

2.7. Keycloak サーバーの起動と設定
リンクのコピー

  1. レルム設定ファイル をクラスパス (target/classes ディレクトリー) に配置して、開発モードで実行するときに自動的にインポートされるようにします。すでに 完全なソリューション をビルドしている場合は、これを行う必要はありません。その場合、このレルムファイルはビルド中にクラスパスに追加されます。

    注記

    アプリケーションを開発モードで実行するときは、Keycloak サーバーを起動しないでください。Dev Services for Keycloak がコンテナーを起動します。詳細は、開発モードでのアプリケーションの実行 セクションを参照してください。

  2. Keycloak サーバーをが起動するには、Docker を使用して次のコマンドを実行します。 

    docker run --name keycloak -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -p 8180:8080 quay.io/keycloak/keycloak:{keycloak.version} start-dev
    Copy to Clipboard Toggle word wrap
    • keycloak.version がバージョン 24.0.0 以降に設定されている場合。
  3. Keycloak サーバーには localhost:8180 からアクセスできます。

  4. Keycloak 管理コンソールにアクセスするには、次のログイン認証情報を使用して admin ユーザーとしてログインします。

    • ユーザー名: admin
    • パスワード: admin
  5. 新しいレルムを作成するには、アップストリームコミュニティーリポジトリーから レルム設定ファイル をインポートします。

詳細は、新しいレルムの作成と設定 に関する Keycloak のドキュメントを参照してください。

2.8. 開発モードでのアプリケーションの実行
リンクのコピー

  1. 開発モードでアプリケーションを実行するには、次のコマンドを実行します。

    • Quarkus CLI を使用: 

      quarkus dev
      Copy to Clipboard Toggle word wrap

    • Maven を使用: 

      ./mvnw quarkus:dev
      Copy to Clipboard Toggle word wrap

    • Gradle を使用: 

      ./gradlew --console=plain quarkusDev
      Copy to Clipboard Toggle word wrap
  2. /q/dev-ui にある Dev UI を開きます。次に、OpenID Connect カードで、Keycloak provider リンクをクリックします。

  3. OpenID Connect Dev UI によって提供される Single Page Application にログインするように求められたら、次の手順を実行します。

    • user ロールを持つ alice (パスワード: alice) としてログインします。

      • /api/admin にアクセスすると、ステータスコード 403 が返されます。
      • /api/users/me にアクセスすると、ステータスコード 200 が返されます。

    • ログアウトし、adminuser の両方のロールを持つ admin (パスワード: admin) として再度ログインします。

      • /api/admin にアクセスすると、ステータスコード 200 が返されます。
      • /api/users/me にアクセスすると、ステータスコード 200 が返されます。

2.9. JVM モードでのアプリケーションの実行
リンクのコピー

開発モードが完了したら、アプリケーションを標準の Java アプリケーションとして実行できます。

  1. アプリケーションをコンパイルします。

    • Quarkus CLI を使用: 

      quarkus build
      Copy to Clipboard Toggle word wrap

    • Maven を使用: 

      ./mvnw install
      Copy to Clipboard Toggle word wrap

    • Gradle を使用: 

      ./gradlew build
      Copy to Clipboard Toggle word wrap

  2. アプリケーションを実行します。 

    java -jar target/quarkus-app/quarkus-run.jar
    Copy to Clipboard Toggle word wrap

2.10. ネイティブモードでのアプリケーションの実行
リンクのコピー

このデモを、変更せずにそのままネイティブモードにコンパイルできます。つまり、実稼働環境に JVM をインストールする必要がなくなります。ランタイムテクノロジーは生成されたバイナリーに組み込まれ、最小限のリソースで実行できるように最適化されています。

コンパイルには少し時間がかかるため、この手順はデフォルトで無効になっています。

  1. native プロファイルを有効にしてアプリケーションを再度ビルドします。

    • Quarkus CLI を使用: 

      quarkus build --native
      Copy to Clipboard Toggle word wrap

    • Maven を使用: 

      ./mvnw install -Dnative
      Copy to Clipboard Toggle word wrap

    • Gradle を使用: 

      ./gradlew build -Dquarkus.package.type=native
      Copy to Clipboard Toggle word wrap

  2. しばらく待ってから、次のバイナリーを直接実行します。 

    ./target/security-openid-connect-quickstart-1.0.0-SNAPSHOT-runner
    Copy to Clipboard Toggle word wrap

2.11. アプリケーションをテストする
リンクのコピー

開発モードでアプリケーションをテストする方法は、前述の 開発モードでのアプリケーションの実行 セクションを参照してください。

curl を使用して、JVM モードまたはネイティブモードで起動されたアプリケーションをテストできます。

  • アプリケーションはベアラートークン認証を使用するため、アプリケーションリソースにアクセスするには、まず Keycloak サーバーからアクセストークンを取得する必要があります。 
export access_token=$(\
    curl --insecure -X POST http://localhost:8180/realms/quarkus/protocol/openid-connect/token \
    --user backend-service:secret \
    -H 'content-type: application/x-www-form-urlencoded' \
    -d 'username=alice&password=alice&grant_type=password' | jq --raw-output '.access_token' \
 )
Copy to Clipboard Toggle word wrap

上記の例では、ユーザー alice のアクセストークンを取得します。

  • どのユーザーも http://localhost:8080/api/users/me エンドポイントにアクセスでき、ユーザーの詳細を含む JSON ペイロードが返されます。 
curl -v -X GET \
  http://localhost:8080/api/users/me \
  -H "Authorization: Bearer "$access_token
Copy to Clipboard Toggle word wrap
  • admin ロールを持つユーザーのみが http://localhost:8080/api/admin エンドポイントにアクセスできます。以前に発行されたアクセストークンを使用してこのエンドポイントにアクセスしようとすると、サーバーから 403 応答が返されます。 
curl -v -X GET \
   http://localhost:8080/api/admin \
   -H "Authorization: Bearer "$access_token
Copy to Clipboard Toggle word wrap
  • 管理エンドポイントにアクセスするには、admin ユーザーのトークンを取得します。 
export access_token=$(\
    curl --insecure -X POST http://localhost:8180/realms/quarkus/protocol/openid-connect/token \
    --user backend-service:secret \
    -H 'content-type: application/x-www-form-urlencoded' \
    -d 'username=admin&password=admin&grant_type=password' | jq --raw-output '.access_token' \
 )
Copy to Clipboard Toggle word wrap

Dev Services for Keycloak に依存する結合テストの作成に関する詳細は、「OpenID Connect (OIDC) ベアラートークン認証」ガイドの Dev Services for Keycloak セクションを参照してください。

2.12. 参考資料
リンクのコピー

第3章 Web アプリケーションを保護するための OpenID Connect 認可コードフローメカニズム
リンクのコピー

Web アプリケーションを保護するには、Quarkus OIDC エクステンションによって提供される業界標準の OpenID Connect (OIDC) 認可コードフローメカニズムを使用できます。

3.1. OIDC 認可コードフローメカニズムの概要
リンクのコピー

Quarkus OpenID Connect (OIDC) エクステンションは、Keycloak などの OIDC 準拠の認可サーバーによってサポートされている OIDC 認可コードフローメカニズムを使用して、アプリケーションの HTTP エンドポイントを保護できます。

認可コードフローメカニズムは、Web アプリケーションのユーザーを Keycloak などの OIDC プロバイダーにリダイレクトしてログインさせることで、ユーザーを認証します。認証後、OIDC プロバイダーは、認証が成功したことを確認する認可コードを使用してユーザーをアプリケーションにリダイレクトします。次に、アプリケーションは、このコードを OIDC プロバイダーと交換して、ID トークン (認証されたユーザーを表す)、アクセストークン、および更新トークンを取得し、ユーザーのアプリケーションへのアクセスを認可します。

次の図は、Quarkus の認可コードフローのメカニズムの概要を示しています。

図3.1 Quarkus の認可コードフローメカニズム

認可コードフロー
View larger image
認可コードフロー
  1. Quarkus ユーザーは、Quarkus web-app アプリケーションへのアクセスを要求します。
  2. Quarkus web-app は、ユーザーを認可エンドポイント、つまり認証用の OIDC プロバイダーにリダイレクトします。
  3. OIDC プロバイダーは、ユーザーをログインおよび認証プロンプトにリダイレクトします。
  4. ユーザーは、プロンプトが表示されたらユーザー認証情報を入力します。
  5. OIDC プロバイダーは、入力されたユーザー認証情報を認証し、成功した場合は認可コードを発行して、クエリーパラメーターとして含まれたコードを使用してユーザーを Quarkus web-app にリダイレクトします。
  6. Quarkus web-app は、この認可コードを OIDC プロバイダーと交換して、ID、アクセストークン、および更新トークンを取得します。

認可コードフローが完了し、Quarkus web-app は発行されたトークンを使用してユーザーに関する情報にアクセスし、そのユーザーに関連するロールベースの認可を付与します。以下のトークンが発行されます。

  • ID トークン: Quarkus web-app アプリケーションは、ID トークン内のユーザー情報を使用することで、認証されたユーザーが安全にログインし、Web アプリケーションへのロールベースのアクセスを提供できるようにします。
  • アクセストークン: Quarkus web-app は、アクセストークンを使用して UserInfo API にアクセスし、認証されたユーザーに関する追加情報を取得したり、それを別のエンドポイントに伝播したりする可能性があります。
  • 更新トークン: (オプション) ID とアクセストークンの有効期限が切れた場合、Quarkus web-app は更新トークンを使用して、新しい ID とアクセストークンを取得できます。

OIDC 設定プロパティー も参照してください。

OIDC 認可コードフローメカニズムを使用して Web アプリケーションを保護する方法の詳細は、OIDC 認可コードフローを使用した Web アプリケーションの保護 を参照してください。

OIDC ベアラートークン認証を使用してサービスアプリケーションを保護する場合は、OIDC ベアラートークン認証 を参照してください。

複数のテナントをサポートする方法の詳細は、OpenID Connect マルチテナンシーの使用 を参照してください。

3.2. 認可コードフローメカニズムの使用
リンクのコピー

3.2.1. OIDC プロバイダーエンドポイントへのアクセスの設定
リンクのコピー

OIDC web-app アプリケーションには、OIDC プロバイダーの認可、トークン、JsonWebKey (JWK) セット、および場合によっては UserInfo、イントロスペクション、および end-session (RP によって開始されるログアウト) エンドポイントの URL が必要です。

慣例により、設定された quarkus.oidc.auth-server-url/.well-known/openid-configuration パスを追加することで検出されます。

あるいは、検出エンドポイントが利用できない場合、または検出エンドポイントのラウンドトリップを減らしたい場合は、エンドポイント検出を無効にして相対パス値を設定できます。以下に例を示します。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.discovery-enabled=false
# Authorization endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/auth
quarkus.oidc.authorization-path=/protocol/openid-connect/auth
# Token endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/token
quarkus.oidc.token-path=/protocol/openid-connect/token
# JWK set endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/certs
quarkus.oidc.jwks-path=/protocol/openid-connect/certs
# UserInfo endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/userinfo
quarkus.oidc.user-info-path=/protocol/openid-connect/userinfo
# Token Introspection endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/token/introspect
quarkus.oidc.introspection-path=/protocol/openid-connect/token/introspect
# End-session endpoint: http://localhost:8180/realms/quarkus/protocol/openid-connect/logout
quarkus.oidc.end-session-path=/protocol/openid-connect/logout
Copy to Clipboard Toggle word wrap

一部の OIDC プロバイダーはメタデータ検出をサポートしていますが、認可コードフローを完了したり、ユーザーログアウトなどのアプリケーション機能をサポートしたりするために必要なエンドポイント URL 値をすべて返すわけではありません。この制限を回避するには、次の例に示すように、不足しているエンドポイント URL 値をローカルで設定します。 

# Metadata is auto-discovered but it does not return an end-session endpoint URL

quarkus.oidc.auth-server-url=http://localhost:8180/oidcprovider/account

# Configure the end-session URL locally.
# It can be an absolute or relative (to 'quarkus.oidc.auth-server-url') address
quarkus.oidc.end-session-path=logout
Copy to Clipboard Toggle word wrap

検出されたエンドポイント URL がローカル Quarkus エンドポイントで機能せず、より具体的な値が必要な場合は、この同じ設定を使用してその URL をオーバーライドできます。たとえば、グローバルおよびアプリケーション固有の end-session エンドポイントの両方をサポートするプロバイダーは、http://localhost:8180/oidcprovider/account/global-logout などのグローバル end-session URL を返します。この URL により、ユーザーは現在ログインしているすべてのアプリケーションからログアウトされます。ただし、現在のアプリケーションでユーザーを特定のアプリケーションからのみログアウトする必要がある場合は、quarkus.oidc.end-session-path=logout パラメーターを設定することで、グローバル end-session URL をオーバーライドできます。

3.2.1.1. OIDC プロバイダークライアント認証
リンクのコピー

OIDC プロバイダーでは通常、アプリケーションが OIDC エンドポイントと対話するときに、そのアプリケーションを識別して認証する必要があります。Quarkus OIDC (具体的には quarkus.oidc.runtime.OidcProviderClient クラス) は、認可コードを ID、アクセストークン、および更新トークンと交換する必要がある場合、または ID トークンとアクセストークンを更新またはイントロスペクトする必要がある場合に、OIDC プロバイダーに対して認証を行います。

通常、クライアント ID とクライアントシークレットは、特定のアプリケーションが OIDC プロバイダーに登録されるときに定義されます。すべての OIDC クライアント認証 オプションがサポートされています。以下に例を示します。

client_secret_basic の例:

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.secret=mysecret
Copy to Clipboard Toggle word wrap

または、以下を実行します。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.client-secret.value=mysecret
Copy to Clipboard Toggle word wrap

次の例は、認証情報プロバイダー から取得したシークレットを示しています。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app

# This is a key which will be used to retrieve a secret from the map of credentials returned from CredentialsProvider
quarkus.oidc.credentials.client-secret.provider.key=mysecret-key
# Set it only if more than one CredentialsProvider can be registered
quarkus.oidc.credentials.client-secret.provider.name=oidc-credentials-provider
Copy to Clipboard Toggle word wrap

client_secret_post の例

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.client-secret.value=mysecret
quarkus.oidc.credentials.client-secret.method=post
Copy to Clipboard Toggle word wrap

client_secret_jwt の例 (署名アルゴリズムは HS256):

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.jwt.secret=AyM1SysPpbyDfgZld3umj1qzKObwVMkoqQ-EstJQLr_T-1qS0gZH75aKtMN3Yj0iPS4hcgUuTwjAzZr1Z9CAow
Copy to Clipboard Toggle word wrap

シークレットが 認証情報プロバイダー から取得される client_secret_jwt の例:

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app

# This is a key which will be used to retrieve a secret from the map of credentials returned from CredentialsProvider
quarkus.oidc.credentials.jwt.secret-provider.key=mysecret-key
# Set it only if more than one CredentialsProvider can be registered
quarkus.oidc.credentials.jwt.secret-provider.name=oidc-credentials-provider
Copy to Clipboard Toggle word wrap

PEM キーファイルを使用した private_key_jwt の例 (署名アルゴリズムは RS256): 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.jwt.key-file=privateKey.pem
Copy to Clipboard Toggle word wrap

キーストアファイルを使用した private_key_jwt の例 (署名アルゴリズムは RS256):

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.jwt.key-store-file=keystore.jks
quarkus.oidc.credentials.jwt.key-store-password=mypassword
quarkus.oidc.credentials.jwt.key-password=mykeypassword

# Private key alias inside the keystore
quarkus.oidc.credentials.jwt.key-id=mykeyAlias
Copy to Clipboard Toggle word wrap

client_secret_jwt または private_key_jwt 認証方法を使用すると、クライアントシークレットが OIDC プロバイダーに送信されないため、'中間者攻撃' によってシークレットが傍受されるリスクを回避できます。

3.2.1.1.1. 追加の JWT 認証オプション
リンクのコピー

client_secret_jwtprivate_key_jwt、または Apple post_jwt 認証方法を使用する場合は、JWT 署名アルゴリズム、キー識別子、audience、サブジェクト、発行者をカスタマイズできます。以下に例を示します。 

# private_key_jwt client authentication

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus/
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.jwt.key-file=privateKey.pem

# This is a token key identifier 'kid' header - set it if your OIDC provider requires it:
# Note if the key is represented in a JSON Web Key (JWK) format with a `kid` property, then
# using 'quarkus.oidc.credentials.jwt.token-key-id' is not necessary.
quarkus.oidc.credentials.jwt.token-key-id=mykey

# Use RS512 signature algorithm instead of the default RS256
quarkus.oidc.credentials.jwt.signature-algorithm=RS512

# The token endpoint URL is the default audience value, use the base address URL instead:
quarkus.oidc.credentials.jwt.audience=${quarkus.oidc-client.auth-server-url}

# custom subject instead of the client id:
quarkus.oidc.credentials.jwt.subject=custom-subject

# custom issuer instead of the client id:
quarkus.oidc.credentials.jwt.issuer=custom-issuer
Copy to Clipboard Toggle word wrap
3.2.1.1.2. Apple POST JWT
リンクのコピー

Apple OIDC プロバイダーは client_secret_post メソッドを使用します。この方法では、シークレットは private_key_jwt 認証方法で生成された JWT ですが、Apple アカウント固有の発行者とサブジェクトのクレームが含まれます。

Quarkus Security では、quarkus-oidc が非標準の client_secret_post_jwt 認証方法をサポートします。この認証方法は次のように設定できます。 

# Apple provider configuration sets a 'client_secret_post_jwt' authentication method
quarkus.oidc.provider=apple

quarkus.oidc.client-id=${apple.client-id}
quarkus.oidc.credentials.jwt.key-file=ecPrivateKey.pem
quarkus.oidc.credentials.jwt.token-key-id=${apple.key-id}
# Apple provider configuration sets ES256 signature algorithm

quarkus.oidc.credentials.jwt.subject=${apple.subject}
quarkus.oidc.credentials.jwt.issuer=${apple.issuer}
Copy to Clipboard Toggle word wrap
3.2.1.1.3. 相互 TLS (mTLS)
リンクのコピー

一部の OIDC プロバイダーでは、相互 TLS 認証プロセスの一部としてクライアントが認証されることが必要になる場合があります。

次の例は、quarkus-oidcmTLS をサポートするように設定する方法を示しています。 

quarkus.oidc.tls.verification=certificate-validation

# Keystore configuration
quarkus.oidc.tls.key-store-file=client-keystore.jks
quarkus.oidc.tls.key-store-password=${key-store-password}

# Add more keystore properties if needed:
#quarkus.oidc.tls.key-store-alias=keyAlias
#quarkus.oidc.tls.key-store-alias-password=keyAliasPassword

# Truststore configuration
quarkus.oidc.tls.trust-store-file=client-truststore.jks
quarkus.oidc.tls.trust-store-password=${trust-store-password}
# Add more truststore properties if needed:
#quarkus.oidc.tls.trust-store-alias=certAlias
Copy to Clipboard Toggle word wrap
3.2.1.1.4. POST クエリー
リンクのコピー

Strava OAuth2 プロバイダー などの一部のプロバイダーでは、クライアントクレデンシャルを HTTP POST クエリーパラメーターとして送信する必要があります。 

quarkus.oidc.provider=strava
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.client-secret.value=mysecret
quarkus.oidc.credentials.client-secret.method=query
Copy to Clipboard Toggle word wrap
3.2.1.2. イントロスペクションエンドポイント認証
リンクのコピー

一部の OIDC プロバイダーでは、Basic 認証と client_id および client_secret とは異なる認証情報を使用して、イントロスペクションエンドポイントへの認証を行う必要があります。OIDC プロバイダークライアント認証 セクションで説明されているように、client_secret_basic または client_secret_post クライアント認証メソッドのいずれかをサポートするように以前にセキュリティー認証を設定している場合は、次のように追加の設定を適用することを推奨します。

トークンをイントロスペクションする必要があり、イントロスペクションエンドポイント固有の認証メカニズムが必要な場合は、quarkus-oidc を次のように設定できます。 

quarkus.oidc.introspection-credentials.name=introspection-user-name
quarkus.oidc.introspection-credentials.secret=introspection-user-secret
Copy to Clipboard Toggle word wrap
3.2.1.3. OIDC リクエストフィルター
リンクのコピー

1 つ以上の OidcRequestFilter 実装を登録することで、Quarkus から OIDC プロバイダーに対して行われた OIDC リクエストをフィルタリングできます。これにより、新しいリクエストヘッダーを更新または追加したり、リクエストをログに記録したりすることもできます。

以下に例を示します。 

package io.quarkus.it.keycloak;

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.arc.Unremovable;
import io.quarkus.oidc.common.OidcRequestContextProperties;
import io.quarkus.oidc.common.OidcRequestFilter;
import io.vertx.mutiny.core.buffer.Buffer;
import io.vertx.mutiny.ext.web.client.HttpRequest;

@ApplicationScoped
@Unremovable
public class OidcTokenRequestCustomizer implements OidcRequestFilter {
    @Override
    public void filter(HttpRequest<Buffer> request, Buffer buffer, OidcRequestContextProperties contextProps) {
        OidcConfigurationMetadata metadata = contextProps.get(OidcConfigurationMetadata.class.getName());
1 

        // Metadata URI is absolute, request URI value is relative
        if (metadata.getTokenUri().endsWith(request.uri())) {
2 

            request.putHeader("TokenGrantDigest", calculateDigest(buffer.toString()));
        }
    }
    private String calculateDigest(String bodyString) {
        // Apply the required digest algorithm to the body string
    }
}
Copy to Clipboard Toggle word wrap
1
サポートされているすべての OIDC エンドポイントアドレスが含まれる OidcConfigurationMetadata を取得します。
2
OidcConfigurationMetadata を使用して、OIDC トークンエンドポイントへのリクエストのみをフィルターします。

あるいは、OidcRequestFilter.Endpoint 列挙型を使用して、このフィルターをトークンエンドポイントリクエストにのみ適用することもできます。 

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.arc.Unremovable;
import io.quarkus.oidc.common.OidcEndpoint;
import io.quarkus.oidc.common.OidcEndpoint.Type;
import io.quarkus.oidc.common.OidcRequestContextProperties;
import io.quarkus.oidc.common.OidcRequestFilter;
import io.vertx.mutiny.core.buffer.Buffer;
import io.vertx.mutiny.ext.web.client.HttpRequest;

@ApplicationScoped
@Unremovable
@OidcEndpoint(value = Type.DISCOVERY)
1 

public class OidcDiscoveryRequestCustomizer implements OidcRequestFilter {

    @Override
    public void filter(HttpRequest<Buffer> request, Buffer buffer, OidcRequestContextProperties contextProps) {
        request.putHeader("Discovery", "OK");
    }
}
Copy to Clipboard Toggle word wrap
1
このフィルターを、OIDC 検出エンドポイントのみを対象とするリクエストに制限します。
3.2.1.4. OIDC プロバイダーへのリダイレクトと OIDC プロバイダーからのリダイレクト
リンクのコピー

ユーザーが認証のために OIDC プロバイダーにリダイレクトされる場合、リダイレクト URL には、認証が完了したときにユーザーをリダイレクトする場所をプロバイダーに指示する redirect_uri クエリーパラメーターが含まれます。この場合、これは Quarkus アプリケーションになります。

Quarkus は、デフォルトでこのパラメーターを現在のアプリケーション要求 URL に設定します。たとえば、ユーザーが http://localhost:8080/service/1 にある Quarkus サービスエンドポイントにアクセスしようとしている場合、redirect_uri パラメーターは http://localhost:8080/service/1 に設定されます。同様に、リクエスト URL が http://localhost:8080/service/2 の場合、redirect_uri パラメーターは http://localhost:8080/service/2 に設定されます。

一部の OIDC プロバイダーでは、すべてのリダイレクト URL の特定のアプリケーション (例: http://localhost:8080/service/callback) に対して redirect_uri が同じ値を持つことを要求します。このような場合は、quarkus.oidc.authentication.redirect-path プロパティーを設定する必要があります。たとえば、quarkus.oidc.authentication.redirect-path=/service/callback の場合、Quarkus は redirect_uri パラメーターを http://localhost:8080/service/callback などの絶対 URL に設定します。これは、現在のリクエスト URL に関係なく同じになります。

quarkus.oidc.authentication.redirect-path が設定されているが、ユーザーが http://localhost:8080/service/callback などの一意のコールバック URL にリダイレクトされた後に元のリクエスト URL を復元する必要がある場合は、quarkus.oidc.authentication.restore-path-after-redirect プロパティーを true に設定します。これにより、http://localhost:8080/service/1 などのリクエスト URL が復元されます。

3.2.1.5. 認証リクエストのカスタマイズ
リンクのコピー

デフォルトでは、ユーザーが認証のために OIDC プロバイダーの認可エンドポイントにリダイレクトされるときに、response_type (code に設定)、scope (openid に設定)、client_idredirect_uri、および state プロパティーのみが HTTP クエリーパラメーターとして OIDC プロバイダーの認可エンドポイントに渡されます。

quarkus.oidc.authentication.extra-params を使用して、さらにプロパティーを追加できます。たとえば、一部の OIDC プロバイダーは、リダイレクト URI のフラグメントの一部として認可コードを返すことを選択する場合があります。これにより認証プロセスが中断されます。次の例は、この問題を回避する方法を示しています。 

quarkus.oidc.authentication.extra-params.response_mode=query
Copy to Clipboard Toggle word wrap
3.2.1.6. 認証エラーレスポンスのカスタマイズ
リンクのコピー

ユーザーが OIDC 認可エンドポイントにリダイレクトされ、Quarkus アプリケーションを認証し、必要に応じて認可する場合、リダイレクト URI に無効なスコープが含まれている場合など、このリダイレクトリクエストは失敗する可能性があります。このような場合、プロバイダーは、予期される code パラメーターの代わりに、error および error_description パラメーターを使用してユーザーを Quarkus にリダイレクトします。

たとえば、プロバイダーへのリダイレクトに無効なスコープまたはその他の無効なパラメーターが含まれている場合に、これが発生する可能性があります。

このような場合、デフォルトで HTTP 401 エラーが返されます。ただし、よりユーザーフレンドリーな HTML エラーページを返すために、カスタムパブリックエラーエンドポイントを呼び出すように要求できます。これを行うには、次の例に示すように、quarkus.oidc.authentication.error-path プロパティーを設定します。 

quarkus.oidc.authentication.error-path=/error
Copy to Clipboard Toggle word wrap

プロパティーがスラッシュ (/) 文字で始まり、パスが現在のエンドポイントのベース URI を基準としていることを確認します。たとえば、これが '/error' に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、最終的なリダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。

重要

ユーザーがこのページにリダイレクトされて再認証されないようにするには、このエラーエンドポイントがパブリックリソースであることを確認します。

3.2.2. 認可データへのアクセス
リンクのコピー

認可に関する情報にはさまざまな方法でアクセスできます。

3.2.2.1. ID とアクセストークンへのアクセス
リンクのコピー

OIDC コード認証メカニズムは、認可コードフロー中に ID トークン、アクセストークン、および更新トークンの 3 つのトークンを取得します。

ID トークンは常に JWT トークンであり、JWT クレームによるユーザー認証を表します。これを使用して、発行 OIDC エンドポイント、ユーザー名、および クレーム と呼ばれるその他の情報を取得できます。IdToken 修飾子を使用して JsonWebToken を注入することで、ID トークンクレームにアクセスできます。 

import jakarta.inject.Inject;
import org.eclipse.microprofile.jwt.JsonWebToken;
import io.quarkus.oidc.IdToken;
import io.quarkus.security.Authenticated;

@Path("/web-app")
@Authenticated
public class ProtectedResource {

    @Inject
    @IdToken
    JsonWebToken idToken;

    @GET
    public String getUserName() {
        return idToken.getName();
    }
}
Copy to Clipboard Toggle word wrap

OIDC web-app アプリケーションは通常、アクセストークンを使用して、現在ログインしているユーザーに代わって他のエンドポイントにアクセスします。raw のアクセストークンには次のようにアクセスできます。 

import jakarta.inject.Inject;
import org.eclipse.microprofile.jwt.JsonWebToken;
import io.quarkus.oidc.AccessTokenCredential;
import io.quarkus.security.Authenticated;

@Path("/web-app")
@Authenticated
public class ProtectedResource {

    @Inject
    JsonWebToken accessToken;

    // or
    // @Inject
    // AccessTokenCredential accessTokenCredential;

    @GET
    public String getReservationOnBehalfOfUser() {
        String rawAccessToken = accessToken.getRawToken();
        //or
        //String rawAccessToken = accessTokenCredential.getToken();

        // Use the raw access token to access a remote endpoint.
        // For example, use RestClient to set this token as a `Bearer` scheme value of the HTTP `Authorization` header:
        // `Authorization: Bearer rawAccessToken`.
        return getReservationfromRemoteEndpoint(rawAccesstoken);
    }
}
Copy to Clipboard Toggle word wrap
注記

AccessTokenCredential は、Quarkus web-app アプリケーションに発行されたアクセストークンが不透明 (バイナリー) で JsonWebToken に解析できない場合、または内部コンテンツがアプリケーションに必要な場合に使用されます。

JsonWebToken および AccessTokenCredential の注入は、@RequestScoped コンテキストと @ApplicationScoped コンテキストの両方でサポートされています。

Quarkus OIDC は、セッション管理 プロセスの一環として、更新トークンを使用して現在の ID とアクセストークンを更新します。

3.2.2.2. ユーザー情報
リンクのコピー

ID トークンが現在認証されているユーザーに関する十分な情報を提供しない場合は、UserInfo エンドポイントから詳細情報を取得できます。quarkus.oidc.authentication.user-info-required=true プロパティーを設定して、OIDC UserInfo エンドポイントから UserInfo JSON オブジェクトを要求します。

認可コードグラントのレスポンスで返されたアクセストークンを使用して、OIDC プロバイダーの UserInfo エンドポイントにリクエストが送信され、io.quarkus.oidc.UserInfo (単純な jakarta.json.JsonObject ラッパー) オブジェクトが作成されます。io.quarkus.oidc.UserInfo は、SecurityIdentity userinfo 属性として注入またはアクセスできます。

3.2.2.3. OIDC 設定情報へのアクセス
リンクのコピー

現在のテナントの検出された OpenID Connect 設定メタデータ は、io.quarkus.oidc.OidcConfigurationMetadata によって表され、SecurityIdentity configuration-metadata 属性として注入またはアクセスできます。

エンドポイントがパブリックの場合、デフォルトのテナントの OidcConfigurationMetadata が注入されます。

3.2.2.4. トークンクレームと SecurityIdentity ロールのマッピング
リンクのコピー

検証済みトークンから SecurityIdentity ロールにロールをマップする方法は、ベアラートークン の場合と同じです。唯一の違いは、ID トークン がデフォルトでロールのソースとして使用されることです。

注記

Keycloak を使用する場合は、ID トークンに groups クレームが含まれるように microprofile-jwt クライアントスコープを設定します。詳細は、Keycloak サーバー管理ガイド を参照してください。

ただし、OIDC プロバイダーによっては、ロールがアクセストークンまたはユーザー情報に保存される場合があります。

アクセストークンにロールが含まれており、このアクセストークンがダウンストリームエンドポイントに伝播されることを意図していない場合は、quarkus.oidc.roles.source=accesstoken を設定します。

UserInfo がロールのソースである場合は、quarkus.oidc.roles.source=userinfo を設定し、必要に応じて quarkus.oidc.roles.role-claim-path を設定します。

さらに、カスタム SecurityIdentityAugmentor を使用してロールを追加することもできます。詳細は、SecurityIdentity のカスタマイズ を参照してください。HTTP セキュリティーポリシー を使用して、トークン要求から作成された SecurityIdentity ロールをデプロイメント固有のロールにマップすることもできます。

3.2.3. トークンと認証データの有効性の確保
リンクのコピー

認証プロセスの中核となる部分は、信頼チェーンと情報の有効性を確保することです。これは、トークンを信頼できることを確認することによって行われます。

3.2.3.1. トークンの検証とイントロスペクション
リンクのコピー

OIDC 認可コードフロートークンの検証プロセスは、ベアラートークン認証トークンの検証およびイントロスペクションロジックに従います。詳細は、「Quarkus OpenID Connect (OIDC) ベアラートークン認証」ガイドの トークンの検証とイントロスペクション セクションを参照してください。

注記

Quarkus web-app アプリケーションでは、アクセストークンが現在の Quarkus web-app エンドポイントへのアクセスには使用されず、このアクセストークンを必要とするサービスに伝播されることが意図されているため、デフォルトでは IdToken のみが検証されます。アクセストークンに現在の Quarkus エンドポイント (quarkus.oidc.roles.source=accesstoken) にアクセスするために必要なロールが含まれていることが予想される場合は、それも検証されます。

3.2.3.2. トークンイントロスペクションと UserInfo キャッシュ
リンクのコピー

コードフローアクセストークンは、ロールのソースであると予想されない限り、イントロスペクトされません。ただし、これらは UserInfo を取得するために使用されます。トークンイントロスペクション、UserInfo、またはその両方が必要な場合は、コードフローアクセストークンを使用したリモート呼び出しが 1 回または 2 回発生します。

デフォルトのトークンキャッシュの使用またはカスタムキャッシュ実装の登録の詳細は、トークンのイントロスペクションと UserInfo キャッシュ を参照してください。

3.2.3.3. JSON Web Token のクレームの検証
リンクのコピー

iss (発行者) クレームを含むクレーム検証の詳細は、JSON Web Token のクレームの検証 セクションを参照してください。これは、ID トークンに適用されますが、web-app アプリケーションがアクセストークンの検証を要求した場合は、JWT 形式のアクセストークンにも適用されます。

3.2.3.4. Proof Key for Code Exchange (PKCE) によるセキュリティー強化
リンクのコピー

Proof Key for Code Exchange (PKCE) は、認可コードの傍受のリスクを最小限に抑えます。

PKCE は、ブラウザーで実行する SPA スクリプトなどのパブリック OIDC クライアントにとって最も重要ですが、Quarkus OIDC web-app アプリケーションに追加の保護を提供することもできます。PKCE を使用すると、Quarkus OIDC web-app アプリケーションは機密 OIDC クライアントとして機能し、クライアントシークレットを安全に保存し、それを使用してトークンのコードを交換できます。

次の例に示すように、quarkus.oidc.authentication.pkce-required プロパティーと、状態 Cookie 内の PKCE コード検証を暗号化するために必要な 32 文字のシークレットを使用して、OIDC web-app エンドポイントの PKCE を有効にできます。 

quarkus.oidc.authentication.pkce-required=true
quarkus.oidc.authentication.state-secret=eUk1p7UB3nFiXZGUXi0uph1Y9p34YhBU
Copy to Clipboard Toggle word wrap

すでに 32 文字のクライアントシークレットがある場合は、別のシークレットキーを使用する場合を除き、quarkus.oidc.authentication.pkce-secret プロパティーを設定する必要はありません。このシークレットは、設定されていない場合、およびクライアントシークレットの長さが 16 文字未満でクライアントシークレットへのフォールバックが不可能な場合に自動生成されます。

ユーザーが code_challenge クエリーパラメーターを使用して OIDC プロバイダーにリダイレクトされ認証される間、ランダムに生成された PKCE code_verifier を暗号化するには秘密鍵が必要です。code_verifier は、ユーザーが Quarkus にリダイレクトされたときに復号化され、code、クライアントシークレット、およびその他のパラメーターとともにトークンエンドポイントに送信され、コード交換が完了します。code_verifierSHA256 ダイジェストが認証要求時に提供された code_challenge と一致しない場合、プロバイダーはコード交換に失敗します。

3.2.4. 認証の有効期間の処理と制御
リンクのコピー

認証のもう 1 つの重要な要件は、ユーザーがリクエストごとに認証する必要なく、セッションの基になるデータが最新であることを確認することです。ログアウトイベントが明示的に要求される状況もあります。Quarkus アプリケーションを保護するための適切なバランスを見つけるには、次の重要なポイントを参考にしてください。

3.2.4.1. Cookie
リンクのコピー

OIDC アダプターは、Cookie を使用してセッション、コードフロー、およびログアウト後の状態を維持します。この状態は、認証データの有効期間を制御する重要な要素です。

重複または異なるルートを持つ保護されたリソースにアクセスするときに同じ Cookie が表示されるようにするには、quarkus.oidc.authentication.cookie-path プロパティーを使用します。以下に例を示します。

  • /index.html および /web-app/service
  • /web-app/service1/web-app/service2
  • /web-app1/service および /web-app2/service

デフォルトでは、quarkus.oidc.authentication.cookie-path/ に設定されていますが、必要に応じてこれを /web-app などのより具体的なパスに変更できます。

Cookie パスを動的に設定するには、quarkus.oidc.authentication.cookie-path-header プロパティーを設定します。quarkus.oidc.authentication.cookie-path-header プロパティーを設定します。たとえば、`X-Forwarded-Prefix` HTTP ヘッダーの値を使用して Cookie パスを動的に設定するには、プロパティーを quarkus.oidc.authentication.cookie-path-header=X-Forwarded-Prefix に設定します。

quarkus.oidc.authentication.cookie-path-header が設定されているが、現在のリクエストで設定された HTTP ヘッダーが利用できない場合は、quarkus.oidc.authentication.cookie-path がチェックされます。

アプリケーションが複数のドメインにデプロイされている場合は、セッション Cookie がすべての保護された Quarkus サービスに表示されるように、quarkus.oidc.authentication.cookie-domain プロパティーを設定します。たとえば、次の 2 つのドメインに Quarkus サービスをデプロイしている場合は、quarkus.oidc.authentication.cookie-domain プロパティーを company.net に設定する必要があります。

  • https://whatever.wherever.company.net/
  • https://another.address.company.net/
3.2.4.2. セッション Cookie とデフォルトの TokenStateManager
リンクのコピー

OIDC CodeAuthenticationMechanism は、デフォルトの io.quarkus.oidc.TokenStateManager インターフェイス実装を使用して、認可コードまたはリフレッシュグラントのレスポンスで返された ID、アクセストークン、およびリフレッシュトークンを暗号化されたセッション Cookie に保持します。

これにより、Quarkus OIDC エンドポイントは完全にステートレスになり、最高のスケーラビリティー結果を達成するにはこのストラテジーに従うことが推奨されます。

トークンを保存するための代替方法は、セッション Cookie とカスタム TokenStateManager セクションを参照してください。これは、特に標準のサーバー側ストレージが特定の要件を満たしていない場合に、トークン状態を管理するためのカスタマイズされたソリューションが必要なユーザーに最適です。

デフォルトの TokenStateManager を設定して、アクセストークンをセッション Cookie に保存しないようにし、ID トークンと更新トークンのみ、または単一の ID トークンのみを保持するようにすることができます。

アクセストークンは、エンドポイントが次のアクションを実行する必要がある場合にのみ必要です。

  • UserInfo を取得します。
  • このアクセストークンを使用してダウンストリームサービスにアクセスします
  • アクセストークンに関連付けられたロールを使用します。これはデフォルトでチェックされています。

このような場合は、quarkus.oidc.token-state-manager.strategy プロパティーを使用して、トークン状態ストラテジーを次のように設定します。

Expand
次を行う場合:プロパティーを以下のように設定します。

ID と更新トークンのみ保存する

quarkus.oidc.token-state-manager.strategy=id-refresh-tokens

ID トークンのみ保存する

quarkus.oidc.token-state-manager.strategy=id-token

選択したセッション Cookie ストラテジーによってトークンが結合され、4 KB を超える大きなセッション Cookie 値が生成される場合、一部のブラウザーではそのような Cookie サイズを処理できない可能性があります。これは、ID、アクセストークン、および更新トークンが JWT トークンであり、選択されたストラテジーが keep-all-tokens である場合、またはストラテジーが id-refresh-token であるときに ID トークンと更新トークンで発生する可能性があります。この問題を回避するには、quarkus.oidc.token-state-manager.split-tokens=true を設定して、トークンごとに一意のセッショントークンを作成します。

デフォルトの TokenStateManager は、トークンをセッション Cookie に保存する前に暗号化します。次の例は、トークンを分割して暗号化するように設定する方法を示しています。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=quarkus-app
quarkus.oidc.credentials.secret=secret
quarkus.oidc.application-type=web-app
quarkus.oidc.token-state-manager.split-tokens=true
quarkus.oidc.token-state-manager.encryption-secret=eUk1p7UB3nFiXZGUXi0uph1Y9p34YhBU
Copy to Clipboard Toggle word wrap

トークン暗号化シークレットの長さが 32 文字以上である必要があります。このキーが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.jwt.secret のいずれかがハッシュされ、暗号鍵が作成されます。

Quarkus が次のいずれかの認証方法を使用して OIDC プロバイダーに対して認証する場合は、quarkus.oidc.token-state-manager.encryption-secret プロパティーを設定します。

  • mTLS
  • 秘密の RSA または EC キーを使用して JWT トークンに署名する場合は private_key_jwt

そうでない場合はランダムなキーが生成されますが、Quarkus アプリケーションがクラウドで実行し、複数の Pod がリクエストを管理している場合は、問題が発生する可能性があります。

quarkus.oidc.token-state-manager.encryption-required=false を設定することで、セッション Cookie でのトークン暗号化を無効化できます。

3.2.4.3. セッション Cookie とカスタムの TokenStateManager
リンクのコピー

トークンをセッション Cookie に関連付ける方法をカスタマイズする場合は、カスタムの io.quarkus.oidc.TokenStateManager 実装を @ApplicationScoped CDI Bean として登録します。

たとえば、トークンをキャッシュクラスターに保持し、キーのみをセッション Cookie に保存したい場合があります。トークンを複数のマイクロサービスノードで利用できるようにする必要がある場合、このアプローチではいくつかの課題が生じる可能性があることに注意してください。

以下は簡単な例です。 

package io.quarkus.oidc.test;

import jakarta.annotation.Priority;
import jakarta.enterprise.context.ApplicationScoped;
import jakarta.enterprise.inject.Alternative;
import jakarta.inject.Inject;

import io.quarkus.oidc.AuthorizationCodeTokens;
import io.quarkus.oidc.OidcTenantConfig;
import io.quarkus.oidc.TokenStateManager;
import io.quarkus.oidc.runtime.DefaultTokenStateManager;
import io.smallrye.mutiny.Uni;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
@Alternative
@Priority(1)
public class CustomTokenStateManager implements TokenStateManager {

    @Inject
    DefaultTokenStateManager tokenStateManager;

    @Override
    public Uni<String> createTokenState(RoutingContext routingContext, OidcTenantConfig oidcConfig,
            AuthorizationCodeTokens sessionContent, TokenStateManager.CreateTokenStateRequestContext requestContext) {
        return tokenStateManager.createTokenState(routingContext, oidcConfig, sessionContent, requestContext)
                .map(t -> (t + "|custom"));
    }

    @Override
    public Uni<AuthorizationCodeTokens> getTokens(RoutingContext routingContext, OidcTenantConfig oidcConfig,
            String tokenState, TokenStateManager.GetTokensRequestContext requestContext) {
        if (!tokenState.endsWith("|custom")) {
            throw new IllegalStateException();
        }
        String defaultState = tokenState.substring(0, tokenState.length() - 7);
        return tokenStateManager.getTokens(routingContext, oidcConfig, defaultState, requestContext);
    }

    @Override
    public Uni<Void> deleteTokens(RoutingContext routingContext, OidcTenantConfig oidcConfig, String tokenState,
            TokenStateManager.DeleteTokensRequestContext requestContext) {
        if (!tokenState.endsWith("|custom")) {
            throw new IllegalStateException();
        }
        String defaultState = tokenState.substring(0, tokenState.length() - 7);
        return tokenStateManager.deleteTokens(routingContext, oidcConfig, defaultState, requestContext);
    }
}
Copy to Clipboard Toggle word wrap

暗号化されたセッション Cookie にトークンを保存するデフォルトの TokenStateManager の詳細は、セッション Cookie とデフォルトの TokenStateManager を参照してください。

3.2.4.4. ログアウトと有効期限
リンクのコピー

認証情報が期限切れになる主な方法は 2 つあります。トークンの有効期限が切れて更新されなかったか、明示的なログアウト操作がトリガーされたかです。

明示的なログアウト操作から始めましょう。

3.2.4.4.1. ユーザーが開始したログアウト
リンクのコピー

ユーザーは、quarkus.oidc.logout.path プロパティーで設定された Quarkus エンドポイントログアウトパスにリクエストを送信することで、ログアウトをリクエストできます。たとえば、エンドポイントアドレスが https://application.com/webapp で、quarkus.oidc.logout.path/logout に設定されている場合、ログアウト要求は https://application.com/webapp/logout に送信する必要があります。

このログアウトリクエストは、RP-initiated logout を開始します。ユーザーはログアウトするために OIDC プロバイダーにリダイレクトされ、そこでログアウトが本当に意図されたものであるかどうかの確認を求められる場合があります。

ログアウトが完了し、quarkus.oidc.logout.post-logout-path プロパティーが設定されている場合、ユーザーはエンドポイントのログアウト後ページに戻されます。たとえば、エンドポイントアドレスが https://application.com/webapp で、quarkus.oidc.logout.post-logout-path/signin に設定されている場合、ユーザーは https://application.com/webapp/signin に戻されます。この URI は、OIDC プロバイダーに有効な post_logout_redirect_uri として登録されている必要があることに注意してください。

quarkus.oidc.logout.post-logout-path が設定されている場合、q_post_logout Cookie が作成され、一致する state クエリーパラメーターがログアウトリダイレクト URI に追加され、ログアウトが完了すると OIDC プロバイダーはこの state を返します。Quarkus web-app アプリケーションでは、state クエリーパラメーターが q_post_logout Cookie の値と一致するかどうかを確認することを推奨します。これは、たとえば Jakarta REST フィルターで実行できます。

OpenID Connect マルチテナンシー を使用する場合、Cookie 名が異なることに注意してください。たとえば、tenant_1 ID を持つテナントの場合は q_post_logout_tenant_1 という名前になります。

ログアウトフローを開始するように Quarkus アプリケーションを設定する方法の例を次に示します。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=frontend
quarkus.oidc.credentials.secret=secret
quarkus.oidc.application-type=web-app

quarkus.oidc.logout.path=/logout
# Logged-out users should be returned to the /welcome.html site which will offer an option to re-login:
quarkus.oidc.logout.post-logout-path=/welcome.html

# Only the authenticated users can initiate a logout:
quarkus.http.auth.permission.authenticated.paths=/logout
quarkus.http.auth.permission.authenticated.policy=authenticated

# All users can see the Welcome page:
quarkus.http.auth.permission.public.paths=/welcome.html
quarkus.http.auth.permission.public.policy=permit
Copy to Clipboard Toggle word wrap

また、quarkus.oidc.authentication.cookie-path をすべてのアプリケーションリソースに共通のパス値 (この例では /) に設定することもできます。詳細は、Cookie セクションを参照してください。

注記

一部の OIDC プロバイダーは、RP 開始ログアウト 仕様をサポートしておらず、OpenID Connect の既知の end_session_endpoint メタデータプロパティーを返しません。ただし、このような OIDC プロバイダーの特定のログアウトメカニズムは、ログアウト URL クエリーパラメーターの命名方法のみが異なるため、Quarkus にとってはこれは問題ではありません。

RP 開始ログアウト 仕様によれば、quarkus.oidc.logout.post-logout-path プロパティーは post_logout_redirect_uri クエリーパラメーターとして表されますが、この仕様をサポートしていないプロバイダーでは認識されません。

この問題を回避するには、quarkus.oidc.logout.post-logout-url-param を使用できます。quarkus.oidc.logout.extra-params を使用して、追加のログアウトクエリーパラメーターをリクエストすることもできます。たとえば、Auth0 でログアウトをサポートする方法は次のとおりです。 

quarkus.oidc.auth-server-url=https://dev-xxx.us.auth0.com
quarkus.oidc.client-id=redacted
quarkus.oidc.credentials.secret=redacted
quarkus.oidc.application-type=web-app

quarkus.oidc.tenant-logout.logout.path=/logout
quarkus.oidc.tenant-logout.logout.post-logout-path=/welcome.html

# Auth0 does not return the `end_session_endpoint` metadata property. Instead, you must configure it:
quarkus.oidc.end-session-path=v2/logout
# Auth0 will not recognize the 'post_logout_redirect_uri' query parameter so ensure it is named as 'returnTo':
quarkus.oidc.logout.post-logout-uri-param=returnTo

# Set more properties if needed.
# For example, if 'client_id' is provided, then a valid logout URI should be set as the Auth0 Application property, without it - as Auth0 Tenant property:
quarkus.oidc.logout.extra-params.client_id=${quarkus.oidc.client-id}
Copy to Clipboard Toggle word wrap
3.2.4.4.2. バックチャネルログアウト
リンクのコピー

OIDC プロバイダーは、認証データを使用してすべてのアプリケーションのログアウトを強制できます。これはバックチャネルログアウトと呼ばれます。この場合、OIDC は各アプリケーションから特定の URL を呼び出してログアウトをトリガーします。

OIDC プロバイダーは、バックチャネルログアウト を使用して、ユーザーエージェントをバイパスし、現在ログインしているすべてのアプリケーションから現在のユーザーをログアウトします。

次のようにして、バックチャネルログアウトをサポートするように Quarkus を設定できます。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=frontend
quarkus.oidc.credentials.secret=secret
quarkus.oidc.application-type=web-app

quarkus.oidc.logout.backchannel.path=/back-channel-logout
Copy to Clipboard Toggle word wrap

絶対 back-channel logout URL は、現在のエンドポイント URL に quarkus.oidc.back-channel-logout.path を追加することによって計算されます (例: http://localhost:8080/back-channel-logout)。この URL は、OIDC プロバイダーの管理コンソールで設定する必要があります。

OIDC プロバイダーが現在のログアウトトークンに有効期限要求を設定していない場合は、ログアウトトークンの検証が成功するようにトークンの有効期間プロパティーを設定する必要もあります。たとえば、ログアウトトークンの iat (発行時刻) から 10 秒以上経過しないようにするには、quarkus.oidc.token.age=10S を設定します。

3.2.4.4.3. フロントチャンネルログアウト
リンクのコピー

フロントチャネルログアウト を使用すると、ブラウザーなどのユーザーエージェントから現在のユーザーを直接ログアウトできます。これは バックチャネルログアウト に似ていますが、ログアウト手順は OIDC プロバイダーによってバックグラウンドで実行されるのではなく、ブラウザーなどのユーザーエージェントによって実行されます。このオプションはほとんど使用されません。

以下のように、フロントチャネルログアウトをサポートするように Quarkus を設定できます。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=frontend
quarkus.oidc.credentials.secret=secret
quarkus.oidc.application-type=web-app

quarkus.oidc.logout.frontchannel.path=/front-channel-logout
Copy to Clipboard Toggle word wrap

このパスは現在のリクエストのパスと比較され、これらのパスが一致するとユーザーはログアウトされます。

3.2.4.4.4. ローカルログアウト
リンクのコピー

ユーザーが開始したログアウト により、ユーザーは OIDC プロバイダーからログアウトされます。シングルサインオンとして使用する場合は、必要なものではない可能性があります。たとえば、OIDC プロバイダーが Google の場合は、Google とそのサービスからログアウトされます。代わりに、ユーザーはその特定のアプリケーションからログアウトしたいだけかもしれません。もう 1 つのユースケースとしては、OIDC プロバイダーにログアウトエンドポイントがない場合が考えられます。

OidcSession を使用すると、次の例に示すように、ローカルログアウトをサポート (つまり、ローカルセッション Cookie のみをクリア) できます。 

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;

import io.quarkus.oidc.OidcSession;

@Path("/service")
public class ServiceResource {

    @Inject
    OidcSession oidcSession;

    @GET
    @Path("logout")
    public String logout() {
        oidcSession.logout().await().indefinitely();
        return "You are logged out".
    }
Copy to Clipboard Toggle word wrap
3.2.4.4.4.1. ローカルログアウトに OidcSession を使用する
リンクのコピー

io.quarkus.oidc.OidcSession は現在の IdToken のラッパーであり、Local logout の実行、現在のセッションのテナント ID の取得、セッションの有効期限の確認に役立ちます。今後、さらに便利なメソッドが追加される予定です。

3.2.4.5. セッション管理
リンクのコピー

デフォルトでは、ログアウトは OIDC プロバイダーによって発行された ID トークンの有効期限に基づいて行われます。ID トークンの有効期限が切れると、Quarkus エンドポイントの現在のユーザーセッションは無効になり、ユーザーは認証のために再度 OIDC プロバイダーにリダイレクトされます。OIDC プロバイダーのセッションがまだアクティブな場合、ユーザーは認証情報を再度入力する必要なく自動的に再認証されます。

quarkus.oidc.token.refresh-expired プロパティーを有効にすると、現在のユーザーセッションを自動的に延長できます。true に設定すると、現在の ID トークンの有効期限が切れたときに、リフレッシュトークングラントを使用して、ID トークンだけでなくアクセストークンと更新トークンもリフレッシュされます。

ヒント

keycloak.js などの OIDC プロバイダースクリプトが認可コードフローを管理する サービスアプリケーション用の単一ページアプリケーション がある場合、そのスクリプトは SPA 認証セッションの有効期間も制御します。

Quarkus OIDC web-app アプリケーションを使用する場合は、Quarkus OIDC コード認証メカニズムによってユーザーセッションの有効期間が管理されます。

更新トークンを使用するには、セッション Cookie の有効期間を慎重に設定する必要があります。セッションの有効期間は、ID トークンの有効期間よりも長く、更新トークンの有効期間と近いか等しい必要があります。

セッションの有効期間は、現在の ID トークンの有効期間の値と、quarkus.oidc.authentication.session-age-extension プロパティーおよび quarkus.oidc.token.lifespan-grace プロパティーの値を加算して計算します。

ヒント

必要に応じて、quarkus.oidc.authentication.session-age-extension プロパティーのみを使用して、セッションの有効期間を大幅に延長します。quarkus.oidc.token.lifespan-grace プロパティーは、小さなクロックのずれを考慮する場合にのみ使用します。

現在認証されているユーザーが保護された Quarkus エンドポイントに戻り、セッション Cookie に関連付けられた ID トークンの有効期限が切れている場合、デフォルトでは、ユーザーは再認証のために OIDC 認可エンドポイントに自動的にリダイレクトされます。ユーザーとこの OIDC プロバイダー間のセッションがまだアクティブな場合、OIDC プロバイダーはユーザーに再度チャレンジする可能性があります。これは、セッションが ID トークンよりも長く続くように設定されている場合に発生する可能性があります。

quarkus.oidc.token.refresh-expiredtrue に設定されている場合、期限切れの ID トークン (およびアクセストークン) は、最初の認可コードグラントのレスポンスで返されたリフレッシュトークンを使用して更新されます。この更新トークンも、このプロセスの一部としてリサイクル (更新) される可能性があります。その結果、新しいセッション Cookie が作成され、セッションが延長されます。

注記

ユーザーがあまりアクティブでない場合は、quarkus.oidc.authentication.session-age-extension プロパティーを使用して、期限切れの ID トークンを処理できます。ID トークンの有効期限が切れると、Cookie の有効期間が経過するため、次のユーザーリクエスト時にセッション Cookie が Quarkus エンドポイントに返されない可能性があります。Quarkus は、このリクエストが最初の認証リクエストであると想定します。quarkus.oidc.authentication.session-age-extension を、ほとんどアクティブでないユーザー向けに、またセキュリティーポリシーに従って、適切な 長さに設定します。

さらに一歩進んで、期限切れが近づいている ID トークンまたはアクセストークンを事前に更新することもできます。quarkus.oidc.token.refresh-token-time-skew を、更新を予測する値に設定します。現在のユーザーリクエスト中に、現在の ID トークンがこの quarkus.oidc.token.refresh-token-time-skew 内に期限切れになると計算されると、トークンは更新され、新しいセッション Cookie が作成されます。このプロパティーは、ID トークンの有効期間よりも短い値に設定する必要があります。この有効期間の値に近いほど、ID トークンの更新頻度が高くなります。

単純な JavaScript 関数を使用して Quarkus エンドポイントに定期的に ping を送信し、ユーザーアクティビティーをエミュレートすることで、このプロセスをさらに最適化できます。これにより、ユーザーが再認証される必要がある時間枠が最小限に抑えられます。

注記

ユーザーセッションを無期限に延長することはできません。有効期限が切れた ID トークンを持つ再ログインユーザーは、更新トークンの有効期限が切れると、OIDC プロバイダーエンドポイントで再認証する必要があります。

3.2.5. GitHub および非 OIDC OAuth2 プロバイダーとの統合
リンクのコピー

GitHub または LinkedIn などの一部の周知のプロバイダーは、OpenID Connect プロバイダーではなく、authorization code flow をサポートする OAuth2 プロバイダーです。たとえば、GitHub OAuth2LinkedIn OAuth2 などです。OIDC は OAuth2 上に構築されていることに注意してください。

OIDC プロバイダーと OAuth2 プロバイダーの主な違いは、OIDC プロバイダーが、OAuth2 プロバイダーによって返される標準の認可コードフローの access トークンと refresh トークンに加えて、ユーザー認証を表す ID Token を返すことです。

GitHub などの OAuth2 プロバイダーは IdToken を返さず、ユーザー認証は暗黙的であり、access トークンによって間接的に表されます。この access トークンは、認証されたユーザーに代わって現在の Quarkus web-app アプリケーションが一部のデータにアクセスすることを、認証されたユーザーが認可していることを表します。

OIDC の場合は、認証の有効性の証明として ID トークンを検証しますが、OAuth2 の場合はアクセストークンを検証します。これは、アクセストークンを要求し、通常はユーザー情報を返すエンドポイントを後で呼び出すことによって実行されます。このアプローチは OIDC UserInfo アプローチに似ており、UserInfo はユーザーではなく Quarkus OIDC によって取得されます。

たとえば、GitHub を使用する場合、Quarkus エンドポイントは access トークンを取得できます。これにより、Quarkus エンドポイントは現在のユーザーの GitHub プロファイルをリクエストできます。

このような OAuth2 サーバーとの統合をサポートするには、quarkus-oidc を少し異なる方法で設定して、IdToken なしで認可コードフローの応答を許可する必要があります (quarkus.oidc.authentication.id-token-required=false)。

注記

IdToken なしで認可コードフローをサポートするようにエクステンションを設定しても、quarkus-oidc の動作方法を標準化するために内部 IdToken が生成されます。IdToken を使用すると、認証セッションをサポートし、リクエストごとにユーザーが GitHub などのプロバイダーにリダイレクトされるのを回避できます。この場合、セッションの有効期間は 5 分に設定されていますが、セッション管理 セクションで説明されているように、さらに延長することができます。

これにより、複数の OIDC プロバイダーをサポートするアプリケーションの処理が簡素化されます。

次のステップは、返されたアクセストークンが有用であり、現在の Quarkus エンドポイントに対して有効であることを確認することです。最初の方法は、プロバイダーがそのようなエンドポイントを提供している場合、quarkus.oidc.introspection-path を設定して OAuth2 プロバイダーのイントロスペクションエンドポイントを呼び出すことです。この場合、quarkus.oidc.roles.source=accesstoken を使用して、アクセストークンをロールのソースとして使用できます。イントロスペクションエンドポイントが存在しない場合、UserInfo は少なくともアクセストークンを検証することから、代わりにプロバイダーから UserInfo のリクエストを試行できます。これを行うには、quarkus.oidc.token.verify-access-token-with-user-info=true を指定します。また、quarkus.oidc.user-info-path プロパティーを、ユーザー情報を取得する URL エンドポイント (またはアクセストークンによって保護されたエンドポイント) に設定する必要があります。GitHub の場合、イントロスペクションエンドポイントがないため、UserInfo をリクエストする必要があります。

注記

UserInfo が必要な場合、リクエストごとにリモート呼び出しが実行されます。したがって、UserInfo データをキャッシュすることを推奨します。詳細は、「OpenID Connect (OIDC) ベアラートークン認証」ガイドの トークンイントロスペクションと UserInfo キャッシュ セクションを参照してください。

あるいは、quarkus.oidc.cache-user-info-in-idtoken=true プロパティーを使用して、UserInfo が内部で生成された IdToken に埋め込まれるようにリクエストすることを推奨します。このアプローチの利点は、デフォルトでは、キャッシュされた UserInfo 状態がエンドポイントに保持されず、代わりにセッション Cookie に保存されることです。UserInfo に機密データが含まれている場合は、IdToken の暗号化も検討してください。詳細は、TokenStateManager を使用してトークンを暗号化する を参照してください。

OAuth2 サーバーは、周知の設定エンドポイントをサポートしていない可能性があります。この場合、検出を無効にして、認可、トークン、イントロスペクション、および UserInfo エンドポイントパスを手動で設定する必要があります。

Apple、Facebook、GitHub、Google、Microsoft、Spotify、Twitter などのよく知られた OIDC または OAuth2 プロバイダーの場合、Quarkus は quarkus.oidc.provider プロパティーを使用してアプリケーションの設定を大幅に簡素化できます。GitHub OAuth アプリケーションを作成した 後、quarkus-oidc を GitHub と統合する方法は次のとおりです。Quarkus エンドポイントを次のように設定します。 

quarkus.oidc.provider=github
quarkus.oidc.client-id=github_app_clientid
quarkus.oidc.credentials.secret=github_app_clientsecret

# user:email scope is requested by default, use 'quarkus.oidc.authentication.scopes' to request different scopes such as `read:user`.
# See https://docs.github.com/en/developers/apps/building-oauth-apps/scopes-for-oauth-apps for more information.

# Consider enabling UserInfo Cache
# quarkus.oidc.token-cache.max-size=1000
# quarkus.oidc.token-cache.time-to-live=5M
#
# Or having UserInfo cached inside IdToken itself
# quarkus.oidc.cache-user-info-in-idtoken=true
Copy to Clipboard Toggle word wrap

他のよく知られているプロバイダーの設定の詳細は、OpenID Connect プロバイダー を参照してください。

これは、GET http://localhost:8080/github/userinfo を使用して現在認証されているユーザーのプロファイルを返し、個々の UserInfo プロパティーとしてアクセスするためのエンドポイントに必要なすべてです。 

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;

import io.quarkus.oidc.UserInfo;
import io.quarkus.security.Authenticated;

@Path("/github")
@Authenticated
public class TokenResource {

    @Inject
    UserInfo userInfo;

    @GET
    @Path("/userinfo")
    @Produces("application/json")
    public String getUserInfo() {
        return userInfo.getUserInfoString();
    }
}
Copy to Clipboard Toggle word wrap

OpenID Connect Multi-Tenancy を使用して複数のソーシャルプロバイダー (たとえば、IdToken を返す OIDC プロバイダーである Google と、IdToken を返さず UserInfo へのアクセスのみを許可する OAuth2 プロバイダーである GitHub) をサポートする場合は、Google フローと GitHub フローの両方で、注入された SecurityIdentity のみを使用してエンドポイントを動作させることができます。GitHub フローがアクティブで、内部で生成された IdToken で作成されたプリンシパルが UserInfo ベースのプリンシパルに置き換えられる場合は、SecurityIdentity の簡単なオーグメンテーションが必要になります。 

package io.quarkus.it.keycloak;

import java.security.Principal;

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.oidc.UserInfo;
import io.quarkus.security.identity.AuthenticationRequestContext;
import io.quarkus.security.identity.SecurityIdentity;
import io.quarkus.security.identity.SecurityIdentityAugmentor;
import io.quarkus.security.runtime.QuarkusSecurityIdentity;
import io.smallrye.mutiny.Uni;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomSecurityIdentityAugmentor implements SecurityIdentityAugmentor {

    @Override
    public Uni<SecurityIdentity> augment(SecurityIdentity identity, AuthenticationRequestContext context) {
        RoutingContext routingContext = identity.getAttribute(RoutingContext.class.getName());
        if (routingContext != null && routingContext.normalizedPath().endsWith("/github")) {
	        QuarkusSecurityIdentity.Builder builder = QuarkusSecurityIdentity.builder(identity);
	        UserInfo userInfo = identity.getAttribute("userinfo");
	        builder.setPrincipal(new Principal() {

	            @Override
	            public String getName() {
	                return userInfo.getString("preferred_username");
	            }

	        });
	        identity = builder.build();
        }
        return Uni.createFrom().item(identity);
    }

}
Copy to Clipboard Toggle word wrap

これで、ユーザーが Google または GitHub を使用してアプリケーションにサインインするときに、次のコードが機能するようになります。 

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;

import io.quarkus.security.Authenticated;
import io.quarkus.security.identity.SecurityIdentity;

@Path("/service")
@Authenticated
public class TokenResource {

    @Inject
    SecurityIdentity identity;

    @GET
    @Path("/google")
    @Produces("application/json")
    public String getUserName() {
        return identity.getPrincipal().getName();
    }

    @GET
    @Path("/github")
    @Produces("application/json")
    public String getUserName() {
        return identity.getPrincipal().getUserName();
    }
}
Copy to Clipboard Toggle word wrap

おそらく、より簡単な代替案としては、@IdToken JsonWebTokenUserInfo の両方を注入し、IdToken を返すプロバイダーを処理するときに JsonWebToken を使用し、IdToken を返さないプロバイダーでは UserInfo を使用することです。

GitHub OAuth アプリケーション設定に入力するコールバックパスが、GitHub 認証とアプリケーション認可が成功した後にユーザーをリダイレクトするエンドポイントパスと一致していることを確認する必要があります。この場合、http:localhost:8080/github/userinfo に設定する必要があります。

3.2.6. 重要な認証イベントをリッスンする
リンクのコピー

重要な OIDC 認証イベントを監視する @ApplicationScoped Bean を登録できます。ユーザーが初めてログインしたり、再認証したり、セッションを更新したりすると、リスナーが更新されます。今後、さらに多くのイベントが報告される可能性があります。以下に例を示します。 

import jakarta.enterprise.context.ApplicationScoped;
import jakarta.enterprise.event.Observes;

import io.quarkus.oidc.IdTokenCredential;
import io.quarkus.oidc.SecurityEvent;
import io.quarkus.security.identity.AuthenticationRequestContext;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class SecurityEventListener {

    public void event(@Observes SecurityEvent event) {
        String tenantId = event.getSecurityIdentity().getAttribute("tenant-id");
        RoutingContext vertxContext = event.getSecurityIdentity().getAttribute(RoutingContext.class.getName());
        vertxContext.put("listener-message", String.format("event:%s,tenantId:%s", event.getEventType().name(), tenantId));
    }
}
Copy to Clipboard Toggle word wrap
ヒント

セキュリティーのヒントと裏技ガイドの セキュリティーイベントの監視 セクションで説明されているように、他のセキュリティーイベントをリッスンすることができます。

3.2.7. ダウンストリームサービスへのトークンの伝播
リンクのコピー

ダウンストリームサービスへの認可コードフローアクセストークンの伝播に関する詳細は、トークンの伝播 セクションを参照してください。

3.3. 統合に関する考慮事項
リンクのコピー

OIDC によって保護されたアプリケーションは、シングルページアプリケーションから呼び出すことができる環境に統合されます。よく知られている OIDC プロバイダーと連携し、HTTP リバースプロキシーの背後で実行され、外部および内部アクセスを必要とするなど、さまざまな要件を満たす必要があります。

このセクションでは、これらの考慮事項を説明します。

3.3.1. シングルページアプリケーション
リンクのコピー

シングルページアプリケーション (SPA) を実装する場合は、「OpenID Connect (OIDC) ベアラートークン認証」ガイドの シングルページアプリケーション セクションで提案されている方法を参照してください。

Quarkus Web アプリケーションで Fetch または XMLHttpRequest (XHR) などの SPA および JavaScript API を使用する場合は、Quarkus からのリダイレクト後にユーザーが認証される認証エンドポイントに対して、OIDC プロバイダーが Cross-Origin Resource Sharing (CORS) をサポートしていない可能性があることに注意してください。Quarkus アプリケーションと OIDC プロバイダーが異なる HTTP ドメイン、ポート、またはその両方でホストされている場合は、認証に失敗します。

このような場合は、quarkus.oidc.authentication.java-script-auto-redirect プロパティーを false に設定します。これにより、Quarkus は 499 ステータスコードと OIDC 値を含む WWW-Authenticate ヘッダーを返すように指示されます。

quarkus.oidc.authentication.java-script-auto-redirect プロパティーが false に設定されている場合に 499 ステータスコードが返されるようにするには、ブラウザースクリプトで現在のリクエストを JavaScript リクエストとして識別するヘッダーを設定する必要があります。

スクリプトエンジンがエンジン固有のリクエストヘッダー自体を設定する場合は、カスタム quarkus.oidc.JavaScriptRequestChecker Bean を登録できます。これにより、現在のリクエストが JavaScript リクエストであるかどうかが Quarkus に通知されます。たとえば、JavaScript エンジンが HX-Request: true などのヘッダーを設定する場合は、次のようにチェックできます。 

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.oidc.JavaScriptRequestChecker;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomJavaScriptRequestChecker implements JavaScriptRequestChecker {

    @Override
    public boolean isJavaScriptRequest(RoutingContext context) {
        return "true".equals(context.request().getHeader("HX-Request"));
    }
}
Copy to Clipboard Toggle word wrap

ステータスコード 499 の場合は、最後にリクエストされたページを再読み込みします。

それ以外の場合は、ブラウザースクリプトを更新して、X-Requested-With ヘッダーに JavaScript 値を設定し、ステータスコード 499 の場合は最後にリクエストされたページを再読み込みする必要もあります。

以下に例を示します。 

Future<void> callQuarkusService() async {
    Map<String, String> headers = Map.fromEntries([MapEntry("X-Requested-With", "JavaScript")]);

    await http
        .get("https://localhost:443/serviceCall")
        .then((response) {
            if (response.statusCode == 499) {
                window.location.assign("https://localhost.com:443/serviceCall");
            }
         });
  }
Copy to Clipboard Toggle word wrap

3.3.2. Cross-Origin Resource Sharing
リンクのコピー

別のドメインで実行されているシングルページアプリケーションからこのアプリケーションを使用する予定の場合は、Cross-Origin Resource Sharing (CORS) を設定する必要があります。詳細は、"Cross-origin resource sharing" の CORS filter セクションを参照してください。

3.3.3. リバースプロキシーの背後で Quarkus アプリケーションを実行する
リンクのコピー

Quarkus アプリケーションがリバースプロキシー、ゲートウェイ、またはファイアウォールの背後で実行している場合は、HTTP Host ヘッダーが内部 IP アドレスにリセットされ、HTTPS 接続が終了するなどして、OIDC 認証メカニズムが影響を受ける可能性があります。たとえば、認可コードフローの redirect_uri パラメーターが、予期される外部ホストではなく内部ホストに設定されている場合があります。

このような場合は、プロキシーによって転送された元のヘッダーを認識するように Quarkus を設定する必要があります。詳細は、Vert.x ドキュメントの Running behind a reverse proxy セクションを参照してください。

たとえば、Quarkus エンドポイントが Kubernetes Ingress の背後にあるクラスターで実行している場合は、計算された redirect_uri パラメーターが内部エンドポイントアドレスを指している可能性があるため、OIDC プロバイダーからこのエンドポイントへのリダイレクトが機能しない可能性があります。この問題は、Kubernetes Ingress によって外部エンドポイントアドレスを表すように設定された X-ORIGINAL-HOST を使用する次の設定を使用して解決できます。 

quarkus.http.proxy.proxy-address-forwarding=true
quarkus.http.proxy.allow-forwarded=false
quarkus.http.proxy.enable-forwarded-host=true
quarkus.http.proxy.forwarded-host-header=X-ORIGINAL-HOST
Copy to Clipboard Toggle word wrap

quarkus.oidc.authentication.force-redirect-https-scheme プロパティーは、Quarkus アプリケーションが SSL 終了リバースプロキシーの背後で実行している場合にも使用できます。

3.3.4. OIDC プロバイダーへの外部および内部アクセス
リンクのコピー

OIDC プロバイダーの外部からアクセス可能な認可、ログアウト、およびその他のエンドポイントは、quarkus.oidc.auth-server-url 内部 URL を基準として自動検出された URL または設定された URL とは異なる HTTP(S) URL を持つことができます。このような場合、エンドポイントは発行者の検証の失敗を報告し、外部からアクセス可能な OIDC プロバイダーエンドポイントへのリダイレクトが失敗する可能性があります。

Keycloak を使用する場合は、KEYCLOAK_FRONTEND_URL システムプロパティーを外部からアクセス可能なベース URL に設定して起動します。他の OIDC プロバイダーと連携する場合は、プロバイダーのドキュメントを確認してください。

3.4. OIDC SAML アイデンティティーブローカー
リンクのコピー

アイデンティティープロバイダーが OpenID Connect を実装しておらず、従来の XML ベースの SAML2.0 SSO プロトコルのみを実装している場合は、quarkus-oidc が OIDC アダプターとして使用されるのと同様に、Quarkus を SAML 2.0 アダプターとして使用することはできません。

ただし、Keycloak、Okta、Auth0、Microsoft ADFS などの多くの OIDC プロバイダーは、OIDC から SAML 2.0 へのブリッジを提供しています。OIDC プロバイダーで SAML 2.0 プロバイダーへのアイデンティティーブローカー接続を作成し、quarkus-oidc を使用してこの SAML 2.0 プロバイダーに対してユーザーを認証し、OIDC プロバイダーが OIDC と SAML 2.0 の通信を調整することができます。Quarkus エンドポイントに関しては、同じ Quarkus Security、OIDC API、@AuthenticatedSecurityIdentity などのアノテーションなどを引き続き使用できます。

たとえば、Okta が SAML 2.0 プロバイダーであり、Keycloak が OIDC プロバイダーであるとします。ここでは、KeycloakOkta SAML 2.0 プロバイダーと仲介するように設定する方法を説明する一般的なシーケンスを示します。

まず、Okta Dashboard/Applications に新しい SAML2 インテグレーションを作成します。

Okta Create SAML インテグレーション
View larger image
Okta Create SAML インテグレーション

たとえば、OktaSaml という名前を付けます。

Okta SAML 一般設定
View larger image
Okta SAML 一般設定

次に、Keycloak SAML ブローカーエンドポイントを指すように設定します。この時点で、Keycloak レルムの名前 (例: quarkus) を知っておく必要があります。Keycloak SAML ブローカーのエイリアスが saml であると仮定すると、エンドポイントアドレスを http:localhost:8081/realms/quarkus/broker/saml/endpoint として入力します。サービスプロバイダー (SP) エンティティー ID を http:localhost:8081/realms/quarkus として入力します。ここで、http://localhost:8081 は Keycloak ベースアドレス、saml はブローカーエイリアスです。

Okta SAML 設定
View larger image
Okta SAML 設定

次に、この SAML インテグレーションを保存し、そのメタデータ URL をメモします。

Okta SAML メタデータ
View larger image
Okta SAML メタデータ

次に、Keycloak に SAML プロバイダーを追加します。

まず、通常どおりに、新しいレルムを作成するか、既存のレルムを Keycloak にインポートします。この場合、レルム名は quarkus にする必要があります。

次に、quarkus レルムのプロパティーで、Identity Providers に移動し、新しい SAML プロバイダーを追加します。

Keycloak SAML プロバイダーの追加
View larger image
Keycloak SAML プロバイダーの追加

エイリアスは saml に設定され、Redirect URIhttp:localhost:8081/realms/quarkus/broker/saml/endpointService provider entity IDhttp:localhost:8081/realms/quarkus であることに注意してください。これらは、前の手順で Okta SAML 統合を作成するときに入力した値と同じです。

最後に、前の手順の最後に書き留めた Okta SAML 統合メタデータ URL を指すように Service entity descriptor を設定します。

次に、必要に応じて、Authentication/browser/Identity Provider Redirector config に移動し、AliasDefault Identity Provider の両方のプロパティーを saml に設定して、この Keycloak SAML プロバイダーをデフォルトプロバイダーとして登録できます。デフォルトのプロバイダーとして設定しない場合は、認証時に Keycloak は次の 2 つのオプションを提供します。

  • SAML プロバイダーで認証する
  • 名前とパスワードで Keycloak に直接認証する

ここで、Quarkus OIDC web-app アプリケーションを、Keycloak quarkus レルム quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus を指すように設定します。次に、Keycloak OIDC および Okta SAML 2.0 プロバイダーによって提供される OIDC から SAML へのブリッジを使用して、Quarkus ユーザーを Okta SAML 2.0 プロバイダーに認証する準備が整います。

Keycloak の場合と同様に、他の OIDC プロバイダーを設定して SAML ブリッジを提供することもできます。

3.5. テスト
リンクのコピー

別の OIDC のようなサーバーへの認証に関しては、テストが困難になることがよくあります。Quarkus は、モックから OIDC プロバイダーのローカル実行まで、さまざまなオプションを提供します。

まず、テストプロジェクトに次の依存関係を追加します。

  • Maven を使用: 

    <dependency>
    <groupId>net.sourceforge.htmlunit</groupId>
    <artifactId>htmlunit</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.eclipse.jetty</groupId>
            <artifactId>*</artifactId>
       </exclusion>
    </exclusions>
    <scope>test</scope>
</dependency>
<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-junit5</artifactId>
    <scope>test</scope>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    testImplementation("net.sourceforge.htmlunit:htmlunit")
testImplementation("io.quarkus:quarkus-junit5")
    Copy to Clipboard Toggle word wrap

3.5.1. Wiremock
リンクのコピー

次の依存関係を追加します。

  • Maven を使用: 

    <dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-test-oidc-server</artifactId>
    <scope>test</scope>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    testImplementation("io.quarkus:quarkus-test-oidc-server")
    Copy to Clipboard Toggle word wrap

REST テストエンドポイントを準備し、application.properties を設定します。以下に例を示します。 

# keycloak.url is set by OidcWiremockTestResource
quarkus.oidc.auth-server-url=${keycloak.url}/realms/quarkus/
quarkus.oidc.client-id=quarkus-web-app
quarkus.oidc.credentials.secret=secret
quarkus.oidc.application-type=web-app
Copy to Clipboard Toggle word wrap

最後に、次のようなテストコードを記述します。 

import static org.junit.jupiter.api.Assertions.assertEquals;

import org.junit.jupiter.api.Test;

import com.gargoylesoftware.htmlunit.SilentCssErrorHandler;
import com.gargoylesoftware.htmlunit.WebClient;
import com.gargoylesoftware.htmlunit.html.HtmlForm;
import com.gargoylesoftware.htmlunit.html.HtmlPage;

import io.quarkus.test.common.QuarkusTestResource;
import io.quarkus.test.junit.QuarkusTest;
import io.quarkus.test.oidc.server.OidcWiremockTestResource;

@QuarkusTest
@QuarkusTestResource(OidcWiremockTestResource.class)
public class CodeFlowAuthorizationTest {

    @Test
    public void testCodeFlow() throws Exception {
        try (final WebClient webClient = createWebClient()) {
            // the test REST endpoint listens on '/code-flow'
            HtmlPage page = webClient.getPage("http://localhost:8081/code-flow");

            HtmlForm form = page.getFormByName("form");
            // user 'alice' has the 'user' role
            form.getInputByName("username").type("alice");
            form.getInputByName("password").type("alice");

            page = form.getInputByValue("login").click();

            assertEquals("alice", page.getBody().asText());
        }
    }

    private WebClient createWebClient() {
        WebClient webClient = new WebClient();
        webClient.setCssErrorHandler(new SilentCssErrorHandler());
        return webClient;
    }
}
Copy to Clipboard Toggle word wrap

OidcWiremockTestResource は、alice および admin ユーザーを認識します。ユーザー alice には、デフォルトで user ロールのみが割り当てられます。これは、quarkus.test.oidc.token.user-roles システムプロパティーを使用してカスタマイズできます。ユーザー admin には、デフォルトで user ロールと admin ロールがあります。これは、quarkus.test.oidc.token.admin-roles システムプロパティーを使用してカスタマイズできます。

さらに、OidcWiremockTestResourceは、トークンの発行者と audience を https://service.example.com に設定します。これは、quarkus.test.oidc.token.issuer および quarkus.test.oidc.token.audience システムプロパティーを使用してカスタマイズできます。

OidcWiremockTestResource は、すべての OIDC プロバイダーをエミュレートするために使用できます。

3.5.2. Dev Services for Keycloak
リンクのコピー

Keycloak に対する結合テストには、Dev Services for Keycloak の使用が推奨されます。Dev Services for Keycloak がテストコンテナーを起動して初期化します。これにより、quarkus レルム、quarkus-app クライアント (secret シークレット) が作成され、alice (admin ロールと user ロール) および bob (user ロール) ユーザーが追加されます。これらのプロパティーはすべてカスタマイズできます。

まず、application.properties を準備します。完全に空の application.properties ファイルから開始できます。これは、Dev Services for Keycloak は、実行中のテストコンテナーを指す quarkus.oidc.auth-server-url および quarkus.oidc.client-id=quarkus-app および quarkus.oidc.credentials.secret=secret を登録します。

ただし、必要な quarkus-oidc プロパティーがすべてすでに設定されている場合は、コンテナーを起動するために、Dev Services for Keycloakprod プロファイルに quarkus.oidc.auth-server-url を関連付けるだけで済みます。以下に例を示します。 

%prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
Copy to Clipboard Toggle word wrap

テストを実行する前にカスタムレルムファイルを Keycloak にインポートする必要がある場合は、次のようにして Dev Services for Keycloak を設定できます。 

%prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.keycloak.devservices.realm-path=quarkus-realm.json
Copy to Clipboard Toggle word wrap

最後に、Wiremock セクションで説明されているのと同じ方法でテストコードを記述します。唯一の違いは、@QuarkusTestResource が不要になったことです。 

@QuarkusTest
public class CodeFlowAuthorizationTest {
}
Copy to Clipboard Toggle word wrap

3.5.3. TestSecurity アノテーション
リンクのコピー

@TestSecurity および @OidcSecurity アノテーションを使用して、次のインジェクションのいずれか、または 4 つすべてに依存する web-app アプリケーションエンドポイントコードをテストできます。

  • ID JsonWebToken
  • JsonWebToken へのアクセス
  • UserInfo
  • OidcConfigurationMetadata

詳細は、注入された JsonWebToken で TestingSecurity を使用する を参照してください。

3.5.4. ログエラーの確認
リンクのコピー

トークン検証エラーの詳細を確認するには、io.quarkus.oidc.runtime.OidcProvider TRACE レベルのロギングを有効にする必要があります。 

quarkus.log.category."io.quarkus.oidc.runtime.OidcProvider".level=TRACE
quarkus.log.category."io.quarkus.oidc.runtime.OidcProvider".min-level=TRACE
Copy to Clipboard Toggle word wrap

OidcProvider クライアント初期化エラーの詳細を表示するには、io.quarkus.oidc.runtime.OidcRecorder TRACE レベルのロギングを有効にします。 

quarkus.log.category."io.quarkus.oidc.runtime.OidcRecorder".level=TRACE
quarkus.log.category."io.quarkus.oidc.runtime.OidcRecorder".min-level=TRACE
Copy to Clipboard Toggle word wrap

quarkus dev コンソールから j と入力して、アプリケーションのグローバルログレベルを変更します。

3.6. 参考資料
リンクのコピー

第4章 OpenID Connect (OIDC) 認可コードフローを使用した Web アプリケーションの保護
リンクのコピー

Quarkus OIDC エクステンションを備えた Quarkus OpenID Connect (OIDC) 認可コードフローメカニズムを使用してアプリケーションの HTTP エンドポイントを保護し、堅牢な認証と認可を実現する方法を説明します。

詳細は、Web アプリケーションを保護するための OIDC コードフローメカニズム を参照してください。

Apple、Facebook、GitHub、Google、Mastodon、Microsoft、Twitch、Twitter (X)、Spotify などのよく知られたソーシャルプロバイダーを Quarkus OIDC で使用する方法は、Configuring well-known OpenID Connect providers を参照してください。Quarkus の認証メカニズム も参照してください。

OIDC ベアラートークン認証を使用してサービスアプリケーションを保護する場合は、OIDC ベアラートークン認証 を参照してください。

4.1. 前提条件
リンクのコピー

このガイドを完了するには、以下が必要です。

  • 約 15 分
  • IDE
  • JAV_HOME が適切に設定された状態でインストールされた JDK 17 以降
  • Apache Maven 3.9.6
  • 動作するコンテナーランタイム (Docker または Podman)
  • オプションで使用する場合は Quarkus CLI
  • ネイティブ実行可能ファイル (ネイティブコンテナービルドを使用する場合は Docker) をビルドする必要がある場合は、オプションで Mandrel または GraalVM がインストールされ、適切に設定されている

4.2. アーキテクチャー
リンクのコピー

この例では、1 つのページを持つシンプルな Web アプリケーションを構築します。

  • /index.html

このページは保護されており、認証されたユーザーのみがアクセスできます。

4.3. ソリューション
リンクのコピー

次のセクションの指示に従って、アプリケーションを段階的に作成します。あるいは、完成した例に直接進むこともできます。

git clone https://github.com/quarkusio/quarkus-quickstarts.git -b 3.8 コマンドを実行して、Git リポジトリーをクローンします。または、アーカイブ をダウンロードします。

ソリューションは、security-openid-connect-web-authentication-quickstart ディレクトリー にあります。

4.4. Maven プロジェクトの作成
リンクのコピー

まず、新しいプロジェクトが必要です。次のコマンドを実行して新しいプロジェクトを作成します。

  • Quarkus CLI を使用: 

    quarkus create app org.acme:security-openid-connect-web-authentication-quickstart \
    --extension='resteasy-reactive,oidc' \
    --no-code
cd security-openid-connect-web-authentication-quickstart
    Copy to Clipboard Toggle word wrap

    Gradle プロジェクトを作成するには、--gradle オプションまたは --gradle-kotlin-dsl オプションを追加します。

    Quarkus CLI のインストール方法と使用方法の詳細は、Quarkus CLI ガイドを参照してください。

  • Maven を使用: 

    mvn io.quarkus.platform:quarkus-maven-plugin:3.8.5:create \
    -DprojectGroupId=org.acme \
    -DprojectArtifactId=security-openid-connect-web-authentication-quickstart \
    -Dextensions='resteasy-reactive,oidc' \
    -DnoCode
cd security-openid-connect-web-authentication-quickstart
    Copy to Clipboard Toggle word wrap

    Gradle プロジェクトを作成するには、-DbuildTool=gradle または -DbuildTool=gradle-kotlin-dsl オプションを追加します。

Windows ユーザーの場合:

  • cmd を使用する場合は、バックスラッシュ \ を使用せず、すべてを同じ行に記述してください。
  • Powershell を使用する場合は、-D パラメーターを二重引用符で囲みます (例: "-DprojectArtifactId=security-openid-connect-web-authentication-quickstart")。

Quarkus プロジェクトがすでに設定されている場合は、プロジェクトベースディレクトリーで次のコマンドを実行して、oidc エクステンションをプロジェクトに追加できます。

  • Quarkus CLI を使用: 

    quarkus extension add oidc
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw quarkus:add-extension -Dextensions='oidc'
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew addExtension --extensions='oidc'
    Copy to Clipboard Toggle word wrap

これにより、ビルドファイルに次の依存関係が追加されます。

  • Maven を使用: 

    <dependency>
   <groupId>io.quarkus</groupId>
   <artifactId>quarkus-oidc</artifactId>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    implementation("io.quarkus:quarkus-oidc")
    Copy to Clipboard Toggle word wrap

4.5. アプリケーションの作成
リンクのコピー

認可コードグラントのレスポンスで返されるすべてのトークンが注入された単純な Jakarta REST リソースを記述してみましょう。 

package org.acme.security.openid.connect.web.authentication;

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;

import org.eclipse.microprofile.jwt.Claims;
import org.eclipse.microprofile.jwt.JsonWebToken;

import io.quarkus.oidc.IdToken;
import io.quarkus.oidc.RefreshToken;

@Path("/tokens")
public class TokenResource {

   /**
    * Injection point for the ID token issued by the OpenID Connect provider
    */
   @Inject
   @IdToken
   JsonWebToken idToken;

   /**
    * Injection point for the access token issued by the OpenID Connect provider
    */
   @Inject
   JsonWebToken accessToken;

   /**
    * Injection point for the refresh token issued by the OpenID Connect provider
    */
   @Inject
   RefreshToken refreshToken;

   /**
    * Returns the tokens available to the application.
    * This endpoint exists only for demonstration purposes.
    * Do not expose these tokens in a real application.
    *
    * @return an HTML page containing the tokens available to the application.
    */
   @GET
   @Produces("text/html")
   public String getTokens() {
       StringBuilder response = new StringBuilder().append("<html>")
               .append("<body>")
               .append("<ul>");


       Object userName = this.idToken.getClaim(Claims.preferred_username);

       if (userName != null) {
           response.append("<li>username: ").append(userName.toString()).append("</li>");
       }

       Object scopes = this.accessToken.getClaim("scope");

       if (scopes != null) {
           response.append("<li>scopes: ").append(scopes.toString()).append("</li>");
       }

       response.append("<li>refresh_token: ").append(refreshToken.getToken() != null).append("</li>");

       return response.append("</ul>").append("</body>").append("</html>").toString();
   }
}
Copy to Clipboard Toggle word wrap

このエンドポイントには、ID、アクセス、および更新トークンが注入されています。ID トークンからの preferred_username クレーム、アクセストークンからの scope クレーム、および更新トークンの可用性ステータスを返します。

エンドポイントが ID トークンを使用して現在認証されているユーザーと対話する必要がある場合、またはアクセストークンを使用してこのユーザーに代わってダウンストリームサービスにアクセスする必要がある場合にのみ、トークンを注入する必要があります。

詳細は、リファレンスガイドの アクセス ID とアクセストークン セクションを参照してください。

4.6. アプリケーションの設定
リンクのコピー

OIDC エクステンションを使用すると、src/main/resources ディレクトリーの application.properties ファイルを使用して設定を定義できます。 

quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=frontend
quarkus.oidc.credentials.secret=secret
quarkus.oidc.application-type=web-app
quarkus.http.auth.permission.authenticated.paths=/*
quarkus.http.auth.permission.authenticated.policy=authenticated
Copy to Clipboard Toggle word wrap

これは、アプリケーションへの認証を有効にするときに使用できる最も単純な設定です。

quarkus.oidc.client-id プロパティーは OIDC プロバイダーによって発行された client_id を参照し、quarkus.oidc.credentials.secret プロパティーはクライアントシークレットを設定します。

quarkus.oidc.application-type プロパティーは web-app に設定され、ユーザーが認証のために OIDC プロバイダーにリダイレクトされるように、OIDC 認可コードフローを有効にすることを Quarkus に通知します。

最後に、保護するパスを Quarkus に伝えるために、quarkus.http.auth.permission.authenticated 権限が設定されます。この場合、すべてのパスは、authenticated ユーザーのみがアクセスできるようにするポリシーによって保護されます。詳細は、セキュリティー認可ガイド を参照してください。

4.7. Keycloak サーバーの起動と設定
リンクのコピー

Keycloak サーバーを起動するには、Docker を使用して次のコマンドを実行します。 

docker run --name keycloak -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -p 8180:8080 quay.io/keycloak/keycloak:{keycloak.version} start-dev
Copy to Clipboard Toggle word wrap

ここで、keycloak.version24.0.0 以降に設定されています。

Keycloak サーバーには localhost:8180 からアクセスできます。

Keycloak 管理コンソールにアクセスするには、admin ユーザーとしてログインします。ユーザー名とパスワードは両方とも admin です。

新しいレルムを作成するには、レルム設定ファイル をインポートします。新しいレルムの作成および設定 方法の詳細は、Keycloak のドキュメントを参照してください。

4.8. 開発モードと JVM モードでのアプリケーションの実行
リンクのコピー

開発モードでアプリケーションを実行するには、次を使用します。

  • Quarkus CLI を使用: 

    quarkus dev
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw quarkus:dev
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew --console=plain quarkusDev
    Copy to Clipboard Toggle word wrap

開発モードでアプリケーションを試した後、標準の Java アプリケーションとして実行できます。

まず、コンパイルします。

  • Quarkus CLI を使用: 

    quarkus build
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw install
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew build
    Copy to Clipboard Toggle word wrap

次に、実行します。 

java -jar target/quarkus-app/quarkus-run.jar
Copy to Clipboard Toggle word wrap

4.9. アプリケーションのネイティブモードでの実行
リンクのコピー

この同じデモはネイティブコードにコンパイルできます。変更は必要ありません。

これは、生成されたバイナリーにランタイムテクノロジーが含まれ、最小限のリソースで実行するように最適化されているため、実稼働環境に JVM をインストールする必要がなくなることを意味します。

コンパイルには時間がかかるため、この手順はデフォルトでオフになっています。ネイティブビルドを有効にすることで再度ビルドできます。

  • Quarkus CLI を使用: 

    quarkus build --native
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw install -Dnative
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew build -Dquarkus.package.type=native
    Copy to Clipboard Toggle word wrap

しばらくすると、このバイナリーを直接実行できるようになります。 

./target/security-openid-connect-web-authentication-quickstart-runner
Copy to Clipboard Toggle word wrap

4.10. アプリケーションをテストする
リンクのコピー

アプリケーションをテストするには、ブラウザーを開いて次の URL にアクセスします。

すべてが想定どおりに動作する場合、認証のために Keycloak サーバーにリダイレクトされます。

アプリケーションを認証するには、Keycloak ログインページで次の認証情報を入力します。

  • ユーザー名: alice
  • パスワード: alice

Login ボタンをクリックすると、アプリケーションにリダイレクトされ、セッション cookie が作成されます。

このデモのセッションは短期間有効であり、ページを更新するたびに再認証を求められます。セッションタイムアウトを増やす方法は、Keycloak の セッションタイムアウト のドキュメントを参照してください。たとえば、開発モードで Dev Services for Keycloak を使用する場合は、Keycloak Admin リンクをクリックして、開発 UI から直接 Keycloak Admin コンソールにアクセスできます。

Dev UI OpenID Connect のカード
View larger image
Dev UI OpenID Connect のカード

Dev Services for Keycloak に依存する結合テストの作成に関する詳細は、Dev Services for Keycloak セクションを参照してください。

4.11. まとめ
リンクのコピー

OIDC 認可コードフローメカニズムを設定して使用し、アプリケーションの HTTP エンドポイントを保護およびテストする方法を説明しました。このチュートリアルを完了したら、OIDC ベアラートークン認証その他の認証メカニズム を調べてください。

4.12. 参考資料
リンクのコピー

第5章 OpenID Connect (OIDC) マルチテナントの使用
リンクのコピー

このガイドでは、OpenID Connect (OIDC) アプリケーションがマルチテナントをサポートして、単一のアプリケーションから複数のテナントにサービスを提供する方法を説明します。これらのテナントは、同じ OIDC プロバイダー内の異なるレルムまたはセキュリティードメイン、あるいは異なる OIDC プロバイダーである場合もあります。

SaaS 環境など、同じアプリケーションから複数の顧客にサービスを提供する場合、各顧客は個別のテナントとして機能します。アプリケーションでマルチテナントサポートを有効にすると、Keycloak や Google などの異なる OIDC プロバイダーに対して認証する場合でも、テナントごとに異なる認証ポリシーをサポートできます。

ベアラートークン認可を使用してテナントを認可するには、OpenID Connect (OIDC) ベアラートークン認証 ガイドを参照してください。

OIDC 認可コードフローを使用してテナントを認証および認可するには、Web アプリケーションを保護するための OpenID Connect 認可コードフローメカニズム ガイドを参照してください。

また、OpenID Connect (OIDC) 設定プロパティー リファレンスガイドも参照してください。

5.1. 前提条件
リンクのコピー

このガイドを完了するには、以下が必要です。

  • 約 15 分
  • IDE
  • JAV_HOME が適切に設定された状態でインストールされた JDK 17 以降
  • Apache Maven 3.9.6
  • 動作するコンテナーランタイム (Docker または Podman)
  • オプションで使用する場合は Quarkus CLI
  • ネイティブ実行可能ファイル (ネイティブコンテナービルドを使用する場合は Docker) をビルドする必要がある場合は、オプションで Mandrel または GraalVM がインストールされ、適切に設定されている
  • jq tool

5.2. アーキテクチャー
リンクのコピー

この例では、次の 2 つのリソースメソッドをサポートする非常にシンプルなアプリケーションをビルドします。

  • /{tenant}

このリソースは、認証されたユーザーと現在のテナントについて、OIDC プロバイダーによって発行された ID トークンから取得した情報を返します。

  • /{tenant}/bearer

このリソースは、認証されたユーザーと現在のテナントについて、OIDC プロバイダーによって発行された Access Token から取得した情報を返します。

5.3. ソリューション
リンクのコピー

完全に理解するために、次の手順に従ってアプリケーションをビルドすることを推奨します。

あるいは、完成した例から始める場合は、Git リポジトリーをクローンします (git clone https://github.com/quarkusio/quarkus-quickstarts.git -b 3.8)。または、アーカイブ をダウンロードします。

ソリューションは、security-openid-connect-multi-tenancy-quickstart ディレクトリー にあります。

5.4. Maven プロジェクトの作成
リンクのコピー

まず、新しいプロジェクトが必要です。次のコマンドで新しいプロジェクトを作成します。

  • Quarkus CLI を使用: 

    quarkus create app org.acme:security-openid-connect-multi-tenancy-quickstart \
    --extension='oidc,resteasy-reactive-jackson' \
    --no-code
cd security-openid-connect-multi-tenancy-quickstart
    Copy to Clipboard Toggle word wrap

    Gradle プロジェクトを作成するには、--gradle オプションまたは --gradle-kotlin-dsl オプションを追加します。

    Quarkus CLI のインストール方法と使用方法の詳細は、Quarkus CLI ガイドを参照してください。

  • Maven を使用: 

    mvn io.quarkus.platform:quarkus-maven-plugin:3.8.5:create \
    -DprojectGroupId=org.acme \
    -DprojectArtifactId=security-openid-connect-multi-tenancy-quickstart \
    -Dextensions='oidc,resteasy-reactive-jackson' \
    -DnoCode
cd security-openid-connect-multi-tenancy-quickstart
    Copy to Clipboard Toggle word wrap

    Gradle プロジェクトを作成するには、-DbuildTool=gradle または -DbuildTool=gradle-kotlin-dsl オプションを追加します。

Windows ユーザーの場合:

  • cmd を使用する場合は、バックスラッシュ \ を使用せず、すべてを同じ行に記述してください。
  • Powershell を使用する場合は、-D パラメーターを二重引用符で囲みます (例: "-DprojectArtifactId=security-openid-connect-multi-tenancy-quickstart")。

Quarkus プロジェクトがすでに設定されている場合は、プロジェクトベースディレクトリーで次のコマンドを実行して、oidc エクステンションをプロジェクトに追加します。

  • Quarkus CLI を使用: 

    quarkus extension add oidc
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw quarkus:add-extension -Dextensions='oidc'
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew addExtension --extensions='oidc'
    Copy to Clipboard Toggle word wrap

これにより、ビルドファイルに次の内容が追加されます。

  • Maven を使用: 

    <dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-oidc</artifactId>
</dependency>
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    implementation("io.quarkus:quarkus-oidc")
    Copy to Clipboard Toggle word wrap

5.5. アプリケーションの作成
リンクのコピー

まず、/{tenant} エンドポイントを実装します。以下のソースコードからわかるように、これは単なる通常の Jakarta REST リソースです。 

package org.acme.quickstart.oidc;

import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;

import org.eclipse.microprofile.jwt.JsonWebToken;

import io.quarkus.oidc.IdToken;

@Path("/{tenant}")
public class HomeResource {
    /**
     * Injection point for the ID Token issued by the OIDC provider.
     */
    @Inject
    @IdToken
    JsonWebToken idToken;

    /**
     * Injection point for the Access Token issued by the OIDC provider.
     */
    @Inject
    JsonWebToken accessToken;

    /**
     * Returns the ID Token info.
     * This endpoint exists only for demonstration purposes.
     * Do not expose this token in a real application.
     *
     * @return ID Token info
     */
    @GET
    @Produces("text/html")
    public String getIdTokenInfo() {
        StringBuilder response = new StringBuilder().append("<html>")
                .append("<body>");

        response.append("<h2>Welcome, ").append(this.idToken.getClaim("email").toString()).append("</h2>\n");
        response.append("<h3>You are accessing the application within tenant <b>").append(idToken.getIssuer()).append(" boundaries</b></h3>");

        return response.append("</body>").append("</html>").toString();
    }

    /**
     * Returns the Access Token info.
     * This endpoint exists only for demonstration purposes.
     * Do not expose this token in a real application.
     *
     * @return Access Token info
     */
    @GET
    @Produces("text/html")
    @Path("bearer")
    public String getAccessTokenInfo() {
        StringBuilder response = new StringBuilder().append("<html>")
                .append("<body>");

        response.append("<h2>Welcome, ").append(this.accessToken.getClaim("email").toString()).append("</h2>\n");
        response.append("<h3>You are accessing the application within tenant <b>").append(accessToken.getIssuer()).append(" boundaries</b></h3>");

        return response.append("</body>").append("</html>").toString();
    }
}
Copy to Clipboard Toggle word wrap

受信リクエストからテナントを解決し、application.properties 内の特定の quarkus-oidc テナント設定にマップするには、テナント設定を動的に解決できる io.quarkus.oidc.TenantConfigResolver インターフェイスの実装を作成します。 

package org.acme.quickstart.oidc;

import jakarta.enterprise.context.ApplicationScoped;

import org.eclipse.microprofile.config.ConfigProvider;

import io.quarkus.oidc.OidcRequestContext;
import io.quarkus.oidc.OidcTenantConfig;
import io.quarkus.oidc.OidcTenantConfig.ApplicationType;
import io.quarkus.oidc.TenantConfigResolver;
import io.smallrye.mutiny.Uni;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomTenantResolver implements TenantConfigResolver {

    @Override
    public Uni<OidcTenantConfig> resolve(RoutingContext context, OidcRequestContext<OidcTenantConfig> requestContext) {
        String path = context.request().path();

        if (path.startsWith("/tenant-a")) {
           String keycloakUrl = ConfigProvider.getConfig().getValue("keycloak.url", String.class);

            OidcTenantConfig config = new OidcTenantConfig();
            config.setTenantId("tenant-a");
            config.setAuthServerUrl(keycloakUrl + "/realms/tenant-a");
            config.setClientId("multi-tenant-client");
            config.getCredentials().setSecret("secret");
            config.setApplicationType(ApplicationType.HYBRID);
            return Uni.createFrom().item(config);
        } else {
            // resolve to default tenant config
            return Uni.createFrom().nullItem();
        }
    }
}
Copy to Clipboard Toggle word wrap

前述の実装では、テナントはリクエストパスから解決されます。テナントを推測できない場合は、デフォルトのテナント設定を使用する必要があることを示す null が返されます。

tenant-a アプリケーションタイプは hybrid です。提供されている場合、HTTP ベアラートークンを受け入れることができます。それ以外の場合は、認証が必要なときに認可コードフローを開始します。

5.6. アプリケーションの設定
リンクのコピー

# Default tenant configuration
%prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=multi-tenant-client
quarkus.oidc.application-type=web-app

# Tenant A configuration is created dynamically in CustomTenantConfigResolver

# HTTP security configuration
quarkus.http.auth.permission.authenticated.paths=/*
quarkus.http.auth.permission.authenticated.policy=authenticated
Copy to Clipboard Toggle word wrap

最初の設定は、リクエストからテナントを推測できない場合に使用する必要があるデフォルトのテナント設定です。Dev Services for Keycloak を使用したマルチテナントアプリケーションのテストをサポートするために、quarkus.oidc.auth-server-url%prod プロファイル接頭辞が使用されることに注意してください。この設定では、Keycloak インスタンスを使用してユーザーを認証します。

TenantConfigResolver によって提供される 2 番目の設定は、受信リクエストが tenant-a テナントにマップされるときに使用されます。

両方の設定は、異なる realms を使用しながら、同じ Keycloak サーバーインスタンスにマップされます。

あるいは、application.properties でテナント tenant-a を直接設定することもできます。 

# Default tenant configuration
%prod.quarkus.oidc.auth-server-url=http://localhost:8180/realms/quarkus
quarkus.oidc.client-id=multi-tenant-client
quarkus.oidc.application-type=web-app

# Tenant A configuration
quarkus.oidc.tenant-a.auth-server-url=http://localhost:8180/realms/tenant-a
quarkus.oidc.tenant-a.client-id=multi-tenant-client
quarkus.oidc.tenant-a.application-type=web-app

# HTTP security configuration
quarkus.http.auth.permission.authenticated.paths=/*
quarkus.http.auth.permission.authenticated.policy=authenticated
Copy to Clipboard Toggle word wrap

その場合は、カスタム TenantConfigResolver を使用して解決します。 

package org.acme.quickstart.oidc;

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.oidc.TenantResolver;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomTenantResolver implements TenantResolver {

    @Override
    public String resolve(RoutingContext context) {
        String path = context.request().path();
        String[] parts = path.split("/");

        if (parts.length == 0) {
            //Resolve to default tenant configuration
            return null;
        }

        return parts[1];
    }
}
Copy to Clipboard Toggle word wrap

設定ファイルで複数のテナントを定義できます。TenantResolver 実装からテナントを解決するときに正しくマップするには、それぞれに一意のエイリアスがあることを確認します。

ただし、application.properties でテナントを設定し、TenantResolver を使用して解決する静的テナント解決を使用すると、リクエストが個々のテナントにどのようにマッピングされるかがわからず、テナント固有の quarkus.oidc.<tenant-id>.auth-server-url 値を動的に提供できないため、Dev Services for Keycloak を使用したエンドポイントのテストには機能しません。したがって、application.properties 内のテナント固有の URL で %prod 接頭辞を使用することは、テストモードと開発モードの両方で機能しません。

注記

現在のテナントが OIDC web-app アプリケーションを表す際、テナント固有の状態またはセッション Cookie がすでに存在する場合に、コード認証フローを完了するすべての要求とすでに認証された要求に対してカスタムテナントリゾルバーが呼び出されるまでに、現在の io.vertx.ext.web.RoutingContext には、tenant-id 属性が含まれます。したがって、複数の OIDC プロバイダーを使用する際、RoutingContexttenant-id 属性が設定されていない場合にのみ、テナント ID を解決するためにパス固有のチェックが必要になります。次に例を示します。 

package org.acme.quickstart.oidc;

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.oidc.TenantResolver;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomTenantResolver implements TenantResolver {

    @Override
    public String resolve(RoutingContext context) {
        String tenantId = context.get("tenant-id");
        if (tenantId != null) {
            return tenantId;
        } else {
            // Initial login request
            String path = context.request().path();
            String[] parts = path.split("/");

            if (parts.length == 0) {
                //Resolve to default tenant configuration
                return null;
            }
            return parts[1];
        }
    }
}
Copy to Clipboard Toggle word wrap

これは、カスタム TenantResolver が登録されていない場合に、Quarkus OIDC が静的カスタムテナントを解決する方法です。

同様の手法を TenantConfigResolver でも使用できます。コンテキストで提供される tenant-id は、以前のリクエストですでに準備されている OidcTenantConfig を返すことができます。

注記

Hibernate ORM マルチテナント または MongoDB と Panache マルチテナント も使用していて、両方のテナント ID が同じで、Vert.x の RoutingContext から抽出する必要がある場合は、OIDC Tenant Resolver からのテナント ID を Hibernate ORM Tenant Resolver または MongoDB と Panache Mongo Database Resolver に RoutingContext 属性として渡すことができます。次に例を示します。 

public class CustomTenantResolver implements TenantResolver {

    @Override
    public String resolve(RoutingContext context) {
        String tenantId = extractTenantId(context);
        context.put("tenantId", tenantId);
        return tenantId;
    }
}
Copy to Clipboard Toggle word wrap

5.7. Keycloak サーバーの起動と設定
リンクのコピー

Keycloak サーバーを起動するには、Docker を使用して次のコマンドを実行します。 

docker run --name keycloak -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -p 8180:8080 quay.io/keycloak/keycloak:{keycloak.version} start-dev
Copy to Clipboard Toggle word wrap

ここで、keycloak.version24.0.0 以降に設定されます。

localhost:8180 で Keycloak サーバーにアクセスします。

Keycloak 管理コンソールにアクセスするには、admin ユーザーとしてログインします。ユーザー名とパスワードは両方とも admin です。

次に、2 つのテナントのレルムをインポートします。

新しいレルムを作成する 方法の詳細は、Keycloak のドキュメントを参照してください。

5.8. アプリケーションの実行と使用
リンクのコピー

5.8.1. 開発者モードで実行
リンクのコピー

マイクロサービスを開発モードで実行するには、以下を使用します。

  • Quarkus CLI を使用: 

    quarkus dev
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw quarkus:dev
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew --console=plain quarkusDev
    Copy to Clipboard Toggle word wrap

5.8.2. JVM モードでの実行
リンクのコピー

開発モードでアプリケーションを試した後、標準の Java アプリケーションとして実行できます。

まず、コンパイルします。

  • Quarkus CLI を使用: 

    quarkus build
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw install
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew build
    Copy to Clipboard Toggle word wrap

次に、実行します。 

java -jar target/quarkus-app/quarkus-run.jar
Copy to Clipboard Toggle word wrap

5.8.3. ネイティブモードでの実行
リンクのコピー

この同じデモはネイティブコードにコンパイルできます。変更は必要ありません。

これは、生成されたバイナリーにランタイムテクノロジーが含まれ、最小限のリソースで実行するように最適化されているため、実稼働環境に JVM をインストールする必要がなくなることを意味します。

コンパイルには少し時間がかかるため、この手順はデフォルトでオフになっています。ネイティブビルドを有効にして再度ビルドしてみましょう。

  • Quarkus CLI を使用: 

    quarkus build --native
    Copy to Clipboard Toggle word wrap

  • Maven を使用: 

    ./mvnw install -Dnative
    Copy to Clipboard Toggle word wrap

  • Gradle を使用: 

    ./gradlew build -Dquarkus.package.type=native
    Copy to Clipboard Toggle word wrap

しばらくすると、このバイナリーを直接実行できるようになります。 

./target/security-openid-connect-multi-tenancy-quickstart-runner
Copy to Clipboard Toggle word wrap

5.9. アプリケーションをテストする
リンクのコピー

5.9.1. ブラウザーの使用
リンクのコピー

アプリケーションをテストするには、ブラウザーを開いて次の URL にアクセスします。

すべてが想定どおりに動作する場合、認証のために Keycloak サーバーにリダイレクトされます。要求されたパスは、設定ファイルでマッピングされていない default テナントを定義することに注意してください。この場合、デフォルト設定が使用されます。

アプリケーションを認証するには、Keycloak ログインページで次の認証情報を入力します。

  • ユーザー名: alice
  • パスワード: alice

Login ボタンをクリックすると、アプリケーションにリダイレクトされます。

今すぐ次の URL でアプリケーションにアクセスしてみてください。

Keycloak ログインページに再度リダイレクトされます。ただし、今回は別のレルムを使用して認証します。

どちらの場合も、ユーザーが正常に認証されると、ランディングページにユーザーの名前とメールアドレスが表示されます。alice は両方のテナントに存在しますが、アプリケーションはそれらを別々のレルム内の別個のユーザーとして扱います。

5.10. 静的テナント設定の解決
リンクのコピー

application.properties ファイルで複数のテナント設定を設定する場合は、テナント識別子の解決方法を指定するだけで済みます。テナント識別子の解決を設定するには、次のいずれかのオプションを使用します。

これらのテナント解決オプションは、テナント ID が解決されるまで、リストされている順序で試行されます。テナント ID が未解決のまま (null) の場合は、デフォルト (名前なし) のテナント設定が選択されます。

5.10.1. TenantResolver で解決する
リンクのコピー

次の application.properties の例は、TenantResolver メソッドを使用して、a および b という名前の 2 つのテナントのテナント ID を解決する方法を示しています。 

# Tenant 'a' configuration
quarkus.oidc.a.auth-server-url=http://localhost:8180/realms/quarkus-a
quarkus.oidc.a.client-id=client-a
quarkus.oidc.a.credentials.secret=client-a-secret

# Tenant 'b' configuration
quarkus.oidc.b.auth-server-url=http://localhost:8180/realms/quarkus-b
quarkus.oidc.b.client-id=client-b
quarkus.oidc.b.credentials.secret=client-b-secret
Copy to Clipboard Toggle word wrap

quarkus.oidc.TenantResolver から a または b のテナント ID を返すことができます。 

import quarkus.oidc.TenantResolver;

public class CustomTenantResolver implements TenantResolver {

    @Override
    public String resolve(RoutingContext context) {
        String path = context.request().path();
        if (path.endsWith("a")) {
            return "a";
        } else if (path.endsWith("b")) {
            return "b";
        } else {
            // default tenant
            return null;
        }
    }
}
Copy to Clipboard Toggle word wrap

この例では、最後のリクエストパスセグメントの値はテナント ID ですが、必要に応じて、より複雑なテナント ID 解決ロジックを実装できます。

5.10.2. デフォルトの解像度
リンクのコピー

テナント識別子のデフォルトの解決は規則に基づいており、認証要求には要求パスの最後のセグメントにテナント識別子が含まれている必要があります。

次の application.properties の例は、googlegithub という名前の 2 つのテナントを設定する方法を示しています。 

# Tenant 'google' configuration
quarkus.oidc.google.provider=google
quarkus.oidc.google.client-id=${google-client-id}
quarkus.oidc.google.credentials.secret=${google-client-secret}
quarkus.oidc.google.authentication.redirect-path=/signed-in

# Tenant 'github' configuration
quarkus.oidc.github.provider=google
quarkus.oidc.github.client-id=${github-client-id}
quarkus.oidc.github.credentials.secret=${github-client-secret}
quarkus.oidc.github.authentication.redirect-path=/signed-in
Copy to Clipboard Toggle word wrap

上記の例では、両方のテナントが OIDC web-app アプリケーションを設定して、認可コードフローを使用してユーザーを認証し、認証後にセッション Cookie を生成することを要求します。Google または GitHub が現在のユーザーを認証すると、ユーザーは、JAX-RS エンドポイント上のセキュリティーで保護されたリソースパスなど、認証されたユーザーの /signed-in 領域に戻されます。

最後に、デフォルトのテナント解決を完了するには、次の設定プロパティーを設定します。 

quarkus.http.auth.permission.login.paths=/google,/github
quarkus.http.auth.permission.login.policy=authenticated
Copy to Clipboard Toggle word wrap

エンドポイントが http://localhost:8080 で実行している場合は、特定の /google または /github JAX-RS リソースパスを追加せずに、ユーザーが http://localhost:8080/google または http://localhost:8080/github にログインするための UI オプションを提供することもできます。認証が完了すると、テナント識別子もセッション Cookie 名に記録されます。したがって、認証されたユーザーは、セキュリティー保護された URL に google または github のパス値を含める必要なく、セキュリティー保護されたアプリケーション領域にアクセスできます。

デフォルトの解決は、ベアラートークン認証でも機能します。ただし、テナント識別子は常に最後のパスセグメント値として設定する必要があるため、あまり実用的ではない可能性があります。

5.10.3. アノテーションで解決する
リンクのコピー

io.quarkus.oidc.TenantResolver を使用する代わりに、io.quarkus.oidc.Tenant アノテーションを使用してテナント識別子を解決することができます。

注記

これを機能させるには、プロアクティブ HTTP 認証を無効にする必要があります (quarkus.http.auth.proactive=false)。詳細は、プロアクティブ認証 ガイドを参照してください。

アプリケーションが hr テナントと default テナントの 2 つの OIDC テナントをサポートしていると仮定すると、@Tenant("hr") を持つすべてのリソースメソッドとクラスは、quarkus.oidc.hr.auth-server-url によって設定された OIDC プロバイダーを使用して認証されます。対照的に、他のすべてのクラスとメソッドは、引き続きデフォルトの OIDC プロバイダーを使用して認証されます。 

import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;
import jakarta.ws.rs.core.MediaType;

import io.quarkus.oidc.Tenant;
import io.quarkus.security.Authenticated;

@Authenticated
@Path("/api/hello")
public class HelloResource {

    @Tenant("hr")
1 

    @GET
    @Produces(MediaType.TEXT_PLAIN)
    public String sayHello() {
        return "Hello!";
    }
}
Copy to Clipboard Toggle word wrap
1
io.quarkus.oidc.Tenant アノテーションは、リソースクラスまたはリソースメソッドのいずれかに配置する必要があります。

5.11. 動的なテナント設定の解決
リンクのコピー

サポートするさまざまなテナントに対してより動的な設定が必要であり、設定ファイルに複数のエントリーを含めたくない場合は、io.quarkus.oidc.TenantConfigResolver を使用できます。

このインターフェイスを使用すると、実行時にテナント設定を動的に作成できます。 

package io.quarkus.it.keycloak;

import jakarta.enterprise.context.ApplicationScoped;
import java.util.function.Supplier;

import io.smallrye.mutiny.Uni;
import io.quarkus.oidc.OidcRequestContext;
import io.quarkus.oidc.OidcTenantConfig;
import io.quarkus.oidc.TenantConfigResolver;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomTenantConfigResolver implements TenantConfigResolver {

    @Override
    public Uni<OidcTenantConfig> resolve(RoutingContext context, OidcRequestContext<OidcTenantConfig> requestContext) {
        String path = context.request().path();
        String[] parts = path.split("/");

        if (parts.length == 0) {
            //Resolve to default tenant configuration
            return null;
        }

        if ("tenant-c".equals(parts[1])) {
            // Do 'return requestContext.runBlocking(createTenantConfig());'
            // if a blocking call is required to create a tenant config,
            return Uni.createFromItem(createTenantConfig());
        }

        //Resolve to default tenant configuration
        return null;
    }

    private Supplier<OidcTenantConfig> createTenantConfig() {
        final OidcTenantConfig config = new OidcTenantConfig();

        config.setTenantId("tenant-c");
        config.setAuthServerUrl("http://localhost:8180/realms/tenant-c");
        config.setClientId("multi-tenant-client");
        OidcTenantConfig.Credentials credentials = new OidcTenantConfig.Credentials();

        credentials.setSecret("my-secret");

        config.setCredentials(credentials);

        // Any other setting supported by the quarkus-oidc extension

        return () -> config;
    }
}
Copy to Clipboard Toggle word wrap

このメソッドによって返される OidcTenantConfig は、application.properties. から oidc namespace 設定を解析するために使用されるものと同じです。quarkus-oidc エクステンションでサポートされている任意の設定を使用して、これを入力できます。

動的テナントリゾルバーが null を返す場合は、次に 静的テナント設定の解決 が試行されます。

5.11.1. OIDC web-app アプリケーションのテナント解決
リンクのコピー

OIDC web-app アプリケーション設定を解決する最も簡単なオプションは、デフォルトの解決 セクションで説明されている手順に従うことです。

デフォルトの解像度ストラテジーがアプリケーション設定で機能しない場合は、以下のいずれかのオプションを試してください。

service および web-app の両方の OIDC アプリケーションに対する現在の HTTP 要求を保護するために使用するテナント設定を選択するには、次のようないくつかのオプションがあります。

  • URL パスを確認してください。たとえば、/service パスには tenant-service 設定を使用し、/management パスには tenant-manage 設定を使用する必要があります。
  • HTTP ヘッダーを確認してください。たとえば、URL パスが常に /service である場合、Realm: serviceRealm: management などのヘッダーを使用すると、tenant-service 設定と tenant-manage 設定を選択できます。
  • URL クエリーパラメーターを確認してください。これは、ヘッダーを使用してテナント設定を選択する方法と同様に機能します。

これらのオプションはすべて、OIDC service アプリケーションのカスタム TenantResolver および TenantConfigResolver 実装を使用して簡単に実装できます。

ただし、OIDC web-app アプリケーションのコード認証フローを完了するには HTTP リダイレクトが必要なため、このリダイレクト要求の前後で同じテナント設定を選択するには、カスタム HTTP Cookie が必要になる場合があります。その理由は次のとおりです。

  • OIDC プロバイダーに単一のリダイレクト URL が登録されている場合は、リダイレクト要求後の URL パスが同じではない可能性があります。テナント設定が解決された後、元のリクエストパスを復元できます。
  • 元のリクエスト中に使用された HTTP ヘッダーは、リダイレクト後に使用できなくなります。
  • カスタム URL クエリーパラメーターはリダイレクト後に復元されますが、テナント設定が解決された後にのみ復元されます。

リダイレクトの前後で web-app アプリケーションのテナント設定を解決するための情報が利用できるようにする 1 つのオプションは、Cookie を使用することです。次に例を示します。 

package org.acme.quickstart.oidc;

import java.util.List;

import jakarta.enterprise.context.ApplicationScoped;

import io.quarkus.oidc.TenantResolver;
import io.vertx.core.http.Cookie;
import io.vertx.ext.web.RoutingContext;

@ApplicationScoped
public class CustomTenantResolver implements TenantResolver {

    @Override
    public String resolve(RoutingContext context) {
        List<String> tenantIdQuery = context.queryParam("tenantId");
        if (!tenantIdQuery.isEmpty()) {
            String tenantId = tenantIdQuery.get(0);
            context.response().addCookie(Cookie.cookie("tenant", tenantId));
            return tenantId;
        } else if (!context.request().cookies("tenant").isEmpty()) {
            return context.request().getCookie("tenant").getValue();
        }

        return null;
    }
}
Copy to Clipboard Toggle word wrap

5.12. テナント設定を無効にする
リンクのコピー

現在のリクエストからテナントを推測できず、デフォルトのテナント設定へのフォールバックが必要な場合、カスタム TenantResolver および TenantConfigResolver 実装は null を返すことがあります。

カスタムリゾルバーが常にテナントを解決することを期待する場合は、デフォルトのテナント解決を設定する必要はありません。

  • デフォルトのテナント設定をオフにするには、quarkus.oidc.tenant-enabled=false を設定します。
注記

quarkus.oidc.auth-server-url が設定されていない場合、デフォルトのテナント設定は自動的に無効になりますが、カスタムテナント設定が使用可能であるか、TenantConfigResolver が登録されています。

テナント固有の設定も無効にできることに注意してください (例: quarkus.oidc.tenant-a.tenant-enabled=false)。

5.13. 参考資料
リンクのコピー

第6章 OpenID Connect (OIDC) 設定プロパティー
リンクのコピー

Quarkus 開発者は、src/main/resources/application.properties ファイルで次のプロパティーを設定して、Quarkus OpenID Connect (OIDC) エクステンションを設定します。

lock ビルド時に固定された設定プロパティー: その他の設定プロパティーはすべて実行時にオーバーライド可能

Expand

設定プロパティー

デフォルト

lock quarkus.keycloak.devservices.enabled

Dev Services を有効 (デフォルト) または無効にするフラグ。有効にすると、Dev Services for Keycloak は、Docker の実行時に、Keycloak を開発モードまたはテストモードで自動的に設定して起動します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_ENABLED

boolean

true

lock quarkus.keycloak.devservices.image-name

Dev Services プロバイダーのコンテナーイメージ名。デフォルトでは、Quarkus ベースの Keycloak イメージになります。WildFly ベースのディストリビューションの場合は、quay.io/keycloak/keycloak:19.0.3-legacy のようなイメージを使用します。Keycloak Quarkus と WildFly イメージは異なる方法で初期化されます。Dev Services for Keycloak は、イメージバージョンが -legacy で終わっていない限り、それが Keycloak Quarkus イメージであると想定します。quarkus.keycloak.devservices.keycloak-x-image を使用したオーバーライド。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_IMAGE_NAME

string

quay.io/keycloak/keycloak:24.0.4

lock quarkus.keycloak.devservices.keycloak-x-image

Keycloak-X イメージが使用されているかどうかを示します。デフォルトでは、イメージはイメージ名の keycloak-x によって識別されます。カスタムイメージの場合は、quarkus.keycloak.devservices.keycloak-x-image を使用したオーバーライドです。デフォルトのチェックが機能する場合は、このプロパティーを設定する必要はありません。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_KEYCLOAK_X_IMAGE

boolean

 

lock quarkus.keycloak.devservices.shared

Keycloak コンテナーが共有されているかどうかを決定します。共有されると、Quarkus はラベルベースのサービス検出を使用して実行中の Keycloak コンテナーを見つけて再利用するため、2 番目のコンテナーは起動しません。一致するコンテナーが見つからない場合は、新しいコンテナーが起動します。サービス検出では、quarkus-dev-service-label ラベルが使用されます。このラベルの値は、service-name プロパティーによって設定されます。コンテナー共有は開発モードでのみ利用可能です。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SHARED

boolean

true

lock quarkus.keycloak.devservices.service-name

Keycloak コンテナーを識別するための quarkus-dev-service-keycloak ラベルの値。共有モードで使用され、このラベルを持つ既存のコンテナーを検索します。見つからない場合は、このラベルで新しいコンテナーが初期化されます。開発モードでのみ適用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SERVICE_NAME

string

quarkus

lock quarkus.keycloak.devservices.realm-path

Keycloak レルムファイルへのクラスまたはファイルシステムパスのコンマ区切りリスト。このリストは Keycloak を初期化するために使用されます。このリストの最初の値は、デフォルトのテナント接続プロパティーを初期化するために使用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_REALM_PATH

文字列のリスト

 

lock quarkus.keycloak.devservices.java-opts

keycloak JVM に渡される JAVA_OPTS

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_JAVA_OPTS

string

 

lock quarkus.keycloak.devservices.show-logs

"Keycloak:" という接頭辞が付いた Keycloak ログメッセージを表示します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SHOW_LOGS

boolean

false

lock quarkus.keycloak.devservices.start-command

Keycloak 開始コマンド。このプロパティーを使用して、Keycloak の起動オプションを試してください。https://www.keycloak.org/server/all-config を参照してください。注意: 従来の Keycloak WildFly イメージをロードする場合は無視されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_START_COMMAND

string

 

lock quarkus.keycloak.devservices.realm-name

Keycloak レルムの名前。このプロパティーは、realm-path プロパティーによって指定されたレルムファイルが存在しない場合に、レルムを作成するために使用されます。この場合のデフォルト値は quarkus です。Dev Services for Keycloak がレルムファイルを解析せずにレルム名を識別できるように、このプロパティーを常に設定することを推奨します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_REALM_NAME

string

 

lock quarkus.keycloak.devservices.create-realm

realm-path にレルムファイルが見つからない場合に Keycloak レルムを作成するかどうかを指定します。Keycloak 管理コンソールまたは io.quarkus.test.common.QuarkusTestResourceLifecycleManager によって提供される Keycloak 管理 API を使用してレルムを作成する場合は、false に設定します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_CREATE_REALM

boolean

true

lock quarkus.keycloak.devservices.port

開発サービスがリッスンする特定のポート。

指定しない場合はランダムなポートが選択されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_PORT

int

 

lock quarkus.keycloak.devservices.resource-aliases

Keycloak を初期化するために使用される追加のクラスまたはファイルシステムリソースへのエイリアス。各マップエントリーは、エイリアスとクラスまたはファイルシステムリソースパス間のマッピングを表します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_ALIASES

Map<String,String>

 

lock quarkus.keycloak.devservices.resource-mappings

Keycloak を初期化するために使用される追加のクラスまたはファイルシステムリソース。各マップエントリーは、クラスまたはファイルシステムリソースパスエイリアスと Keycloak コンテナーの場所間のマッピングを表します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_MAPPINGS

Map<String,String>

 

lock quarkus.keycloak.devservices.users

Keycloak ユーザー名とパスワードのマップ。空の場合、デフォルトのユーザー alicebob が作成され、その名前がパスワードとして使用されます。このマップは、realm-path にレルムファイルが見つからない場合にユーザーの作成に使用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_USERS

Map<String,String>

 

lock quarkus.keycloak.devservices.roles

Keycloak ユーザーのロールのマップ。空の場合、デフォルトのロールが割り当てられます。alice には admin ロールと user ロールが割り当てられ、他のユーザーには user ロールが割り当てられます。このマップは、realm-path にレルムファイルが見つからない場合にロールの作成に使用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_ROLES

Map<String,List<String>>

 

lock quarkus.keycloak.devservices.container-env

コンテナーに渡される環境変数。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_CONTAINER_ENV

Map<String,String>

 

lock quarkus.oidc.enabled

OIDC エクステンションが有効になっている場合。

環境変数: QUARKUS_OIDC_ENABLED

boolean

true

lock quarkus.oidc.devui.grant.type

OIDC 'service' アプリケーションをテストするためのトークンを取得するために使用されるグラントタイプ

環境変数: QUARKUS_OIDC_DEVUI_GRANT_TYPE

tooltip:client['client_credentials' グラント]、tooltip:password['password' グラント]、tooltip:code['authorization_code' グラント]、tooltip:implicit['implicit' グラント]

 

lock quarkus.oidc.devui.web-client-timeout

WebClient のタイムアウト。このプロパティーを使用して、OpenId Connect Provider からトークンを要求し、それをサービスエンドポイントに送信するときに、Dev UI ハンドラーによって使用される HTTP クライアントが応答を待機する時間を設定します。このタイムアウトは、OIDC 開発サービス管理クライアントでも使用されます。

環境変数: QUARKUS_OIDC_DEVUI_WEB_CLIENT_TIMEOUT

Duration question circle

4S

lock quarkus.oidc.default-token-cache-enabled

デフォルトの TokenIntrospection および UserInfo Cache 実装 Bean の登録を有効にします。注記: これにより、デフォルトの実装のみが有効になります。有効にするには設定が必要です。OidcConfig#tokenCache を参照してください。

環境変数: QUARKUS_OIDC_DEFAULT_TOKEN_CACHE_ENABLED

boolean

true

quarkus.oidc.auth-server-url

OpenID Connect (OIDC) サーバーのベース URL (例: https://host:port/auth)。公開鍵の検証 (public-key) または証明書チェーンの検証のみ (certificate-chain) が必要な場合は、このプロパティーを設定しないでください。OIDC 検出エンドポイントは、この URL に .well-known/openid-configuration パスを追加することによって、デフォルトで呼び出されます。Keycloak の場合は、https://host:port/realms/{realm} を使用します。ここで、{realm} を Keycloak レルム名に置き換えます。

環境変数: QUARKUS_OIDC_AUTH_SERVER_URL

string

 

quarkus.oidc.discovery-enabled

OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。

環境変数: QUARKUS_OIDC_DISCOVERY_ENABLED

boolean

true

quarkus.oidc.token-path

アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。discovery-enabledfalse の場合、または検出されたトークンエンドポイントパスをカスタマイズする必要がある場合に設定します。

環境変数: QUARKUS_OIDC_TOKEN_PATH

string

 

quarkus.oidc.revoke-path

OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。

環境変数: QUARKUS_OIDC_REVOKE_PATH

string

 

quarkus.oidc.client-id

アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。application-typeservice で、トークンイントロスペクションが不要な場合は、クライアント ID を設定する必要はありません。

環境変数: QUARKUS_OIDC_CLIENT_ID

string

 

quarkus.oidc.connection-delay

OIDC サーバーへの初期接続を試行する期間。たとえば、期間を 20S に設定すると、2 秒間隔で 10 回の再試行が可能になります。このプロパティーは、最初の OIDC 接続が作成された時のみ有効です。接続が切断された場合は、代わりに connection-retry-count プロパティーを使用します。

環境変数: QUARKUS_OIDC_CONNECTION_DELAY

Duration question circle

 

quarkus.oidc.connection-retry-count

既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される connection-delay とは異なります。たとえば、接続の問題により OIDC トークンエンドポイントへのリクエストが失敗した場合、この設定に従って再試行されます。

環境変数: QUARKUS_OIDC_CONNECTION_RETRY_COUNT

int

3

quarkus.oidc.connection-timeout

現在の OIDC 接続リクエストがタイムアウトするまでの秒数。

環境変数: QUARKUS_OIDC_CONNECTION_TIMEOUT

Duration question circle

10S

quarkus.oidc.use-blocking-dns-lookup

DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。

環境変数: QUARKUS_OIDC_USE_BLOCKING_DNS_LOOKUP

boolean

false

quarkus.oidc.max-pool-size

WebClient が使用する接続プールの最大サイズ。

環境変数: QUARKUS_OIDC_MAX_POOL_SIZE

int

 

quarkus.oidc.credentials.secret

client_secret_basic 認証方法で使用されるクライアントシークレット。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。代わりに client-secret.value を使用することもできますが、両方のプロパティーは相互に排他的です。

環境変数: QUARKUS_OIDC_CREDENTIALS_SECRET

string

 

quarkus.oidc.credentials.client-secret.value

クライアントシークレットの値。credentials.secret が設定されている場合、この値は無視されます。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_VALUE

string

 

quarkus.oidc.credentials.client-secret.provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc.credentials.client-secret.provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc.credentials.client-secret.method

認証方法。clientSecret.value シークレットが設定されている場合、この方法はデフォルトで basic になります。

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_METHOD

tooltip:basic[client_secret_basic (default): The client id and secret are submitted with the HTTP Authorization Basic scheme.], tooltip:post[client_secret_post: The client id and secret are submitted as the client_id and client_secret form parameters.], tooltip:post-jwt[client_secret_jwt: The client id and generated JWT secret are submitted as the client_id and client_secret form parameters.], tooltip:query[client id and secret are submitted as HTTP query parameters.このオプションは OIDC エクステンションでのみサポートされます。

 

quarkus.oidc.credentials.jwt.secret

指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET

string

 

quarkus.oidc.credentials.jwt.secret-provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc.credentials.jwt.secret-provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc.credentials.jwt.key-file

指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。signature-algorithm プロパティーを使用して、デフォルトのキーアルゴリズム RS256 をオーバーライドできます。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_FILE

string

 

quarkus.oidc.credentials.jwt.key-store-file

指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_FILE

string

 

quarkus.oidc.credentials.jwt.key-store-password

キーストアファイルのパスワードを指定するためのパラメーター。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_PASSWORD

string

 

quarkus.oidc.credentials.jwt.key-id

秘密鍵の ID またはエイリアス。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_ID

string

 

quarkus.oidc.credentials.jwt.key-password

秘密鍵のパスワード。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_PASSWORD

string

 

quarkus.oidc.credentials.jwt.audience

JWT オーディエンス (aud) クレーム値。デフォルトでは、オーディエンスは OpenId Connect プロバイダーのトークンエンドポイントのアドレスに設定されます。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_AUDIENCE

string

 

quarkus.oidc.credentials.jwt.token-key-id

JWT kid ヘッダーとして追加された署名キーのキー識別子。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_TOKEN_KEY_ID

string

 

quarkus.oidc.credentials.jwt.issuer

JWT iss クレームとして追加された署名キーの発行者。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_ISSUER

string

 

quarkus.oidc.credentials.jwt.subject

JWT sub クレームとして追加された署名キーのサブジェクト。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SUBJECT

string

 

quarkus.oidc.credentials.jwt.signature-algorithm

key-file プロパティーに使用される署名アルゴリズム。サポートされる値: RS256 (デフォルト)、RS384RS512PS256PS384PS512ES256ES384ES512HS256HS384HS512

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SIGNATURE_ALGORITHM

string

 

quarkus.oidc.credentials.jwt.lifespan

JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_LIFESPAN

int

10

quarkus.oidc.proxy.host

プロキシーのホスト名または IP アドレス。
注記: OIDC アダプターが OIDC サーバー (プロバイダー) と通信するためにプロキシーを必要とする場合は、この値を設定してプロキシーの使用を有効にします。

環境変数: QUARKUS_OIDC_PROXY_HOST

string

 

quarkus.oidc.proxy.port

プロキシーのポート番号。デフォルト値は 80 です。

環境変数: QUARKUS_OIDC_PROXY_PORT

int

80

quarkus.oidc.proxy.username

プロキシーに認証が必要な場合のユーザー名。

環境変数: QUARKUS_OIDC_PROXY_USERNAME

string

 

quarkus.oidc.proxy.password

プロキシーに認証が必要な場合のパスワード。

環境変数: QUARKUS_OIDC_PROXY_PASSWORD

string

 

quarkus.oidc.tls.verification

証明書の検証とホスト名の検証。次のいずれかの Verification 値になります。デフォルトは required です。

環境変数: QUARKUS_OIDC_TLS_VERIFICATION

tooltip:required[[証明書が検証され、ホスト名の検証が有効になっています。これはデフォルト値です。]、tooltip:certificate-validation[証明書は検証されますが、ホスト名の検証は無効になっています。]、tooltip:none[すべての証明書が信頼されており、ホスト名の検証は無効になっています。]

 

quarkus.oidc.tls.key-store-file

個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_FILE

path

 

quarkus.oidc.tls.key-store-file-type

キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_FILE_TYPE

string

 

quarkus.oidc.tls.key-store-provider

キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_PROVIDER

string

 

quarkus.oidc.tls.key-store-password

キーストアファイルのパスワード。指定しない場合は、デフォルト値の password が使用されます。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_PASSWORD

string

 

quarkus.oidc.tls.key-store-key-alias

キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_KEY_ALIAS

string

 

quarkus.oidc.tls.key-store-key-password

キーのパスワード (key-store-password と異なる場合)。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_KEY_PASSWORD

string

 

quarkus.oidc.tls.trust-store-file

信頼する証明書の証明書情報を保持するトラストストア。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_FILE

path

 

quarkus.oidc.tls.trust-store-password

トラストストアファイルのパスワード。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_PASSWORD

string

 

quarkus.oidc.tls.trust-store-cert-alias

トラストストア証明書のエイリアス。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc.tls.trust-store-file-type

トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc.tls.trust-store-provider

トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_PROVIDER

string

 

quarkus.oidc.tenant-id

一意のテナント識別子。これは、テナント設定を動的に解決する TenantConfigResolver プロバイダーによって設定できます。

環境変数: QUARKUS_OIDC_TENANT_ID

string

 

quarkus.oidc.tenant-enabled

このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する TenantConfigResolver が登録されているか、名前付きテナントが設定されている場合は無効になります。この場合は、デフォルトのテナントを無効にする必要はありません。

環境変数: QUARKUS_OIDC_TENANT_ENABLED

boolean

true

quarkus.oidc.application-type

アプリケーションの種類。次の ApplicationType 値のいずれかになります。

環境変数: QUARKUS_OIDC_APPLICATION_TYPE

tooltip:web-app[WEB_APP はページを提供するクライアントであり、通常はフロントエンドアプリケーションです。このタイプのクライアントについては、認可コードフローがユーザー認証の推奨方法として定義されています。]、tooltip:service[SERVICE は、保護された HTTP リソースのセットを持つクライアントであり、通常は RESTful アーキテクチャー設計に準拠したバックエンドアプリケーションです。このタイプのクライアントについては、ベアラー認可方式がユーザーを認証および認可する推奨方法として定義されています。]、tooltip:hybrid[SERVICEWEB_APP を組み合わせたクライアント。このタイプのクライアントでは、認可ヘッダーが設定されている場合はベアラー認可方式が使用され、設定されていない場合は認可コードフローが使用されます。

service

quarkus.oidc.authorization-path

ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_AUTHORIZATION_PATH

string

 

quarkus.oidc.user-info-path

OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、authentication.user-info-required プロパティーが有効になっている場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_USER_INFO_PATH

string

 

quarkus.oidc.introspection-path

不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_INTROSPECTION_PATH

string

 

quarkus.oidc.jwks-path

JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_JWKS_PATH

string

 

quarkus.oidc.end-session-path

OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、web-app アプリケーションの RP 開始ログアウトサポートが必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_END_SESSION_PATH

string

 

quarkus.oidc.public-key

ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。

環境変数: QUARKUS_OIDC_PUBLIC_KEY

string

 

quarkus.oidc.introspection-credentials.name

名前

環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_NAME

string

 

quarkus.oidc.introspection-credentials.secret

Secret

環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_SECRET

string

 

quarkus.oidc.introspection-credentials.include-client-id

quarkus.oidc.client-id で設定された OpenId Connect クライアント ID を含めます。

環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID

boolean

true

quarkus.oidc.roles.role-claim-path

グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに groups クレームがないが、1 つ以上の異なるクレームにグループが設定されている場合に使用できます。

環境変数: QUARKUS_OIDC_ROLES_ROLE_CLAIM_PATH

文字列のリスト

 

quarkus.oidc.roles.role-claim-separator

複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準 scope 要求にはスペースで区切られたシーケンスを含めることができるため、デフォルトでは 1 つのスペースが使用されます。

環境変数: QUARKUS_OIDC_ROLES_ROLE_CLAIM_SEPARATOR

string

 

quarkus.oidc.roles.source

主なロールのソース。

環境変数: QUARKUS_OIDC_ROLES_SOURCE

ツールチップ:idtoken[ID トークン - web-app アプリケーションのデフォルト値。]、ツールチップ:accesstoken[アクセストークン - service アプリケーションのデフォルト値。web-app アプリケーションのロールのソースとしても使用できます。]、ツールチップ:userinfo[ユーザー情報]

 

quarkus.oidc.token.issuer

予想される発行者 iss クレーム値。このプロパティーは、OpenId Connect プロバイダーの周知の設定で設定されている可能性がある issuer プロパティーをオーバーライドします。iss クレーム値がプロバイダーのホスト、IP アドレス、またはテナント ID によって異なる場合は、このプロパティーを any に設定することで発行者の検証をスキップできますが、他のオプション (固定の iss クレーム値を使用するようにプロバイダーを設定するなど) が不可能な場合にのみ実行する必要があります。

環境変数: QUARKUS_OIDC_TOKEN_ISSUER

string

 

quarkus.oidc.token.audience

予想される audience AUD クレーム値。文字列または文字列の配列になります。audience クレームは、ID トークンに対してデフォルトで検証されることに注意してください。ID トークン audience は、quarkus.oidc.client-id プロパティーの値と同じである必要があります。OpenID Connect プロバイダーが ID トークンに異なる audience クレーム値を設定する場合は、このプロパティーを使用して期待値をオーバーライドします。プロバイダーが ID トークン audience` クレームを設定していない場合は、これを any に設定します。アクセストークンの audience 検証は、このプロパティーが設定されている場合にのみ実行されます。

環境変数: QUARKUS_OIDC_TOKEN_AUDIENCE

文字列のリスト

 

quarkus.oidc.token.subject-required

トークンに、現在のユーザーに対して一意で再割り当てされない識別子である sub (subject) クレームが含まれていることを要求します。このプロパティーを有効にし、UserInfo も必要な場合は、トークンと UserInfo sub クレームの両方が存在し、互いに一致している必要があることに注意してください。

環境変数: QUARKUS_OIDC_TOKEN_SUBJECT_REQUIRED

boolean

false

quarkus.oidc.token.token-type

予想されるトークンの種類

環境変数: QUARKUS_OIDC_TOKEN_TOKEN_TYPE

string

 

quarkus.oidc.token.lifespan-grace

期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。

環境変数: QUARKUS_OIDC_TOKEN_LIFESPAN_GRACE

int

 

quarkus.oidc.token.age

トークンの経過時間。iat (発行時刻) から経過してはならない秒数を指定できます。トークンの有効期限を確認するために quarkus.oidc.token.lifespan-grace で設定できるクロックのずれを考慮するための小さな余裕は、トークンの有効期間プロパティーの検証にも使用できます。このプロパティーを設定しても、Bearer および Code Flow JWT トークンに有効な (exp) 有効期限クレーム値が必要であるという要件は緩和されないことに注意してください。このプロパティーを設定することで要件が緩和される唯一の例外は、ログアウトトークンがバックチャネルログアウト要求とともに送信される場合です。これは、現在の OpenId Connect Back-Channel 仕様では、ログアウトトークンに exp クレームが含まれていることが明示的に要求されていないためです。ただし、現在のログアウトトークンに exp クレームが含まれていない場合でも、ログアウトトークンに exp クレームが含まれている場合は、そのクレームが検証されます。

環境変数: QUARKUS_OIDC_TOKEN_AGE

Duration question circle

 

quarkus.oidc.token.principal-claim

プリンシパル名を含むクレームの名前。デフォルトでは、upnpreferred_username、および sub クレームがチェックされます。

環境変数: QUARKUS_OIDC_TOKEN_PRINCIPAL_CLAIM

string

 

quarkus.oidc.token.refresh-expired

期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、authentication.session-age-extension プロパティーも 0 以外の値に設定する必要があります。このオプションは、アプリケーションのタイプが ApplicationType#WEB_APP の場合にのみ有効です。このプロパティーは、quarkus.oidc.token.refresh-token-time-skew が設定されている場合に有効になります。この場合は、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC_TOKEN_REFRESH_EXPIRED

boolean

false

quarkus.oidc.token.refresh-token-time-skew

更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。

環境変数: QUARKUS_OIDC_TOKEN_REFRESH_TOKEN_TIME_SKEW

Duration question circle

 

quarkus.oidc.token.forced-jwk-refresh-interval

強制的な JWK セットの更新間隔 (分単位)。

環境変数: QUARKUS_OIDC_TOKEN_FORCED_JWK_REFRESH_INTERVAL

Duration question circle

10 M

quarkus.oidc.token.header

ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが ApplicationType#SERVICE の場合にのみ有効です。

環境変数: QUARKUS_OIDC_TOKEN_HEADER

string

 

quarkus.oidc.token.authorization-scheme

HTTP 認可ヘッダースキーム。

環境変数: QUARKUS_OIDC_TOKEN_AUTHORIZATION_SCHEME

string

Bearer

quarkus.oidc.token.signature-algorithm

必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。

環境変数: QUARKUS_OIDC_TOKEN_SIGNATURE_ALGORITHM

rs256, rs384, rs512, ps256, ps384, ps512, es256, es384, es512, eddsa

 

quarkus.oidc.token.decryption-key-location

復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、private_key_jwt クライアント認証方法が使用されている場合、クライアント認証 JWT トークンの署名に使用される秘密鍵は、暗号化された ID トークンの復号にも使用されます。

環境変数: QUARKUS_OIDC_TOKEN_DECRYPTION_KEY_LOCATION

string

 

quarkus.oidc.token.allow-jwt-introspection

一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで true に設定されています。このデフォルト値は、今後のリリースで false に変更される予定です。また、JWK エンドポイント URI が利用できず、トークンのイントロスペクションが唯一の検証オプションである場合、このプロパティーは無視されることに注意してください。

環境変数: QUARKUS_OIDC_TOKEN_ALLOW_JWT_INTROSPECTION

boolean

true

quarkus.oidc.token.require-jwt-introspection-only

JWT トークンはリモートでのみイントロスペクトされるように要求します。

環境変数: QUARKUS_OIDC_TOKEN_REQUIRE_JWT_INTROSPECTION_ONLY

boolean

false

quarkus.oidc.token.allow-opaque-token-introspection

不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを false に設定します。

環境変数: QUARKUS_OIDC_TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION

boolean

true

quarkus.oidc.token.customizer-name

トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム TokenCustomizer を登録するときは、TenantFeature 修飾子を使用することを推奨します。このプロパティーは、このエクステンションによって提供される TokenCustomizer 実装を参照する場合にのみ使用してください。

環境変数: QUARKUS_OIDC_TOKEN_CUSTOMIZER_NAME

string

 

quarkus.oidc.token.verify-access-token-with-user-info

不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。

環境変数: QUARKUS_OIDC_TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO

boolean

false

quarkus.oidc.logout.path

アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。

環境変数: QUARKUS_OIDC_LOGOUT_PATH

string

 

quarkus.oidc.logout.post-logout-path

OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。

環境変数: QUARKUS_OIDC_LOGOUT_POST_LOGOUT_PATH

string

 

quarkus.oidc.logout.post-logout-uri-param

ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。

環境変数: QUARKUS_OIDC_LOGOUT_POST_LOGOUT_URI_PARAM

string

post_logout_redirect_uri

quarkus.oidc.logout.backchannel.path

アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_PATH

string

 

quarkus.oidc.logout.backchannel.token-cache-size

セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_SIZE

int

10

quarkus.oidc.logout.backchannel.token-cache-time-to-live

ログアウトトークンをキャッシュできる時間 (分)。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc.logout.backchannel.clean-up-timer-interval

トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc.logout.backchannel.logout-token-key

トークンをキャッシュするためのキーとして値が使用されるログアウトトークン要求。キーとして使用できるのは、sub (subject) および sid (session id) クレームのみです。OIDC プロバイダーによって発行された ID トークンに sub がなく、sid クレームがある場合にのみ、sid に設定します。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY

string

sub

quarkus.oidc.logout.frontchannel.path

アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC_LOGOUT_FRONTCHANNEL_PATH

string

 

quarkus.oidc.certificate-chain.leaf-certificate-name

リーフ証明書のコモンネーム。この証明書が trust-store-file にインポートされていない場合は設定する必要があります。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_LEAF_CERTIFICATE_NAME

string

 

quarkus.oidc.certificate-chain.trust-store-file

信頼された証明書のサムプリントを保存する Truststore ファイル。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE

path

 

quarkus.oidc.certificate-chain.trust-store-password

trust-store-file で設定されている場合は、トラストストアファイルのパスワードを指定するパラメーター。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_PASSWORD

string

 

quarkus.oidc.certificate-chain.trust-store-cert-alias

トラストストア証明書のエイリアスを指定するためのパラメーター。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc.certificate-chain.trust-store-file-type

トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc.authentication.response-mode

認可コードフローレスポンスモード。

環境変数: QUARKUS_OIDC_AUTHENTICATION_RESPONSE_MODE

tooltip:query[認可レスポンスパラメーターは、redirect_uri に追加されたクエリー文字列にエンコードされます。]、tooltip:form-post[認可レスポンスパラメーターは、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信される HTML フォーム値としてエンコードされます。]

query

quarkus.oidc.authentication.redirect-path

redirect_uri クエリーパラメーターを計算するための相対パス。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、現在のリクエスト URI が https://localhost:8080/service 場合、このプロパティーが / に設定されている場合は redirect_uri パラメーターが https://localhost:8080/ に設定され、このプロパティーが設定されていない場合はリクエスト URI と同じになります。restorePathAfterRedirecttrue に設定されている場合は、ユーザーが認証された後に元のリクエスト URI が復元されることに注意してください。

環境変数: QUARKUS_OIDC_AUTHENTICATION_REDIRECT_PATH

string

 

quarkus.oidc.authentication.restore-path-after-redirect

このプロパティーを true に設定すると、ユーザーがアプリケーションにリダイレクトされた後、認証前に使用された元のリクエスト URI が復元されます。注意: redirectPath プロパティーが設定されていない場合は、このプロパティーが無効になっていても元のリクエスト URI が復元されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT

boolean

false

quarkus.oidc.authentication.remove-redirect-parameters

ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された codestate などのクエリーパラメーターを削除します。

環境変数: QUARKUS_OIDC_AUTHENTICATION_REMOVE_REDIRECT_PARAMETERS

boolean

true

quarkus.oidc.authentication.error-path

OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可 code の代わりに、error とオプションの error_description パラメーターを返します。このプロパティーが設定されている場合、ユーザーは、ユーザーフレンドリーなエラー説明ページを返すことができるエンドポイントにリダイレクトされます。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、これが /error に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、リダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。このプロパティーが設定されていない場合、ユーザー認証が失敗した場合に HTTP 401 ステータスが返されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ERROR_PATH

string

 

quarkus.oidc.authentication.verify-access-token

ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。アクセストークンは、ダウンストリームサービスに伝播されることを意図しているため、デフォルトでは検証されません。アクセストークンが JWT トークンとして注入される場合は、アクセストークンの検証を有効にする必要があります。コードフローの一部として取得されたアクセストークンは、quarkus.oidc.roles.source プロパティーが accesstoken に設定されている場合に、常に検証されます。つまり、承認の決定はアクセストークンから抽出されたロールに基づいて行われます。ベアラーアクセストークンは常に検証されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_VERIFY_ACCESS_TOKEN

boolean

false

quarkus.oidc.authentication.force-redirect-https-scheme

SSL/TLS 終了リバースプロキシーの背後で実行する場合は、redirect_uri パラメータースキームとして https を強制します。このプロパティーを有効にすると、ログアウト post_logout_redirect_uri とローカルリダイレクト要求にも影響します。

環境変数: QUARKUS_OIDC_AUTHENTICATION_FORCE_REDIRECT_HTTPS_SCHEME

boolean

false

quarkus.oidc.authentication.scopes

スコープのリスト

環境変数: QUARKUS_OIDC_AUTHENTICATION_SCOPES

文字列のリスト

 

quarkus.oidc.authentication.nonce-required

ID トークンに nonce 認証要求クエリーパラメーターと一致する nonce クレームが含まれていることを要求します。このプロパティーを有効にすると、リプレイ攻撃を軽減するのに役立ちます。OpenId Connect プロバイダーが ID トークンの nonce 設定をサポートしていない場合、または ID トークンを発行しない GitHub などの OAuth2 プロバイダーを使用している場合は、このプロパティーを有効にしないでください。

環境変数: QUARKUS_OIDC_AUTHENTICATION_NONCE_REQUIRED

boolean

false

quarkus.oidc.authentication.add-openid-scope

openid スコープをスコープのリストに自動的に追加します。これは OpenId Connect プロバイダーには必須ですが、このスコープを受け入れずエラーを出力する Twitter OAuth2 などの OAuth2 プロバイダーでは機能しません。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ADD_OPENID_SCOPE

boolean

true

quarkus.oidc.authentication.forward-params

存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。

環境変数: QUARKUS_OIDC_AUTHENTICATION_FORWARD_PARAMS

文字列のリスト

 

quarkus.oidc.authentication.cookie-force-secure

有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の secure パラメーターが true に設定されます。SSL/TLS 終了リバースプロキシーの背後で実行する場合に必要な場合があります。このプロパティーが false に設定されていても、HTTPS が使用されていれば、Cookie は常にセキュアです。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_FORCE_SECURE

boolean

false

quarkus.oidc.authentication.cookie-suffix

Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は q_session ですが、このプロパティーを test に設定すると q_session_test に変更できます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_SUFFIX

string

 

quarkus.oidc.authentication.cookie-path

Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。cookie-path-header プロパティーが最初にチェックされます (設定されている場合)。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH

string

/

quarkus.oidc.authentication.cookie-path-header

Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、cookie-path プロパティーがチェックされます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH_HEADER

string

 

quarkus.oidc.authentication.cookie-domain

設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_DOMAIN

string

 

quarkus.oidc.authentication.cookie-same-site

セッション Cookie の SameSite 属性。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_SAME_SITE

strict, lax, none

lax

quarkus.oidc.authentication.allow-multiple-code-flows

状態 Cookie が存在する場合は、state クエリーパラメーターも存在する必要があり、リダイレクトパスが現在のパスと一致する場合、状態 Cookie 名の接尾辞と状態 Cookie 値の両方が state クエリーパラメーターの値と一致する必要があります。ただし、同じブラウザーから、たとえば異なるブラウザータブから複数の認証が試行された場合、現在使用可能な状態 Cookie は、別のタブから開始された認証フローを表し、現在のリクエストとは関係がない可能性があります。同じブラウザーで単一の認可コードフローのみを許可するには、このプロパティーを無効にします。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS

boolean

true

quarkus.oidc.authentication.fail-on-missing-state-param

状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。

複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。

このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、java-script-auto-redirect を有効にするか、プロバイダーを redirect-path で設定された URL にリダイレクトさせる必要がある場合があります。

ただし、上記のオプションが適切でない場合は、このプロパティーを false に設定すると役立つ場合があります。これにより、OpenId Connect プロバイダーへの新しい認証リダイレクトが発生します。そうすると、ブラウザーのリダイレクトループのリスクが高まる可能性があります。

環境変数: QUARKUS_OIDC_AUTHENTICATION_FAIL_ON_MISSING_STATE_PARAM

boolean

false

quarkus.oidc.authentication.user-info-required

このプロパティーが true に設定されている場合は、OIDC UserInfo エンドポイントが呼び出されます。このプロパティーは、quarkus.oidc.roles.sourceuserinfo の場合、quarkus.oidc.token.verify-access-token-with-user-infotrue の場合、または quarkus.oidc.authentication.id-token-requiredfalse に設定されている場合に有効になります。これらの場合には、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC_AUTHENTICATION_USER_INFO_REQUIRED

boolean

false

quarkus.oidc.authentication.session-age-extension

セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。token.refresh-expired プロパティーが有効になっていないと、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_SESSION_AGE_EXTENSION

Duration question circle

5 M

quarkus.oidc.authentication.java-script-auto-redirect

このプロパティーが true に設定されている場合、リクエストが XMLHttpRequest または Fetch などの JavaScript API によって開始され、現在のユーザーを (再) 認証する必要がある場合に、通常の 302 リダイレクトレスポンスが返されます。これは、OIDC 認可エンドポイントが通常 CORS をサポートしていない場合、リダイレクトに自動的に従うことが機能しない可能性があるため、シングルページアプリケーション (SPA) には望ましくない可能性があります。

このプロパティーが false に設定されている場合、現在のリクエストを JavaScript リクエストとして識別するリクエストヘッダーが見つかった場合に、SPA がリダイレクトを手動で処理できるように、ステータスコード 499 が返されます。このプロパティーが有効になっている場合、デフォルトでは、値が JavaScript または XMLHttpRequest に設定された X-Requested-With リクエストヘッダーが想定されます。代わりにカスタム JavaScriptRequestChecker を登録して、カスタム JavaScript リクエストチェックを実行することもできます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT

boolean

true

quarkus.oidc.authentication.id-token-required

認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ID_TOKEN_REQUIRED

boolean

true

quarkus.oidc.authentication.internal-id-token-lifespan

内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN

Duration question circle

5 M

quarkus.oidc.authentication.pkce-required

Proof Key for Code Exchange (PKCE) の使用を必須にします。

環境変数: QUARKUS_OIDC_AUTHENTICATION_PKCE_REQUIRED

boolean

false

quarkus.oidc.authentication.state-secret

コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。クライアントシークレットの長さが 32 文字未満の場合、そのクライアントシークレットは状態暗号化シークレットとして使用されません。

これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

シークレットの長さが 16 文字未満の場合、エラーが報告されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_STATE_SECRET

string

 

quarkus.oidc.token-state-manager.strategy

デフォルトの TokenStateManager ストラテジー。

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_STRATEGY

tooltip:keep-all-tokens[ID、アクセストークン、更新トークンを保持します。], tooltip:id-token[ID トークンのみを保持します], tooltip:id-refresh-tokens[ID トークンと更新トークンのみを保持します]

keep-all-tokens

quarkus.oidc.token-state-manager.split-tokens

デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_SPLIT_TOKENS

boolean

false

quarkus.oidc.token-state-manager.encryption-required

デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_REQUIRED

boolean

true

quarkus.oidc.token-state-manager.encryption-secret

encryption-required プロパティーが有効な場合に、トークンを格納するセッション Cookie を暗号化するためにデフォルトの TokenStateManager によって使用されるシークレット。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_SECRET

string

 

quarkus.oidc.allow-token-introspection-cache

トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC_ALLOW_TOKEN_INTROSPECTION_CACHE

boolean

true

quarkus.oidc.allow-user-info-cache

ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC_ALLOW_USER_INFO_CACHE

boolean

true

quarkus.oidc.cache-user-info-in-idtoken

UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。

環境変数: QUARKUS_OIDC_CACHE_USER_INFO_IN_IDTOKEN

boolean

false

quarkus.oidc.jwks.resolve-early

OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。

このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。

環境変数: QUARKUS_OIDC_JWKS_RESOLVE_EARLY

boolean

true

quarkus.oidc.jwks.cache-size

キャッシュできる JWK キーの最大数。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_JWKS_CACHE_SIZE

int

10

quarkus.oidc.jwks.cache-time-to-live

JWK キーをキャッシュできる時間 (分)。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_JWKS_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc.jwks.clean-up-timer-interval

キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_JWKS_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc.provider

周知の OpenId Connect プロバイダー識別子

環境変数: QUARKUS_OIDC_PROVIDER

apple, discord, facebook, github, google, linkedin, mastodon, microsoft, spotify, strava, twitch, twitter, x

 

quarkus.oidc.token-cache.max-size

キャッシュエントリーの最大数。キャッシュを有効にする必要がある場合は、正の値に設定します。

環境変数: QUARKUS_OIDC_TOKEN_CACHE_MAX_SIZE

int

0

quarkus.oidc.token-cache.time-to-live

特定のキャッシュエントリーが有効な最大時間。

環境変数: QUARKUS_OIDC_TOKEN_CACHE_TIME_TO_LIVE

Duration question circle

3M

quarkus.oidc.token-cache.clean-up-timer-interval

タイマー間隔をクリーンアップします。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。

環境変数: QUARKUS_OIDC_TOKEN_CACHE_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

lock quarkus.oidc.devui.grant-options

グラントオプション

環境変数: QUARKUS_OIDC_DEVUI_GRANT_OPTIONS

Map<String,Map<String,String>>

 

quarkus.oidc.credentials.jwt.claims

追加のクレーム。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_CLAIMS

Map<String,String>

 

quarkus.oidc.token.required-claims

必要なクレームとその期待値のマップ。たとえば quarkus.oidc.token.required-claims.org_id = org_xyz の場合、トークンには org_id クレームが存在し、org_xyz に設定されている必要があります。サポートされている型は文字列のみです。SecurityIdentityAugmentor を使用して、他の種類のクレームや複雑なクレームを検証します。

環境変数: QUARKUS_OIDC_TOKEN_REQUIRED_CLAIMS

Map<String,String>

 

quarkus.oidc.logout.extra-params

ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。

環境変数: QUARKUS_OIDC_LOGOUT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc.authentication.extra-params

認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。

環境変数: QUARKUS_OIDC_AUTHENTICATION_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc.code-grant.extra-params

必須の code および redirect-uri パラメーターに加えて、認可コードグラントリクエストを完了するために含めなければならない追加のパラメーター。

環境変数: QUARKUS_OIDC_CODE_GRANT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc.code-grant.headers

認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。

環境変数: QUARKUS_OIDC_CODE_GRANT_HEADERS

Map<String,String>

 

Additional named tenants

デフォルト

quarkus.oidc."tenant".auth-server-url

OpenID Connect (OIDC) サーバーのベース URL (例: https://host:port/auth)。公開鍵の検証 (public-key) または証明書チェーンの検証のみ (certificate-chain) が必要な場合は、このプロパティーを設定しないでください。OIDC 検出エンドポイントは、この URL に .well-known/openid-configuration パスを追加することによって、デフォルトで呼び出されます。Keycloak の場合は、https://host:port/realms/{realm} を使用します。ここで、{realm} を Keycloak レルム名に置き換えます。

環境変数: QUARKUS_OIDC__TENANT__AUTH_SERVER_URL

string

 

quarkus.oidc."tenant".discovery-enabled

OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。

環境変数: QUARKUS_OIDC__TENANT__DISCOVERY_ENABLED

boolean

true

quarkus.oidc."tenant".token-path

アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。discovery-enabledfalse の場合、または検出されたトークンエンドポイントパスをカスタマイズする必要がある場合に設定します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_PATH

string

 

quarkus.oidc."tenant".revoke-path

OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。

環境変数: QUARKUS_OIDC__TENANT__REVOKE_PATH

string

 

quarkus.oidc."tenant".client-id

アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。application-typeservice で、トークンイントロスペクションが不要な場合は、クライアント ID を設定する必要はありません。

環境変数: QUARKUS_OIDC__TENANT__CLIENT_ID

string

 

quarkus.oidc."tenant".connection-delay

OIDC サーバーへの初期接続を試行する期間。たとえば、期間を 20S に設定すると、2 秒間隔で 10 回の再試行が可能になります。このプロパティーは、最初の OIDC 接続が作成された時のみ有効です。接続が切断された場合は、代わりに connection-retry-count プロパティーを使用します。

環境変数: QUARKUS_OIDC__TENANT__CONNECTION_DELAY

Duration question circle

 

quarkus.oidc."tenant".connection-retry-count

既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される connection-delay とは異なります。たとえば、接続の問題により OIDC トークンエンドポイントへのリクエストが失敗した場合、この設定に従って再試行されます。

環境変数: QUARKUS_OIDC__TENANT__CONNECTION_RETRY_COUNT

int

3

quarkus.oidc."tenant".connection-timeout

現在の OIDC 接続リクエストがタイムアウトするまでの秒数。

環境変数: QUARKUS_OIDC__TENANT__CONNECTION_TIMEOUT

Duration question circle

10S

quarkus.oidc."tenant".use-blocking-dns-lookup

DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。

環境変数: QUARKUS_OIDC__TENANT__USE_BLOCKING_DNS_LOOKUP

boolean

false

quarkus.oidc."tenant".max-pool-size

WebClient が使用する接続プールの最大サイズ。

環境変数: QUARKUS_OIDC__TENANT__MAX_POOL_SIZE

int

 

quarkus.oidc."tenant".credentials.secret

client_secret_basic 認証方法で使用されるクライアントシークレット。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。代わりに client-secret.value を使用することもできますが、両方のプロパティーは相互に排他的です。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_SECRET

string

 

quarkus.oidc."tenant".credentials.client-secret.value

クライアントシークレットの値。credentials.secret が設定されている場合、この値は無視されます。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_VALUE

string

 

quarkus.oidc."tenant".credentials.client-secret.provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc."tenant".credentials.client-secret.provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc."tenant".credentials.client-secret.method

認証方法。clientSecret.value シークレットが設定されている場合、この方法はデフォルトで basic になります。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_METHOD

tooltip:basic[client_secret_basic (default): The client id and secret are submitted with the HTTP Authorization Basic scheme.], tooltip:post[client_secret_post: The client id and secret are submitted as the client_id and client_secret form parameters.], tooltip:post-jwt[client_secret_jwt: The client id and generated JWT secret are submitted as the client_id and client_secret form parameters.], tooltip:query[client id and secret are submitted as HTTP query parameters.このオプションは OIDC エクステンションでのみサポートされます。

 

quarkus.oidc."tenant".credentials.jwt.secret

指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET

string

 

quarkus.oidc."tenant".credentials.jwt.secret-provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc."tenant".credentials.jwt.secret-provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc."tenant".credentials.jwt.key-file

指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。signature-algorithm プロパティーを使用して、デフォルトのキーアルゴリズム RS256 をオーバーライドできます。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_FILE

string

 

quarkus.oidc."tenant".credentials.jwt.key-store-file

指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_STORE_FILE

string

 

quarkus.oidc."tenant".credentials.jwt.key-store-password

キーストアファイルのパスワードを指定するためのパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_STORE_PASSWORD

string

 

quarkus.oidc."tenant".credentials.jwt.key-id

秘密鍵の ID またはエイリアス。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_ID

string

 

quarkus.oidc."tenant".credentials.jwt.key-password

秘密鍵のパスワード。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_PASSWORD

string

 

quarkus.oidc."tenant".credentials.jwt.audience

JWT オーディエンス (aud) クレーム値。デフォルトでは、オーディエンスは OpenId Connect プロバイダーのトークンエンドポイントのアドレスに設定されます。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_AUDIENCE

string

 

quarkus.oidc."tenant".credentials.jwt.token-key-id

JWT kid ヘッダーとして追加された署名キーのキー識別子。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_TOKEN_KEY_ID

string

 

quarkus.oidc."tenant".credentials.jwt.issuer

JWT iss クレームとして追加された署名キーの発行者。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_ISSUER

string

 

quarkus.oidc."tenant".credentials.jwt.subject

JWT sub クレームとして追加された署名キーのサブジェクト。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SUBJECT

string

 

quarkus.oidc."tenant".credentials.jwt.claims

追加のクレーム。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_CLAIMS

Map<String,String>

 

quarkus.oidc."tenant".credentials.jwt.signature-algorithm

key-file プロパティーに使用される署名アルゴリズム。サポートされる値: RS256 (デフォルト)、RS384RS512PS256PS384PS512ES256ES384ES512HS256HS384HS512

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SIGNATURE_ALGORITHM

string

 

quarkus.oidc."tenant".credentials.jwt.lifespan

JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_LIFESPAN

int

10

quarkus.oidc."tenant".proxy.host

プロキシーのホスト名または IP アドレス。
注記: OIDC アダプターが OIDC サーバー (プロバイダー) と通信するためにプロキシーを必要とする場合は、この値を設定してプロキシーの使用を有効にします。

環境変数: QUARKUS_OIDC__TENANT__PROXY_HOST

string

 

quarkus.oidc."tenant".proxy.port

プロキシーのポート番号。デフォルト値は 80 です。

環境変数: QUARKUS_OIDC__TENANT__PROXY_PORT

int

80

quarkus.oidc."tenant".proxy.username

プロキシーに認証が必要な場合のユーザー名。

環境変数: QUARKUS_OIDC__TENANT__PROXY_USERNAME

string

 

quarkus.oidc."tenant".proxy.password

プロキシーに認証が必要な場合のパスワード。

環境変数: QUARKUS_OIDC__TENANT__PROXY_PASSWORD

string

 

quarkus.oidc."tenant".tls.verification

証明書の検証とホスト名の検証。次のいずれかの Verification 値になります。デフォルトは required です。

環境変数: QUARKUS_OIDC__TENANT__TLS_VERIFICATION

tooltip:required[[証明書が検証され、ホスト名の検証が有効になっています。これはデフォルト値です。]、tooltip:certificate-validation[証明書は検証されますが、ホスト名の検証は無効になっています。]、tooltip:none[すべての証明書が信頼されており、ホスト名の検証は無効になっています。]

 

quarkus.oidc."tenant".tls.key-store-file

個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_FILE

path

 

quarkus.oidc."tenant".tls.key-store-file-type

キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_FILE_TYPE

string

 

quarkus.oidc."tenant".tls.key-store-provider

キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_PROVIDER

string

 

quarkus.oidc."tenant".tls.key-store-password

キーストアファイルのパスワード。指定しない場合は、デフォルト値の password が使用されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_PASSWORD

string

 

quarkus.oidc."tenant".tls.key-store-key-alias

キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_KEY_ALIAS

string

 

quarkus.oidc."tenant".tls.key-store-key-password

キーのパスワード (key-store-password と異なる場合)。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_KEY_PASSWORD

string

 

quarkus.oidc."tenant".tls.trust-store-file

信頼する証明書の証明書情報を保持するトラストストア。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_FILE

path

 

quarkus.oidc."tenant".tls.trust-store-password

トラストストアファイルのパスワード。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_PASSWORD

string

 

quarkus.oidc."tenant".tls.trust-store-cert-alias

トラストストア証明書のエイリアス。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc."tenant".tls.trust-store-file-type

トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc."tenant".tls.trust-store-provider

トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_PROVIDER

string

 

quarkus.oidc."tenant".tenant-id

一意のテナント識別子。これは、テナント設定を動的に解決する TenantConfigResolver プロバイダーによって設定できます。

環境変数: QUARKUS_OIDC__TENANT__TENANT_ID

string

 

quarkus.oidc."tenant".tenant-enabled

このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する TenantConfigResolver が登録されているか、名前付きテナントが設定されている場合は無効になります。この場合は、デフォルトのテナントを無効にする必要はありません。

環境変数: QUARKUS_OIDC__TENANT__TENANT_ENABLED

boolean

true

quarkus.oidc."tenant".application-type

アプリケーションの種類。次の ApplicationType 値のいずれかになります。

環境変数: QUARKUS_OIDC__TENANT__APPLICATION_TYPE

tooltip:web-app[WEB_APP はページを提供するクライアントであり、通常はフロントエンドアプリケーションです。このタイプのクライアントについては、認可コードフローがユーザー認証の推奨方法として定義されています。]、tooltip:service[SERVICE は、保護された HTTP リソースのセットを持つクライアントであり、通常は RESTful アーキテクチャー設計に準拠したバックエンドアプリケーションです。このタイプのクライアントについては、ベアラー認可方式がユーザーを認証および認可する推奨方法として定義されています。]、tooltip:hybrid[SERVICEWEB_APP を組み合わせたクライアント。このタイプのクライアントでは、認可ヘッダーが設定されている場合はベアラー認可方式が使用され、設定されていない場合は認可コードフローが使用されます。

service

quarkus.oidc."tenant".authorization-path

ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHORIZATION_PATH

string

 

quarkus.oidc."tenant".user-info-path

OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、authentication.user-info-required プロパティーが有効になっている場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__USER_INFO_PATH

string

 

quarkus.oidc."tenant".introspection-path

不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_PATH

string

 

quarkus.oidc."tenant".jwks-path

JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_PATH

string

 

quarkus.oidc."tenant".end-session-path

OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、web-app アプリケーションの RP 開始ログアウトサポートが必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__END_SESSION_PATH

string

 

quarkus.oidc."tenant".public-key

ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。

環境変数: QUARKUS_OIDC__TENANT__PUBLIC_KEY

string

 

quarkus.oidc."tenant".introspection-credentials.name

名前

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_NAME

string

 

quarkus.oidc."tenant".introspection-credentials.secret

Secret

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_SECRET

string

 

quarkus.oidc."tenant".introspection-credentials.include-client-id

quarkus.oidc.client-id で設定された OpenId Connect クライアント ID を含めます。

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID

boolean

true

quarkus.oidc."tenant".roles.role-claim-path

グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに groups クレームがないが、1 つ以上の異なるクレームにグループが設定されている場合に使用できます。

環境変数: QUARKUS_OIDC__TENANT__ROLES_ROLE_CLAIM_PATH

文字列のリスト

 

quarkus.oidc."tenant".roles.role-claim-separator

複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準 scope 要求にはスペースで区切られたシーケンスを含めることができるため、デフォルトでは 1 つのスペースが使用されます。

環境変数: QUARKUS_OIDC__TENANT__ROLES_ROLE_CLAIM_SEPARATOR

string

 

quarkus.oidc."tenant".roles.source

主なロールのソース。

環境変数: QUARKUS_OIDC__TENANT__ROLES_SOURCE

ツールチップ:idtoken[ID トークン - web-app アプリケーションのデフォルト値。]、ツールチップ:accesstoken[アクセストークン - service アプリケーションのデフォルト値。web-app アプリケーションのロールのソースとしても使用できます。]、ツールチップ:userinfo[ユーザー情報]

 

quarkus.oidc."tenant".token.issuer

予想される発行者 iss クレーム値。このプロパティーは、OpenId Connect プロバイダーの周知の設定で設定されている可能性がある issuer プロパティーをオーバーライドします。iss クレーム値がプロバイダーのホスト、IP アドレス、またはテナント ID によって異なる場合は、このプロパティーを any に設定することで発行者の検証をスキップできますが、他のオプション (固定の iss クレーム値を使用するようにプロバイダーを設定するなど) が不可能な場合にのみ実行する必要があります。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_ISSUER

string

 

quarkus.oidc."tenant".token.audience

予想される audience AUD クレーム値。文字列または文字列の配列になります。audience クレームは、ID トークンに対してデフォルトで検証されることに注意してください。ID トークン audience は、quarkus.oidc.client-id プロパティーの値と同じである必要があります。OpenID Connect プロバイダーが ID トークンに異なる audience クレーム値を設定する場合は、このプロパティーを使用して期待値をオーバーライドします。プロバイダーが ID トークン audience` クレームを設定していない場合は、これを any に設定します。アクセストークンの audience 検証は、このプロパティーが設定されている場合にのみ実行されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_AUDIENCE

文字列のリスト

 

quarkus.oidc."tenant".token.subject-required

トークンに、現在のユーザーに対して一意で再割り当てされない識別子である sub (subject) クレームが含まれていることを要求します。このプロパティーを有効にし、UserInfo も必要な場合は、トークンと UserInfo sub クレームの両方が存在し、互いに一致している必要があることに注意してください。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_SUBJECT_REQUIRED

boolean

false

quarkus.oidc."tenant".token.required-claims

必要なクレームとその期待値のマップ。たとえば quarkus.oidc.token.required-claims.org_id = org_xyz の場合、トークンには org_id クレームが存在し、org_xyz に設定されている必要があります。サポートされている型は文字列のみです。SecurityIdentityAugmentor を使用して、他の種類のクレームや複雑なクレームを検証します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REQUIRED_CLAIMS

Map<String,String>

 

quarkus.oidc."tenant".token.token-type

予想されるトークンの種類

環境変数: QUARKUS_OIDC__TENANT__TOKEN_TOKEN_TYPE

string

 

quarkus.oidc."tenant".token.lifespan-grace

期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_LIFESPAN_GRACE

int

 

quarkus.oidc."tenant".token.age

トークンの経過時間。iat (発行時刻) から経過してはならない秒数を指定できます。トークンの有効期限を確認するために quarkus.oidc.token.lifespan-grace で設定できるクロックのずれを考慮するための小さな余裕は、トークンの有効期間プロパティーの検証にも使用できます。このプロパティーを設定しても、Bearer および Code Flow JWT トークンに有効な (exp) 有効期限クレーム値が必要であるという要件は緩和されないことに注意してください。このプロパティーを設定することで要件が緩和される唯一の例外は、ログアウトトークンがバックチャネルログアウト要求とともに送信される場合です。これは、現在の OpenId Connect Back-Channel 仕様では、ログアウトトークンに exp クレームが含まれていることが明示的に要求されていないためです。ただし、現在のログアウトトークンに exp クレームが含まれていない場合でも、ログアウトトークンに exp クレームが含まれている場合は、そのクレームが検証されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_AGE

Duration question circle

 

quarkus.oidc."tenant".token.principal-claim

プリンシパル名を含むクレームの名前。デフォルトでは、upnpreferred_username、および sub クレームがチェックされます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_PRINCIPAL_CLAIM

string

 

quarkus.oidc."tenant".token.refresh-expired

期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、authentication.session-age-extension プロパティーも 0 以外の値に設定する必要があります。このオプションは、アプリケーションのタイプが ApplicationType#WEB_APP の場合にのみ有効です。このプロパティーは、quarkus.oidc.token.refresh-token-time-skew が設定されている場合に有効になります。この場合は、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REFRESH_EXPIRED

boolean

false

quarkus.oidc."tenant".token.refresh-token-time-skew

更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REFRESH_TOKEN_TIME_SKEW

Duration question circle

 

quarkus.oidc."tenant".token.forced-jwk-refresh-interval

強制的な JWK セットの更新間隔 (分単位)。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_FORCED_JWK_REFRESH_INTERVAL

Duration question circle

10 M

quarkus.oidc."tenant".token.header

ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが ApplicationType#SERVICE の場合にのみ有効です。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_HEADER

string

 

quarkus.oidc."tenant".token.authorization-scheme

HTTP 認可ヘッダースキーム。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_AUTHORIZATION_SCHEME

string

Bearer

quarkus.oidc."tenant".token.signature-algorithm

必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_SIGNATURE_ALGORITHM

rs256, rs384, rs512, ps256, ps384, ps512, es256, es384, es512, eddsa

 

quarkus.oidc."tenant".token.decryption-key-location

復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、private_key_jwt クライアント認証方法が使用されている場合、クライアント認証 JWT トークンの署名に使用される秘密鍵は、暗号化された ID トークンの復号にも使用されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_DECRYPTION_KEY_LOCATION

string

 

quarkus.oidc."tenant".token.allow-jwt-introspection

一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで true に設定されています。このデフォルト値は、今後のリリースで false に変更される予定です。また、JWK エンドポイント URI が利用できず、トークンのイントロスペクションが唯一の検証オプションである場合、このプロパティーは無視されることに注意してください。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_ALLOW_JWT_INTROSPECTION

boolean

true

quarkus.oidc."tenant".token.require-jwt-introspection-only

JWT トークンはリモートでのみイントロスペクトされるように要求します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REQUIRE_JWT_INTROSPECTION_ONLY

boolean

false

quarkus.oidc."tenant".token.allow-opaque-token-introspection

不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを false に設定します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION

boolean

true

quarkus.oidc."tenant".token.customizer-name

トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム TokenCustomizer を登録するときは、TenantFeature 修飾子を使用することを推奨します。このプロパティーは、このエクステンションによって提供される TokenCustomizer 実装を参照する場合にのみ使用してください。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_CUSTOMIZER_NAME

string

 

quarkus.oidc."tenant".token.verify-access-token-with-user-info

不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO

boolean

false

quarkus.oidc."tenant".logout.path

アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_PATH

string

 

quarkus.oidc."tenant".logout.post-logout-path

OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_POST_LOGOUT_PATH

string

 

quarkus.oidc."tenant".logout.post-logout-uri-param

ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_POST_LOGOUT_URI_PARAM

string

post_logout_redirect_uri

quarkus.oidc."tenant".logout.extra-params

ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc."tenant".logout.backchannel.path

アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_PATH

string

 

quarkus.oidc."tenant".logout.backchannel.token-cache-size

セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_TOKEN_CACHE_SIZE

int

10

quarkus.oidc."tenant".logout.backchannel.token-cache-time-to-live

ログアウトトークンをキャッシュできる時間 (分)。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc."tenant".logout.backchannel.clean-up-timer-interval

トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc."tenant".logout.backchannel.logout-token-key

トークンをキャッシュするためのキーとして値が使用されるログアウトトークン要求。キーとして使用できるのは、sub (subject) および sid (session id) クレームのみです。OIDC プロバイダーによって発行された ID トークンに sub がなく、sid クレームがある場合にのみ、sid に設定します。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY

string

sub

quarkus.oidc."tenant".logout.frontchannel.path

アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_FRONTCHANNEL_PATH

string

 

quarkus.oidc."tenant".certificate-chain.leaf-certificate-name

リーフ証明書のコモンネーム。この証明書が trust-store-file にインポートされていない場合は設定する必要があります。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_LEAF_CERTIFICATE_NAME

string

 

quarkus.oidc."tenant".certificate-chain.trust-store-file

信頼された証明書のサムプリントを保存する Truststore ファイル。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_FILE

path

 

quarkus.oidc."tenant".certificate-chain.trust-store-password

trust-store-file で設定されている場合は、トラストストアファイルのパスワードを指定するパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_PASSWORD

string

 

quarkus.oidc."tenant".certificate-chain.trust-store-cert-alias

トラストストア証明書のエイリアスを指定するためのパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc."tenant".certificate-chain.trust-store-file-type

トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc."tenant".authentication.response-mode

認可コードフローレスポンスモード。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_RESPONSE_MODE

tooltip:query[認可レスポンスパラメーターは、redirect_uri に追加されたクエリー文字列にエンコードされます。]、tooltip:form-post[認可レスポンスパラメーターは、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信される HTML フォーム値としてエンコードされます。]

query

quarkus.oidc."tenant".authentication.redirect-path

redirect_uri クエリーパラメーターを計算するための相対パス。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、現在のリクエスト URI が https://localhost:8080/service 場合、このプロパティーが / に設定されている場合は redirect_uri パラメーターが https://localhost:8080/ に設定され、このプロパティーが設定されていない場合はリクエスト URI と同じになります。restorePathAfterRedirecttrue に設定されている場合は、ユーザーが認証された後に元のリクエスト URI が復元されることに注意してください。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_REDIRECT_PATH

string

 

quarkus.oidc."tenant".authentication.restore-path-after-redirect

このプロパティーを true に設定すると、ユーザーがアプリケーションにリダイレクトされた後、認証前に使用された元のリクエスト URI が復元されます。注意: redirectPath プロパティーが設定されていない場合は、このプロパティーが無効になっていても元のリクエスト URI が復元されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT

boolean

false

quarkus.oidc."tenant".authentication.remove-redirect-parameters

ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された codestate などのクエリーパラメーターを削除します。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_REMOVE_REDIRECT_PARAMETERS

boolean

true

quarkus.oidc."tenant".authentication.error-path

OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可 code の代わりに、error とオプションの error_description パラメーターを返します。このプロパティーが設定されている場合、ユーザーは、ユーザーフレンドリーなエラー説明ページを返すことができるエンドポイントにリダイレクトされます。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、これが /error に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、リダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。このプロパティーが設定されていない場合、ユーザー認証が失敗した場合に HTTP 401 ステータスが返されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ERROR_PATH

string

 

quarkus.oidc."tenant".authentication.verify-access-token

ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。アクセストークンは、ダウンストリームサービスに伝播されることを意図しているため、デフォルトでは検証されません。アクセストークンが JWT トークンとして注入される場合は、アクセストークンの検証を有効にする必要があります。コードフローの一部として取得されたアクセストークンは、quarkus.oidc.roles.source プロパティーが accesstoken に設定されている場合に、常に検証されます。つまり、承認の決定はアクセストークンから抽出されたロールに基づいて行われます。ベアラーアクセストークンは常に検証されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_VERIFY_ACCESS_TOKEN

boolean

false

quarkus.oidc."tenant".authentication.force-redirect-https-scheme

SSL/TLS 終了リバースプロキシーの背後で実行する場合は、redirect_uri パラメータースキームとして https を強制します。このプロパティーを有効にすると、ログアウト post_logout_redirect_uri とローカルリダイレクト要求にも影響します。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FORCE_REDIRECT_HTTPS_SCHEME

boolean

false

quarkus.oidc."tenant".authentication.scopes

スコープのリスト

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_SCOPES

文字列のリスト

 

quarkus.oidc."tenant".authentication.nonce-required

ID トークンに nonce 認証要求クエリーパラメーターと一致する nonce クレームが含まれていることを要求します。このプロパティーを有効にすると、リプレイ攻撃を軽減するのに役立ちます。OpenId Connect プロバイダーが ID トークンの nonce 設定をサポートしていない場合、または ID トークンを発行しない GitHub などの OAuth2 プロバイダーを使用している場合は、このプロパティーを有効にしないでください。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_NONCE_REQUIRED

boolean

false

quarkus.oidc."tenant".authentication.add-openid-scope

openid スコープをスコープのリストに自動的に追加します。これは OpenId Connect プロバイダーには必須ですが、このスコープを受け入れずエラーを出力する Twitter OAuth2 などの OAuth2 プロバイダーでは機能しません。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ADD_OPENID_SCOPE

boolean

true

quarkus.oidc."tenant".authentication.extra-params

認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc."tenant".authentication.forward-params

存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FORWARD_PARAMS

文字列のリスト

 

quarkus.oidc."tenant".authentication.cookie-force-secure

有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の secure パラメーターが true に設定されます。SSL/TLS 終了リバースプロキシーの背後で実行する場合に必要な場合があります。このプロパティーが false に設定されていても、HTTPS が使用されていれば、Cookie は常にセキュアです。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_FORCE_SECURE

boolean

false

quarkus.oidc."tenant".authentication.cookie-suffix

Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は q_session ですが、このプロパティーを test に設定すると q_session_test に変更できます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_SUFFIX

string

 

quarkus.oidc."tenant".authentication.cookie-path

Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。cookie-path-header プロパティーが最初にチェックされます (設定されている場合)。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_PATH

string

/

quarkus.oidc."tenant".authentication.cookie-path-header

Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、cookie-path プロパティーがチェックされます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_PATH_HEADER

string

 

quarkus.oidc."tenant".authentication.cookie-domain

設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_DOMAIN

string

 

quarkus.oidc."tenant".authentication.cookie-same-site

セッション Cookie の SameSite 属性。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_SAME_SITE

strict, lax, none

lax

quarkus.oidc."tenant".authentication.allow-multiple-code-flows

状態 Cookie が存在する場合は、state クエリーパラメーターも存在する必要があり、リダイレクトパスが現在のパスと一致する場合、状態 Cookie 名の接尾辞と状態 Cookie 値の両方が state クエリーパラメーターの値と一致する必要があります。ただし、同じブラウザーから、たとえば異なるブラウザータブから複数の認証が試行された場合、現在使用可能な状態 Cookie は、別のタブから開始された認証フローを表し、現在のリクエストとは関係がない可能性があります。同じブラウザーで単一の認可コードフローのみを許可するには、このプロパティーを無効にします。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS

boolean

true

quarkus.oidc."tenant".authentication.fail-on-missing-state-param

状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。

複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。

このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、java-script-auto-redirect を有効にするか、プロバイダーを redirect-path で設定された URL にリダイレクトさせる必要がある場合があります。

ただし、上記のオプションが適切でない場合は、このプロパティーを false に設定すると役立つ場合があります。これにより、OpenId Connect プロバイダーへの新しい認証リダイレクトが発生します。そうすると、ブラウザーのリダイレクトループのリスクが高まる可能性があります。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FAIL_ON_MISSING_STATE_PARAM

boolean

false

quarkus.oidc."tenant".authentication.user-info-required

このプロパティーが true に設定されている場合は、OIDC UserInfo エンドポイントが呼び出されます。このプロパティーは、quarkus.oidc.roles.sourceuserinfo の場合、quarkus.oidc.token.verify-access-token-with-user-infotrue の場合、または quarkus.oidc.authentication.id-token-requiredfalse に設定されている場合に有効になります。これらの場合には、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_USER_INFO_REQUIRED

boolean

false

quarkus.oidc."tenant".authentication.session-age-extension

セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。token.refresh-expired プロパティーが有効になっていないと、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_SESSION_AGE_EXTENSION

Duration question circle

5 M

quarkus.oidc."tenant".authentication.java-script-auto-redirect

このプロパティーが true に設定されている場合、リクエストが XMLHttpRequest または Fetch などの JavaScript API によって開始され、現在のユーザーを (再) 認証する必要がある場合に、通常の 302 リダイレクトレスポンスが返されます。これは、OIDC 認可エンドポイントが通常 CORS をサポートしていない場合、リダイレクトに自動的に従うことが機能しない可能性があるため、シングルページアプリケーション (SPA) には望ましくない可能性があります。

このプロパティーが false に設定されている場合、現在のリクエストを JavaScript リクエストとして識別するリクエストヘッダーが見つかった場合に、SPA がリダイレクトを手動で処理できるように、ステータスコード 499 が返されます。このプロパティーが有効になっている場合、デフォルトでは、値が JavaScript または XMLHttpRequest に設定された X-Requested-With リクエストヘッダーが想定されます。代わりにカスタム JavaScriptRequestChecker を登録して、カスタム JavaScript リクエストチェックを実行することもできます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT

boolean

true

quarkus.oidc."tenant".authentication.id-token-required

認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ID_TOKEN_REQUIRED

boolean

true

quarkus.oidc."tenant".authentication.internal-id-token-lifespan

内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN

Duration question circle

5 M

quarkus.oidc."tenant".authentication.pkce-required

Proof Key for Code Exchange (PKCE) の使用を必須にします。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_PKCE_REQUIRED

boolean

false

quarkus.oidc."tenant".authentication.state-secret

コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。クライアントシークレットの長さが 32 文字未満の場合、そのクライアントシークレットは状態暗号化シークレットとして使用されません。

これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

シークレットの長さが 16 文字未満の場合、エラーが報告されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_STATE_SECRET

string

 

quarkus.oidc."tenant".code-grant.extra-params

必須の code および redirect-uri パラメーターに加えて、認可コードグラントリクエストを完了するために含めなければならない追加のパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CODE_GRANT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc."tenant".code-grant.headers

認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。

環境変数: QUARKUS_OIDC__TENANT__CODE_GRANT_HEADERS

Map<String,String>

 

quarkus.oidc."tenant".token-state-manager.strategy

デフォルトの TokenStateManager ストラテジー。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_STRATEGY

tooltip:keep-all-tokens[ID、アクセストークン、更新トークンを保持します。], tooltip:id-token[ID トークンのみを保持します], tooltip:id-refresh-tokens[ID トークンと更新トークンのみを保持します]

keep-all-tokens

quarkus.oidc."tenant".token-state-manager.split-tokens

デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_SPLIT_TOKENS

boolean

false

quarkus.oidc."tenant".token-state-manager.encryption-required

デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_ENCRYPTION_REQUIRED

boolean

true

quarkus.oidc."tenant".token-state-manager.encryption-secret

encryption-required プロパティーが有効な場合に、トークンを格納するセッション Cookie を暗号化するためにデフォルトの TokenStateManager によって使用されるシークレット。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_ENCRYPTION_SECRET

string

 

quarkus.oidc."tenant".allow-token-introspection-cache

トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC__TENANT__ALLOW_TOKEN_INTROSPECTION_CACHE

boolean

true

quarkus.oidc."tenant".allow-user-info-cache

ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC__TENANT__ALLOW_USER_INFO_CACHE

boolean

true

quarkus.oidc."tenant".cache-user-info-in-idtoken

UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。

環境変数: QUARKUS_OIDC__TENANT__CACHE_USER_INFO_IN_IDTOKEN

boolean

false

quarkus.oidc."tenant".jwks.resolve-early

OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。

このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。

環境変数: QUARKUS_OIDC__TENANT__JWKS_RESOLVE_EARLY

boolean

true

quarkus.oidc."tenant".jwks.cache-size

キャッシュできる JWK キーの最大数。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_CACHE_SIZE

int

10

quarkus.oidc."tenant".jwks.cache-time-to-live

JWK キーをキャッシュできる時間 (分)。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc."tenant".jwks.clean-up-timer-interval

キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc."tenant".provider

周知の OpenId Connect プロバイダー識別子

環境変数: QUARKUS_OIDC__TENANT__PROVIDER

apple, discord, facebook, github, google, linkedin, mastodon, microsoft, spotify, strava, twitch, twitter, x

 
duration のフォーマット

duration の値を書き込むには、標準の java.time.Duration フォーマットを使用します。詳細は、Duration#parse() Java API ドキュメント を参照してください。

数字で始まる簡略化されたフォーマットも使用できます。

  • 値が数値のみの場合は、秒単位の時間を表します。
  • 数字の後に ms が続く値は、ミリ秒単位の時間を表します。

その他の場合は、解析のために簡略化されたフォーマットが java.time.Duration フォーマットに変換されます。

  • 数字の後に hm、または s が続く値には、接頭辞 PT が付きます。
  • 数字の後に d が続く値は、接頭辞 P が付きます。

6.1. 参考資料
リンクのコピー

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat