第6章 OpenID Connect (OIDC) 設定プロパティー


Quarkus 開発者は、src/main/resources/application.properties ファイルで次のプロパティーを設定して、Quarkus OpenID Connect (OIDC) エクステンションを設定します。

lock ビルド時に固定された設定プロパティー: その他の設定プロパティーはすべて実行時にオーバーライド可能

設定プロパティー

デフォルト

lock quarkus.keycloak.devservices.enabled

Dev Services を有効 (デフォルト) または無効にするフラグ。有効にすると、Dev Services for Keycloak は、Docker の実行時に、Keycloak を開発モードまたはテストモードで自動的に設定して起動します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_ENABLED

boolean

true

lock quarkus.keycloak.devservices.image-name

Dev Services プロバイダーのコンテナーイメージ名。デフォルトでは、Quarkus ベースの Keycloak イメージになります。WildFly ベースのディストリビューションの場合は、quay.io/keycloak/keycloak:19.0.3-legacy のようなイメージを使用します。Keycloak Quarkus と WildFly イメージは異なる方法で初期化されます。Dev Services for Keycloak は、イメージバージョンが -legacy で終わっていない限り、それが Keycloak Quarkus イメージであると想定します。quarkus.keycloak.devservices.keycloak-x-image を使用したオーバーライド。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_IMAGE_NAME

string

quay.io/keycloak/keycloak:24.0.4

lock quarkus.keycloak.devservices.keycloak-x-image

Keycloak-X イメージが使用されているかどうかを示します。デフォルトでは、イメージはイメージ名の keycloak-x によって識別されます。カスタムイメージの場合は、quarkus.keycloak.devservices.keycloak-x-image を使用したオーバーライドです。デフォルトのチェックが機能する場合は、このプロパティーを設定する必要はありません。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_KEYCLOAK_X_IMAGE

boolean

 

lock quarkus.keycloak.devservices.shared

Keycloak コンテナーが共有されているかどうかを決定します。共有されると、Quarkus はラベルベースのサービス検出を使用して実行中の Keycloak コンテナーを見つけて再利用するため、2 番目のコンテナーは起動しません。一致するコンテナーが見つからない場合は、新しいコンテナーが起動します。サービス検出では、quarkus-dev-service-label ラベルが使用されます。このラベルの値は、service-name プロパティーによって設定されます。コンテナー共有は開発モードでのみ利用可能です。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SHARED

boolean

true

lock quarkus.keycloak.devservices.service-name

Keycloak コンテナーを識別するための quarkus-dev-service-keycloak ラベルの値。共有モードで使用され、このラベルを持つ既存のコンテナーを検索します。見つからない場合は、このラベルで新しいコンテナーが初期化されます。開発モードでのみ適用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SERVICE_NAME

string

quarkus

lock quarkus.keycloak.devservices.realm-path

Keycloak レルムファイルへのクラスまたはファイルシステムパスのコンマ区切りリスト。このリストは Keycloak を初期化するために使用されます。このリストの最初の値は、デフォルトのテナント接続プロパティーを初期化するために使用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_REALM_PATH

文字列のリスト

 

lock quarkus.keycloak.devservices.java-opts

keycloak JVM に渡される JAVA_OPTS

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_JAVA_OPTS

string

 

lock quarkus.keycloak.devservices.show-logs

"Keycloak:" という接頭辞が付いた Keycloak ログメッセージを表示します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SHOW_LOGS

boolean

false

lock quarkus.keycloak.devservices.start-command

Keycloak 開始コマンド。このプロパティーを使用して、Keycloak の起動オプションを試してください。https://www.keycloak.org/server/all-config を参照してください。注意: 従来の Keycloak WildFly イメージをロードする場合は無視されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_START_COMMAND

string

 

lock quarkus.keycloak.devservices.realm-name

Keycloak レルムの名前。このプロパティーは、realm-path プロパティーによって指定されたレルムファイルが存在しない場合に、レルムを作成するために使用されます。この場合のデフォルト値は quarkus です。Dev Services for Keycloak がレルムファイルを解析せずにレルム名を識別できるように、このプロパティーを常に設定することを推奨します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_REALM_NAME

string

 

lock quarkus.keycloak.devservices.create-realm

realm-path にレルムファイルが見つからない場合に Keycloak レルムを作成するかどうかを指定します。Keycloak 管理コンソールまたは io.quarkus.test.common.QuarkusTestResourceLifecycleManager によって提供される Keycloak 管理 API を使用してレルムを作成する場合は、false に設定します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_CREATE_REALM

boolean

true

lock quarkus.keycloak.devservices.port

開発サービスがリッスンする特定のポート。

指定しない場合はランダムなポートが選択されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_PORT

int

 

lock quarkus.keycloak.devservices.resource-aliases

Keycloak を初期化するために使用される追加のクラスまたはファイルシステムリソースへのエイリアス。各マップエントリーは、エイリアスとクラスまたはファイルシステムリソースパス間のマッピングを表します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_ALIASES

Map<String,String>

 

lock quarkus.keycloak.devservices.resource-mappings

Keycloak を初期化するために使用される追加のクラスまたはファイルシステムリソース。各マップエントリーは、クラスまたはファイルシステムリソースパスエイリアスと Keycloak コンテナーの場所間のマッピングを表します。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_MAPPINGS

Map<String,String>

 

lock quarkus.keycloak.devservices.users

Keycloak ユーザー名とパスワードのマップ。空の場合、デフォルトのユーザー alicebob が作成され、その名前がパスワードとして使用されます。このマップは、realm-path にレルムファイルが見つからない場合にユーザーの作成に使用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_USERS

Map<String,String>

 

lock quarkus.keycloak.devservices.roles

Keycloak ユーザーのロールのマップ。空の場合、デフォルトのロールが割り当てられます。alice には admin ロールと user ロールが割り当てられ、他のユーザーには user ロールが割り当てられます。このマップは、realm-path にレルムファイルが見つからない場合にロールの作成に使用されます。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_ROLES

Map<String,List<String>>

 

lock quarkus.keycloak.devservices.container-env

コンテナーに渡される環境変数。

環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_CONTAINER_ENV

Map<String,String>

 

lock quarkus.oidc.enabled

OIDC エクステンションが有効になっている場合。

環境変数: QUARKUS_OIDC_ENABLED

boolean

true

lock quarkus.oidc.devui.grant.type

OIDC 'service' アプリケーションをテストするためのトークンを取得するために使用されるグラントタイプ

環境変数: QUARKUS_OIDC_DEVUI_GRANT_TYPE

tooltip:client['client_credentials' グラント]、tooltip:password['password' グラント]、tooltip:code['authorization_code' グラント]、tooltip:implicit['implicit' グラント]

 

lock quarkus.oidc.devui.web-client-timeout

WebClient のタイムアウト。このプロパティーを使用して、OpenId Connect Provider からトークンを要求し、それをサービスエンドポイントに送信するときに、Dev UI ハンドラーによって使用される HTTP クライアントが応答を待機する時間を設定します。このタイムアウトは、OIDC 開発サービス管理クライアントでも使用されます。

環境変数: QUARKUS_OIDC_DEVUI_WEB_CLIENT_TIMEOUT

Duration question circle

4S

lock quarkus.oidc.default-token-cache-enabled

デフォルトの TokenIntrospection および UserInfo Cache 実装 Bean の登録を有効にします。注記: これにより、デフォルトの実装のみが有効になります。有効にするには設定が必要です。OidcConfig#tokenCache を参照してください。

環境変数: QUARKUS_OIDC_DEFAULT_TOKEN_CACHE_ENABLED

boolean

true

quarkus.oidc.auth-server-url

OpenID Connect (OIDC) サーバーのベース URL (例: https://host:port/auth)。公開鍵の検証 (public-key) または証明書チェーンの検証のみ (certificate-chain) が必要な場合は、このプロパティーを設定しないでください。OIDC 検出エンドポイントは、この URL に .well-known/openid-configuration パスを追加することによって、デフォルトで呼び出されます。Keycloak の場合は、https://host:port/realms/{realm} を使用します。ここで、{realm} を Keycloak レルム名に置き換えます。

環境変数: QUARKUS_OIDC_AUTH_SERVER_URL

string

 

quarkus.oidc.discovery-enabled

OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。

環境変数: QUARKUS_OIDC_DISCOVERY_ENABLED

boolean

true

quarkus.oidc.token-path

アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。discovery-enabledfalse の場合、または検出されたトークンエンドポイントパスをカスタマイズする必要がある場合に設定します。

環境変数: QUARKUS_OIDC_TOKEN_PATH

string

 

quarkus.oidc.revoke-path

OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。

環境変数: QUARKUS_OIDC_REVOKE_PATH

string

 

quarkus.oidc.client-id

アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。application-typeservice で、トークンイントロスペクションが不要な場合は、クライアント ID を設定する必要はありません。

環境変数: QUARKUS_OIDC_CLIENT_ID

string

 

quarkus.oidc.connection-delay

OIDC サーバーへの初期接続を試行する期間。たとえば、期間を 20S に設定すると、2 秒間隔で 10 回の再試行が可能になります。このプロパティーは、最初の OIDC 接続が作成された時のみ有効です。接続が切断された場合は、代わりに connection-retry-count プロパティーを使用します。

環境変数: QUARKUS_OIDC_CONNECTION_DELAY

Duration question circle

 

quarkus.oidc.connection-retry-count

既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される connection-delay とは異なります。たとえば、接続の問題により OIDC トークンエンドポイントへのリクエストが失敗した場合、この設定に従って再試行されます。

環境変数: QUARKUS_OIDC_CONNECTION_RETRY_COUNT

int

3

quarkus.oidc.connection-timeout

現在の OIDC 接続リクエストがタイムアウトするまでの秒数。

環境変数: QUARKUS_OIDC_CONNECTION_TIMEOUT

Duration question circle

10S

quarkus.oidc.use-blocking-dns-lookup

DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。

環境変数: QUARKUS_OIDC_USE_BLOCKING_DNS_LOOKUP

boolean

false

quarkus.oidc.max-pool-size

WebClient が使用する接続プールの最大サイズ。

環境変数: QUARKUS_OIDC_MAX_POOL_SIZE

int

 

quarkus.oidc.credentials.secret

client_secret_basic 認証方法で使用されるクライアントシークレット。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。代わりに client-secret.value を使用することもできますが、両方のプロパティーは相互に排他的です。

環境変数: QUARKUS_OIDC_CREDENTIALS_SECRET

string

 

quarkus.oidc.credentials.client-secret.value

クライアントシークレットの値。credentials.secret が設定されている場合、この値は無視されます。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_VALUE

string

 

quarkus.oidc.credentials.client-secret.provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc.credentials.client-secret.provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc.credentials.client-secret.method

認証方法。clientSecret.value シークレットが設定されている場合、このメソッドはデフォルトで basic になります。

環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_METHOD

tooltip:basic[client_secret_basic (default): The client id and secret are submitted with the HTTP Authorization Basic scheme.], tooltip:post[client_secret_post: The client id and secret are submitted as the client_id and client_secret form parameters.], tooltip:post-jwt[client_secret_jwt: The client id and generated JWT secret are submitted as the client_id and client_secret form parameters.], tooltip:query[client id and secret are submitted as HTTP query parameters.このオプションは OIDC エクステンションでのみサポートされます。

 

quarkus.oidc.credentials.jwt.secret

指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET

string

 

quarkus.oidc.credentials.jwt.secret-provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc.credentials.jwt.secret-provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc.credentials.jwt.key-file

指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。signature-algorithm プロパティーを使用して、デフォルトのキーアルゴリズム RS256 をオーバーライドできます。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_FILE

string

 

quarkus.oidc.credentials.jwt.key-store-file

指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_FILE

string

 

quarkus.oidc.credentials.jwt.key-store-password

キーストアファイルのパスワードを指定するためのパラメーター。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_PASSWORD

string

 

quarkus.oidc.credentials.jwt.key-id

秘密鍵の ID またはエイリアス。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_ID

string

 

quarkus.oidc.credentials.jwt.key-password

秘密鍵のパスワード。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_PASSWORD

string

 

quarkus.oidc.credentials.jwt.audience

JWT オーディエンス (aud) クレーム値。デフォルトでは、オーディエンスは OpenId Connect プロバイダーのトークンエンドポイントのアドレスに設定されます。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_AUDIENCE

string

 

quarkus.oidc.credentials.jwt.token-key-id

JWT kid ヘッダーとして追加された署名キーのキー識別子。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_TOKEN_KEY_ID

string

 

quarkus.oidc.credentials.jwt.issuer

JWT iss クレームとして追加された署名キーの発行者。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_ISSUER

string

 

quarkus.oidc.credentials.jwt.subject

JWT sub クレームとして追加された署名キーのサブジェクト。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SUBJECT

string

 

quarkus.oidc.credentials.jwt.signature-algorithm

key-file プロパティーに使用される署名アルゴリズム。サポートされる値: RS256 (デフォルト)、RS384RS512PS256PS384PS512ES256ES384ES512HS256HS384HS512

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SIGNATURE_ALGORITHM

string

 

quarkus.oidc.credentials.jwt.lifespan

JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_LIFESPAN

int

10

quarkus.oidc.proxy.host

プロキシーのホスト名または IP アドレス。
注記: OIDC アダプターが OIDC サーバー (プロバイダー) と通信するためにプロキシーを必要とする場合は、この値を設定してプロキシーの使用を有効にします。

環境変数: QUARKUS_OIDC_PROXY_HOST

string

 

quarkus.oidc.proxy.port

プロキシーのポート番号。デフォルト値は 80 です。

環境変数: QUARKUS_OIDC_PROXY_PORT

int

80

quarkus.oidc.proxy.username

プロキシーに認証が必要な場合のユーザー名。

環境変数: QUARKUS_OIDC_PROXY_USERNAME

string

 

quarkus.oidc.proxy.password

プロキシーに認証が必要な場合のパスワード。

環境変数: QUARKUS_OIDC_PROXY_PASSWORD

string

 

quarkus.oidc.tls.verification

証明書の検証とホスト名の検証。次のいずれかの Verification 値になります。デフォルトは required です。

環境変数: QUARKUS_OIDC_TLS_VERIFICATION

tooltip:required[[証明書が検証され、ホスト名の検証が有効になっています。これはデフォルト値です。]、tooltip:certificate-validation[証明書は検証されますが、ホスト名の検証は無効になっています。]、tooltip:none[すべての証明書が信頼されており、ホスト名の検証は無効になっています。]

 

quarkus.oidc.tls.key-store-file

個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_FILE

path

 

quarkus.oidc.tls.key-store-file-type

キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_FILE_TYPE

string

 

quarkus.oidc.tls.key-store-provider

キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_PROVIDER

string

 

quarkus.oidc.tls.key-store-password

キーストアファイルのパスワード。指定しない場合は、デフォルト値の password が使用されます。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_PASSWORD

string

 

quarkus.oidc.tls.key-store-key-alias

キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_KEY_ALIAS

string

 

quarkus.oidc.tls.key-store-key-password

キーのパスワード (key-store-password と異なる場合)。

環境変数: QUARKUS_OIDC_TLS_KEY_STORE_KEY_PASSWORD

string

 

quarkus.oidc.tls.trust-store-file

信頼する証明書の証明書情報を保持するトラストストア。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_FILE

path

 

quarkus.oidc.tls.trust-store-password

トラストストアファイルのパスワード。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_PASSWORD

string

 

quarkus.oidc.tls.trust-store-cert-alias

トラストストア証明書のエイリアス。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc.tls.trust-store-file-type

トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc.tls.trust-store-provider

トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_PROVIDER

string

 

quarkus.oidc.tenant-id

一意のテナント識別子。これは、テナント設定を動的に解決する TenantConfigResolver プロバイダーによって設定できます。

環境変数: QUARKUS_OIDC_TENANT_ID

string

 

quarkus.oidc.tenant-enabled

このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する TenantConfigResolver が登録されているか、名前付きテナントが設定されている場合は無効になります。この場合は、デフォルトのテナントを無効にする必要はありません。

環境変数: QUARKUS_OIDC_TENANT_ENABLED

boolean

true

quarkus.oidc.application-type

アプリケーションの種類。次の ApplicationType 値のいずれかになります。

環境変数: QUARKUS_OIDC_APPLICATION_TYPE

tooltip:web-app[WEB_APP はページを提供するクライアントであり、通常はフロントエンドアプリケーションです。このタイプのクライアントについては、認可コードフローがユーザー認証の推奨方法として定義されています。]、tooltip:service[SERVICE は、保護された HTTP リソースのセットを持つクライアントであり、通常は RESTful アーキテクチャー設計に準拠したバックエンドアプリケーションです。このタイプのクライアントについては、ベアラー認可方式がユーザーを認証および認可する推奨方法として定義されています。]、tooltip:hybrid[SERVICEWEB_APP を組み合わせたクライアント。このタイプのクライアントでは、認可ヘッダーが設定されている場合はベアラー認可方式が使用され、設定されていない場合は認可コードフローが使用されます。

service

quarkus.oidc.authorization-path

ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_AUTHORIZATION_PATH

string

 

quarkus.oidc.user-info-path

OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、authentication.user-info-required プロパティーが有効になっている場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_USER_INFO_PATH

string

 

quarkus.oidc.introspection-path

不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_INTROSPECTION_PATH

string

 

quarkus.oidc.jwks-path

JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_JWKS_PATH

string

 

quarkus.oidc.end-session-path

OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、web-app アプリケーションの RP 開始ログアウトサポートが必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC_END_SESSION_PATH

string

 

quarkus.oidc.public-key

ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。

環境変数: QUARKUS_OIDC_PUBLIC_KEY

string

 

quarkus.oidc.introspection-credentials.name

名前

環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_NAME

string

 

quarkus.oidc.introspection-credentials.secret

Secret

環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_SECRET

string

 

quarkus.oidc.introspection-credentials.include-client-id

quarkus.oidc.client-id で設定された OpenId Connect クライアント ID を含めます。

環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID

boolean

true

quarkus.oidc.roles.role-claim-path

グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに groups クレームがないが、1 つ以上の異なるクレームにグループが設定されている場合に使用できます。

環境変数: QUARKUS_OIDC_ROLES_ROLE_CLAIM_PATH

文字列のリスト

 

quarkus.oidc.roles.role-claim-separator

複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準 scope 要求にはスペースで区切られたシーケンスを含めることができるため、デフォルトでは 1 つのスペースが使用されます。

環境変数: QUARKUS_OIDC_ROLES_ROLE_CLAIM_SEPARATOR

string

 

quarkus.oidc.roles.source

主なロールのソース。

環境変数: QUARKUS_OIDC_ROLES_SOURCE

ツールチップ:idtoken[ID トークン - web-app アプリケーションのデフォルト値。]、ツールチップ:accesstoken[アクセストークン - service アプリケーションのデフォルト値。web-app アプリケーションのロールのソースとしても使用できます。]、ツールチップ:userinfo[ユーザー情報]

 

quarkus.oidc.token.issuer

予想される発行者 iss クレーム値。このプロパティーは、OpenId Connect プロバイダーの周知の設定で設定されている可能性がある issuer プロパティーをオーバーライドします。iss クレーム値がプロバイダーのホスト、IP アドレス、またはテナント ID によって異なる場合は、このプロパティーを any に設定することで発行者の検証をスキップできますが、他のオプション (固定の iss クレーム値を使用するようにプロバイダーを設定するなど) が不可能な場合にのみ実行する必要があります。

環境変数: QUARKUS_OIDC_TOKEN_ISSUER

string

 

quarkus.oidc.token.audience

予想される audience AUD クレーム値。文字列または文字列の配列になります。audience クレームは、ID トークンに対してデフォルトで検証されることに注意してください。ID トークン audience は、quarkus.oidc.client-id プロパティーの値と同じである必要があります。OpenID Connect プロバイダーが ID トークンに異なる audience クレーム値を設定する場合は、このプロパティーを使用して期待値をオーバーライドします。プロバイダーが ID トークン audience` クレームを設定していない場合は、これを any に設定します。アクセストークンの audience 検証は、このプロパティーが設定されている場合にのみ実行されます。

環境変数: QUARKUS_OIDC_TOKEN_AUDIENCE

文字列のリスト

 

quarkus.oidc.token.subject-required

トークンに、現在のユーザーに対して一意で再割り当てされない識別子である sub (subject) クレームが含まれていることを要求します。このプロパティーを有効にし、UserInfo も必要な場合は、トークンと UserInfo sub クレームの両方が存在し、互いに一致している必要があることに注意してください。

環境変数: QUARKUS_OIDC_TOKEN_SUBJECT_REQUIRED

boolean

false

quarkus.oidc.token.token-type

予想されるトークンの種類

環境変数: QUARKUS_OIDC_TOKEN_TOKEN_TYPE

string

 

quarkus.oidc.token.lifespan-grace

期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。

環境変数: QUARKUS_OIDC_TOKEN_LIFESPAN_GRACE

int

 

quarkus.oidc.token.age

トークンの経過時間。iat (発行時刻) から経過してはならない秒数を指定できます。トークンの有効期限を確認するために quarkus.oidc.token.lifespan-grace で設定できるクロックのずれを考慮するための小さな余裕は、トークンの有効期間プロパティーの検証にも使用できます。このプロパティーを設定しても、Bearer および Code Flow JWT トークンに有効な (exp) 有効期限クレーム値が必要であるという要件は緩和されないことに注意してください。このプロパティーを設定することで要件が緩和される唯一の例外は、ログアウトトークンがバックチャネルログアウト要求とともに送信される場合です。これは、現在の OpenId Connect Back-Channel 仕様では、ログアウトトークンに exp クレームが含まれていることが明示的に要求されていないためです。ただし、現在のログアウトトークンに exp クレームが含まれていない場合でも、ログアウトトークンに exp クレームが含まれている場合は、そのクレームが検証されます。

環境変数: QUARKUS_OIDC_TOKEN_AGE

Duration question circle

 

quarkus.oidc.token.principal-claim

プリンシパル名を含むクレームの名前。デフォルトでは、upnpreferred_username、および sub クレームがチェックされます。

環境変数: QUARKUS_OIDC_TOKEN_PRINCIPAL_CLAIM

string

 

quarkus.oidc.token.refresh-expired

期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、authentication.session-age-extension プロパティーも 0 以外の値に設定する必要があります。このオプションは、アプリケーションのタイプが ApplicationType#WEB_APP の場合にのみ有効です。このプロパティーは、quarkus.oidc.token.refresh-token-time-skew が設定されている場合に有効になります。この場合は、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC_TOKEN_REFRESH_EXPIRED

boolean

false

quarkus.oidc.token.refresh-token-time-skew

更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。

環境変数: QUARKUS_OIDC_TOKEN_REFRESH_TOKEN_TIME_SKEW

Duration question circle

 

quarkus.oidc.token.forced-jwk-refresh-interval

強制的な JWK セットの更新間隔 (分単位)。

環境変数: QUARKUS_OIDC_TOKEN_FORCED_JWK_REFRESH_INTERVAL

Duration question circle

10 M

quarkus.oidc.token.header

ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが ApplicationType#SERVICE の場合にのみ有効です。

環境変数: QUARKUS_OIDC_TOKEN_HEADER

string

 

quarkus.oidc.token.authorization-scheme

HTTP 認可ヘッダースキーム。

環境変数: QUARKUS_OIDC_TOKEN_AUTHORIZATION_SCHEME

string

Bearer

quarkus.oidc.token.signature-algorithm

必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。

環境変数: QUARKUS_OIDC_TOKEN_SIGNATURE_ALGORITHM

rs256, rs384, rs512, ps256, ps384, ps512, es256, es384, es512, eddsa

 

quarkus.oidc.token.decryption-key-location

復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、private_key_jwt クライアント認証方法が使用されている場合、クライアント認証 JWT トークンの署名に使用される秘密鍵は、暗号化された ID トークンの復号にも使用されます。

環境変数: QUARKUS_OIDC_TOKEN_DECRYPTION_KEY_LOCATION

string

 

quarkus.oidc.token.allow-jwt-introspection

一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで true に設定されています。このデフォルト値は、今後のリリースで false に変更される予定です。また、JWK エンドポイント URI が利用できず、トークンのイントロスペクションが唯一の検証オプションである場合、このプロパティーは無視されることに注意してください。

環境変数: QUARKUS_OIDC_TOKEN_ALLOW_JWT_INTROSPECTION

boolean

true

quarkus.oidc.token.require-jwt-introspection-only

JWT トークンはリモートでのみイントロスペクトされるように要求します。

環境変数: QUARKUS_OIDC_TOKEN_REQUIRE_JWT_INTROSPECTION_ONLY

boolean

false

quarkus.oidc.token.allow-opaque-token-introspection

不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを false に設定します。

環境変数: QUARKUS_OIDC_TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION

boolean

true

quarkus.oidc.token.customizer-name

トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム TokenCustomizer を登録するときは、TenantFeature 修飾子を使用することを推奨します。このプロパティーは、このエクステンションによって提供される TokenCustomizer 実装を参照する場合にのみ使用してください。

環境変数: QUARKUS_OIDC_TOKEN_CUSTOMIZER_NAME

string

 

quarkus.oidc.token.verify-access-token-with-user-info

不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。

環境変数: QUARKUS_OIDC_TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO

boolean

false

quarkus.oidc.logout.path

アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。

環境変数: QUARKUS_OIDC_LOGOUT_PATH

string

 

quarkus.oidc.logout.post-logout-path

OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。

環境変数: QUARKUS_OIDC_LOGOUT_POST_LOGOUT_PATH

string

 

quarkus.oidc.logout.post-logout-uri-param

ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。

環境変数: QUARKUS_OIDC_LOGOUT_POST_LOGOUT_URI_PARAM

string

post_logout_redirect_uri

quarkus.oidc.logout.backchannel.path

アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_PATH

string

 

quarkus.oidc.logout.backchannel.token-cache-size

セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_SIZE

int

10

quarkus.oidc.logout.backchannel.token-cache-time-to-live

ログアウトトークンをキャッシュできる時間 (分)。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc.logout.backchannel.clean-up-timer-interval

トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc.logout.backchannel.logout-token-key

トークンをキャッシュするためのキーとして値が使用されるログアウトトークン要求。キーとして使用できるのは、sub (subject) および sid (session id) クレームのみです。OIDC プロバイダーによって発行された ID トークンに sub がなく、sid クレームがある場合にのみ、sid に設定します。

環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY

string

sub

quarkus.oidc.logout.frontchannel.path

アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC_LOGOUT_FRONTCHANNEL_PATH

string

 

quarkus.oidc.certificate-chain.leaf-certificate-name

リーフ証明書のコモンネーム。この証明書が trust-store-file にインポートされていない場合は設定する必要があります。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_LEAF_CERTIFICATE_NAME

string

 

quarkus.oidc.certificate-chain.trust-store-file

信頼された証明書のサムプリントを保存する Truststore ファイル。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE

path

 

quarkus.oidc.certificate-chain.trust-store-password

trust-store-file で設定されている場合は、トラストストアファイルのパスワードを指定するパラメーター。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_PASSWORD

string

 

quarkus.oidc.certificate-chain.trust-store-cert-alias

トラストストア証明書のエイリアスを指定するためのパラメーター。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc.certificate-chain.trust-store-file-type

トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc.authentication.response-mode

認可コードフローレスポンスモード。

環境変数: QUARKUS_OIDC_AUTHENTICATION_RESPONSE_MODE

tooltip:query[認可レスポンスパラメーターは、redirect_uri に追加されたクエリー文字列にエンコードされます。]、tooltip:form-post[認可レスポンスパラメーターは、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信される HTML フォーム値としてエンコードされます。]

query

quarkus.oidc.authentication.redirect-path

redirect_uri クエリーパラメーターを計算するための相対パス。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、現在のリクエスト URI が https://localhost:8080/service 場合、このプロパティーが / に設定されている場合は redirect_uri パラメーターが https://localhost:8080/ に設定され、このプロパティーが設定されていない場合はリクエスト URI と同じになります。restorePathAfterRedirecttrue に設定されている場合は、ユーザーが認証された後に元のリクエスト URI が復元されることに注意してください。

環境変数: QUARKUS_OIDC_AUTHENTICATION_REDIRECT_PATH

string

 

quarkus.oidc.authentication.restore-path-after-redirect

このプロパティーを true に設定すると、ユーザーがアプリケーションにリダイレクトされた後、認証前に使用された元のリクエスト URI が復元されます。注意: redirectPath プロパティーが設定されていない場合は、このプロパティーが無効になっていても元のリクエスト URI が復元されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT

boolean

false

quarkus.oidc.authentication.remove-redirect-parameters

ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された codestate などのクエリーパラメーターを削除します。

環境変数: QUARKUS_OIDC_AUTHENTICATION_REMOVE_REDIRECT_PARAMETERS

boolean

true

quarkus.oidc.authentication.error-path

OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可 code の代わりに、error とオプションの error_description パラメーターを返します。このプロパティーが設定されている場合、ユーザーは、ユーザーフレンドリーなエラー説明ページを返すことができるエンドポイントにリダイレクトされます。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、これが /error に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、リダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。このプロパティーが設定されていない場合、ユーザー認証が失敗した場合に HTTP 401 ステータスが返されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ERROR_PATH

string

 

quarkus.oidc.authentication.verify-access-token

ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。アクセストークンは、ダウンストリームサービスに伝播されることを意図しているため、デフォルトでは検証されません。アクセストークンが JWT トークンとして注入される場合は、アクセストークンの検証を有効にする必要があります。コードフローの一部として取得されたアクセストークンは、quarkus.oidc.roles.source プロパティーが accesstoken に設定されている場合に、常に検証されます。つまり、承認の決定はアクセストークンから抽出されたロールに基づいて行われます。ベアラーアクセストークンは常に検証されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_VERIFY_ACCESS_TOKEN

boolean

false

quarkus.oidc.authentication.force-redirect-https-scheme

SSL/TLS 終了リバースプロキシーの背後で実行する場合は、redirect_uri パラメータースキームとして https を強制します。このプロパティーを有効にすると、ログアウト post_logout_redirect_uri とローカルリダイレクト要求にも影響します。

環境変数: QUARKUS_OIDC_AUTHENTICATION_FORCE_REDIRECT_HTTPS_SCHEME

boolean

false

quarkus.oidc.authentication.scopes

スコープのリスト

環境変数: QUARKUS_OIDC_AUTHENTICATION_SCOPES

文字列のリスト

 

quarkus.oidc.authentication.nonce-required

ID トークンに nonce 認証要求クエリーパラメーターと一致する nonce クレームが含まれていることを要求します。このプロパティーを有効にすると、リプレイ攻撃を軽減するのに役立ちます。OpenId Connect プロバイダーが ID トークンの nonce 設定をサポートしていない場合、または ID トークンを発行しない GitHub などの OAuth2 プロバイダーを使用している場合は、このプロパティーを有効にしないでください。

環境変数: QUARKUS_OIDC_AUTHENTICATION_NONCE_REQUIRED

boolean

false

quarkus.oidc.authentication.add-openid-scope

openid スコープをスコープのリストに自動的に追加します。これは OpenId Connect プロバイダーには必須ですが、このスコープを受け入れずエラーを出力する Twitter OAuth2 などの OAuth2 プロバイダーでは機能しません。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ADD_OPENID_SCOPE

boolean

true

quarkus.oidc.authentication.forward-params

存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。

環境変数: QUARKUS_OIDC_AUTHENTICATION_FORWARD_PARAMS

文字列のリスト

 

quarkus.oidc.authentication.cookie-force-secure

有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の secure パラメーターが true に設定されます。SSL/TLS 終了リバースプロキシーの背後で実行する場合に必要な場合があります。このプロパティーが false に設定されていても、HTTPS が使用されていれば、Cookie は常にセキュアです。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_FORCE_SECURE

boolean

false

quarkus.oidc.authentication.cookie-suffix

Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は q_session ですが、このプロパティーを test に設定すると q_session_test に変更できます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_SUFFIX

string

 

quarkus.oidc.authentication.cookie-path

Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。cookie-path-header プロパティーが最初にチェックされます (設定されている場合)。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH

string

/

quarkus.oidc.authentication.cookie-path-header

Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、cookie-path プロパティーがチェックされます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH_HEADER

string

 

quarkus.oidc.authentication.cookie-domain

設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_DOMAIN

string

 

quarkus.oidc.authentication.cookie-same-site

セッション Cookie の SameSite 属性。

環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_SAME_SITE

strict, lax, none

lax

quarkus.oidc.authentication.allow-multiple-code-flows

状態 Cookie が存在する場合は、state クエリーパラメーターも存在する必要があり、リダイレクトパスが現在のパスと一致する場合、状態 Cookie 名の接尾辞と状態 Cookie 値の両方が state クエリーパラメーターの値と一致する必要があります。ただし、同じブラウザーから、たとえば異なるブラウザータブから複数の認証が試行された場合、現在使用可能な状態 Cookie は、別のタブから開始された認証フローを表し、現在のリクエストとは関係がない可能性があります。同じブラウザーで単一の認可コードフローのみを許可するには、このプロパティーを無効にします。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS

boolean

true

quarkus.oidc.authentication.fail-on-missing-state-param

状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。

複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。

このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、java-script-auto-redirect を有効にするか、プロバイダーを redirect-path で設定された URL にリダイレクトさせる必要がある場合があります。

ただし、上記のオプションが適切でない場合は、このプロパティーを false に設定すると役立つ場合があります。これにより、OpenId Connect プロバイダーへの新しい認証リダイレクトが発生します。そうすると、ブラウザーのリダイレクトループのリスクが高まる可能性があります。

環境変数: QUARKUS_OIDC_AUTHENTICATION_FAIL_ON_MISSING_STATE_PARAM

boolean

false

quarkus.oidc.authentication.user-info-required

このプロパティーが true に設定されている場合は、OIDC UserInfo エンドポイントが呼び出されます。このプロパティーは、quarkus.oidc.roles.sourceuserinfo の場合、quarkus.oidc.token.verify-access-token-with-user-infotrue の場合、または quarkus.oidc.authentication.id-token-requiredfalse に設定されている場合に有効になります。これらの場合には、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC_AUTHENTICATION_USER_INFO_REQUIRED

boolean

false

quarkus.oidc.authentication.session-age-extension

セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。token.refresh-expired プロパティーが有効になっていないと、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_SESSION_AGE_EXTENSION

Duration question circle

5 M

quarkus.oidc.authentication.java-script-auto-redirect

このプロパティーが true に設定されている場合、リクエストが XMLHttpRequest または Fetch などの JavaScript API によって開始され、現在のユーザーを (再) 認証する必要がある場合に、通常の 302 リダイレクトレスポンスが返されます。これは、OIDC 認可エンドポイントが通常 CORS をサポートしていない場合、リダイレクトに自動的に従うことが機能しない可能性があるため、シングルページアプリケーション (SPA) には望ましくない可能性があります。

このプロパティーが false に設定されている場合、現在のリクエストを JavaScript リクエストとして識別するリクエストヘッダーが見つかった場合に、SPA がリダイレクトを手動で処理できるように、ステータスコード 499 が返されます。このプロパティーが有効になっている場合、デフォルトでは、値が JavaScript または XMLHttpRequest に設定された X-Requested-With リクエストヘッダーが想定されます。代わりにカスタム JavaScriptRequestChecker を登録して、カスタム JavaScript リクエストチェックを実行することもできます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT

boolean

true

quarkus.oidc.authentication.id-token-required

認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_ID_TOKEN_REQUIRED

boolean

true

quarkus.oidc.authentication.internal-id-token-lifespan

内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN

Duration question circle

5 M

quarkus.oidc.authentication.pkce-required

Proof Key for Code Exchange (PKCE) の使用を必須にします。

環境変数: QUARKUS_OIDC_AUTHENTICATION_PKCE_REQUIRED

boolean

false

quarkus.oidc.authentication.state-secret

コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。クライアントシークレットの長さが 32 文字未満の場合、そのクライアントシークレットは状態暗号化シークレットとして使用されません。

これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

シークレットの長さが 16 文字未満の場合、エラーが報告されます。

環境変数: QUARKUS_OIDC_AUTHENTICATION_STATE_SECRET

string

 

quarkus.oidc.token-state-manager.strategy

デフォルトの TokenStateManager ストラテジー。

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_STRATEGY

tooltip:keep-all-tokens[ID、アクセストークン、更新トークンを保持します。], tooltip:id-token[ID トークンのみを保持します], tooltip:id-refresh-tokens[ID トークンと更新トークンのみを保持します]

keep-all-tokens

quarkus.oidc.token-state-manager.split-tokens

デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_SPLIT_TOKENS

boolean

false

quarkus.oidc.token-state-manager.encryption-required

デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_REQUIRED

boolean

true

quarkus.oidc.token-state-manager.encryption-secret

encryption-required プロパティーが有効な場合に、トークンを格納するセッション Cookie を暗号化するためにデフォルトの TokenStateManager によって使用されるシークレット。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。

環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_SECRET

string

 

quarkus.oidc.allow-token-introspection-cache

トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC_ALLOW_TOKEN_INTROSPECTION_CACHE

boolean

true

quarkus.oidc.allow-user-info-cache

ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC_ALLOW_USER_INFO_CACHE

boolean

true

quarkus.oidc.cache-user-info-in-idtoken

UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。

環境変数: QUARKUS_OIDC_CACHE_USER_INFO_IN_IDTOKEN

boolean

false

quarkus.oidc.jwks.resolve-early

OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。

このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。

環境変数: QUARKUS_OIDC_JWKS_RESOLVE_EARLY

boolean

true

quarkus.oidc.jwks.cache-size

キャッシュできる JWK キーの最大数。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_JWKS_CACHE_SIZE

int

10

quarkus.oidc.jwks.cache-time-to-live

JWK キーをキャッシュできる時間 (分)。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_JWKS_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc.jwks.clean-up-timer-interval

キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC_JWKS_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc.provider

周知の OpenId Connect プロバイダー識別子

環境変数: QUARKUS_OIDC_PROVIDER

apple, discord, facebook, github, google, linkedin, mastodon, microsoft, spotify, strava, twitch, twitter, x

 

quarkus.oidc.token-cache.max-size

キャッシュエントリーの最大数。キャッシュを有効にする必要がある場合は、正の値に設定します。

環境変数: QUARKUS_OIDC_TOKEN_CACHE_MAX_SIZE

int

0

quarkus.oidc.token-cache.time-to-live

特定のキャッシュエントリーが有効な最大時間。

環境変数: QUARKUS_OIDC_TOKEN_CACHE_TIME_TO_LIVE

Duration question circle

3M

quarkus.oidc.token-cache.clean-up-timer-interval

タイマー間隔をクリーンアップします。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。

環境変数: QUARKUS_OIDC_TOKEN_CACHE_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

lock quarkus.oidc.devui.grant-options

グラントオプション

環境変数: QUARKUS_OIDC_DEVUI_GRANT_OPTIONS

Map<String,Map<String,String>>

 

quarkus.oidc.credentials.jwt.claims

追加のクレーム。

環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_CLAIMS

Map<String,String>

 

quarkus.oidc.token.required-claims

必要なクレームとその期待値のマップ。たとえば quarkus.oidc.token.required-claims.org_id = org_xyz の場合、トークンには org_id クレームが存在し、org_xyz に設定されている必要があります。サポートされている型は文字列のみです。SecurityIdentityAugmentor を使用して、他の種類のクレームや複雑なクレームを検証します。

環境変数: QUARKUS_OIDC_TOKEN_REQUIRED_CLAIMS

Map<String,String>

 

quarkus.oidc.logout.extra-params

ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。

環境変数: QUARKUS_OIDC_LOGOUT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc.authentication.extra-params

認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。

環境変数: QUARKUS_OIDC_AUTHENTICATION_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc.code-grant.extra-params

必須の code および redirect-uri パラメーターに加えて、認可コードグラントリクエストを完了するために含めなければならない追加のパラメーター。

環境変数: QUARKUS_OIDC_CODE_GRANT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc.code-grant.headers

認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。

環境変数: QUARKUS_OIDC_CODE_GRANT_HEADERS

Map<String,String>

 

Additional named tenants

デフォルト

quarkus.oidc."tenant".auth-server-url

OpenID Connect (OIDC) サーバーのベース URL (例: https://host:port/auth)。公開鍵の検証 (public-key) または証明書チェーンの検証のみ (certificate-chain) が必要な場合は、このプロパティーを設定しないでください。OIDC 検出エンドポイントは、この URL に .well-known/openid-configuration パスを追加することによって、デフォルトで呼び出されます。Keycloak の場合は、https://host:port/realms/{realm} を使用します。ここで、{realm} を Keycloak レルム名に置き換えます。

環境変数: QUARKUS_OIDC__TENANT__AUTH_SERVER_URL

string

 

quarkus.oidc."tenant".discovery-enabled

OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。

環境変数: QUARKUS_OIDC__TENANT__DISCOVERY_ENABLED

boolean

true

quarkus.oidc."tenant".token-path

アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。discovery-enabledfalse の場合、または検出されたトークンエンドポイントパスをカスタマイズする必要がある場合に設定します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_PATH

string

 

quarkus.oidc."tenant".revoke-path

OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。

環境変数: QUARKUS_OIDC__TENANT__REVOKE_PATH

string

 

quarkus.oidc."tenant".client-id

アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。application-typeservice で、トークンイントロスペクションが不要な場合は、クライアント ID を設定する必要はありません。

環境変数: QUARKUS_OIDC__TENANT__CLIENT_ID

string

 

quarkus.oidc."tenant".connection-delay

OIDC サーバーへの初期接続を試行する期間。たとえば、期間を 20S に設定すると、2 秒間隔で 10 回の再試行が可能になります。このプロパティーは、最初の OIDC 接続が作成された時のみ有効です。接続が切断された場合は、代わりに connection-retry-count プロパティーを使用します。

環境変数: QUARKUS_OIDC__TENANT__CONNECTION_DELAY

Duration question circle

 

quarkus.oidc."tenant".connection-retry-count

既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される connection-delay とは異なります。たとえば、接続の問題により OIDC トークンエンドポイントへのリクエストが失敗した場合、この設定に従って再試行されます。

環境変数: QUARKUS_OIDC__TENANT__CONNECTION_RETRY_COUNT

int

3

quarkus.oidc."tenant".connection-timeout

現在の OIDC 接続リクエストがタイムアウトするまでの秒数。

環境変数: QUARKUS_OIDC__TENANT__CONNECTION_TIMEOUT

Duration question circle

10S

quarkus.oidc."tenant".use-blocking-dns-lookup

DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。

環境変数: QUARKUS_OIDC__TENANT__USE_BLOCKING_DNS_LOOKUP

boolean

false

quarkus.oidc."tenant".max-pool-size

WebClient が使用する接続プールの最大サイズ。

環境変数: QUARKUS_OIDC__TENANT__MAX_POOL_SIZE

int

 

quarkus.oidc."tenant".credentials.secret

client_secret_basic 認証方法で使用されるクライアントシークレット。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。代わりに client-secret.value を使用することもできますが、両方のプロパティーは相互に排他的です。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_SECRET

string

 

quarkus.oidc."tenant".credentials.client-secret.value

クライアントシークレットの値。credentials.secret が設定されている場合、この値は無視されます。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_VALUE

string

 

quarkus.oidc."tenant".credentials.client-secret.provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc."tenant".credentials.client-secret.provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc."tenant".credentials.client-secret.method

認証方法。clientSecret.value シークレットが設定されている場合、このメソッドはデフォルトで basic になります。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_METHOD

tooltip:basic[client_secret_basic (default): The client id and secret are submitted with the HTTP Authorization Basic scheme.], tooltip:post[client_secret_post: The client id and secret are submitted as the client_id and client_secret form parameters.], tooltip:post-jwt[client_secret_jwt: The client id and generated JWT secret are submitted as the client_id and client_secret form parameters.], tooltip:query[client id and secret are submitted as HTTP query parameters.このオプションは OIDC エクステンションでのみサポートされます。

 

quarkus.oidc."tenant".credentials.jwt.secret

指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET

string

 

quarkus.oidc."tenant".credentials.jwt.secret-provider.name

CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET_PROVIDER_NAME

string

 

quarkus.oidc."tenant".credentials.jwt.secret-provider.key

CredentialsProvider クライアントのシークレットキー

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET_PROVIDER_KEY

string

 

quarkus.oidc."tenant".credentials.jwt.key-file

指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。signature-algorithm プロパティーを使用して、デフォルトのキーアルゴリズム RS256 をオーバーライドできます。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_FILE

string

 

quarkus.oidc."tenant".credentials.jwt.key-store-file

指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_STORE_FILE

string

 

quarkus.oidc."tenant".credentials.jwt.key-store-password

キーストアファイルのパスワードを指定するためのパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_STORE_PASSWORD

string

 

quarkus.oidc."tenant".credentials.jwt.key-id

秘密鍵の ID またはエイリアス。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_ID

string

 

quarkus.oidc."tenant".credentials.jwt.key-password

秘密鍵のパスワード。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_PASSWORD

string

 

quarkus.oidc."tenant".credentials.jwt.audience

JWT オーディエンス (aud) クレーム値。デフォルトでは、オーディエンスは OpenId Connect プロバイダーのトークンエンドポイントのアドレスに設定されます。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_AUDIENCE

string

 

quarkus.oidc."tenant".credentials.jwt.token-key-id

JWT kid ヘッダーとして追加された署名キーのキー識別子。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_TOKEN_KEY_ID

string

 

quarkus.oidc."tenant".credentials.jwt.issuer

JWT iss クレームとして追加された署名キーの発行者。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_ISSUER

string

 

quarkus.oidc."tenant".credentials.jwt.subject

JWT sub クレームとして追加された署名キーのサブジェクト。デフォルト値はクライアント ID です。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SUBJECT

string

 

quarkus.oidc."tenant".credentials.jwt.claims

追加のクレーム。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_CLAIMS

Map<String,String>

 

quarkus.oidc."tenant".credentials.jwt.signature-algorithm

key-file プロパティーに使用される署名アルゴリズム。サポートされる値: RS256 (デフォルト)、RS384RS512PS256PS384PS512ES256ES384ES512HS256HS384HS512

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SIGNATURE_ALGORITHM

string

 

quarkus.oidc."tenant".credentials.jwt.lifespan

JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。

環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_LIFESPAN

int

10

quarkus.oidc."tenant".proxy.host

プロキシーのホスト名または IP アドレス。
注記: OIDC アダプターが OIDC サーバー (プロバイダー) と通信するためにプロキシーを必要とする場合は、この値を設定してプロキシーの使用を有効にします。

環境変数: QUARKUS_OIDC__TENANT__PROXY_HOST

string

 

quarkus.oidc."tenant".proxy.port

プロキシーのポート番号。デフォルト値は 80 です。

環境変数: QUARKUS_OIDC__TENANT__PROXY_PORT

int

80

quarkus.oidc."tenant".proxy.username

プロキシーに認証が必要な場合のユーザー名。

環境変数: QUARKUS_OIDC__TENANT__PROXY_USERNAME

string

 

quarkus.oidc."tenant".proxy.password

プロキシーに認証が必要な場合のパスワード。

環境変数: QUARKUS_OIDC__TENANT__PROXY_PASSWORD

string

 

quarkus.oidc."tenant".tls.verification

証明書の検証とホスト名の検証。次のいずれかの Verification 値になります。デフォルトは required です。

環境変数: QUARKUS_OIDC__TENANT__TLS_VERIFICATION

tooltip:required[[証明書が検証され、ホスト名の検証が有効になっています。これはデフォルト値です。]、tooltip:certificate-validation[証明書は検証されますが、ホスト名の検証は無効になっています。]、tooltip:none[すべての証明書が信頼されており、ホスト名の検証は無効になっています。]

 

quarkus.oidc."tenant".tls.key-store-file

個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_FILE

path

 

quarkus.oidc."tenant".tls.key-store-file-type

キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_FILE_TYPE

string

 

quarkus.oidc."tenant".tls.key-store-provider

キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_PROVIDER

string

 

quarkus.oidc."tenant".tls.key-store-password

キーストアファイルのパスワード。指定しない場合は、デフォルト値の password が使用されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_PASSWORD

string

 

quarkus.oidc."tenant".tls.key-store-key-alias

キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_KEY_ALIAS

string

 

quarkus.oidc."tenant".tls.key-store-key-password

キーのパスワード (key-store-password と異なる場合)。

環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_KEY_PASSWORD

string

 

quarkus.oidc."tenant".tls.trust-store-file

信頼する証明書の証明書情報を保持するトラストストア。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_FILE

path

 

quarkus.oidc."tenant".tls.trust-store-password

トラストストアファイルのパスワード。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_PASSWORD

string

 

quarkus.oidc."tenant".tls.trust-store-cert-alias

トラストストア証明書のエイリアス。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc."tenant".tls.trust-store-file-type

トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc."tenant".tls.trust-store-provider

トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。

環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_PROVIDER

string

 

quarkus.oidc."tenant".tenant-id

一意のテナント識別子。これは、テナント設定を動的に解決する TenantConfigResolver プロバイダーによって設定できます。

環境変数: QUARKUS_OIDC__TENANT__TENANT_ID

string

 

quarkus.oidc."tenant".tenant-enabled

このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する TenantConfigResolver が登録されているか、名前付きテナントが設定されている場合は無効になります。この場合は、デフォルトのテナントを無効にする必要はありません。

環境変数: QUARKUS_OIDC__TENANT__TENANT_ENABLED

boolean

true

quarkus.oidc."tenant".application-type

アプリケーションの種類。次の ApplicationType 値のいずれかになります。

環境変数: QUARKUS_OIDC__TENANT__APPLICATION_TYPE

tooltip:web-app[WEB_APP はページを提供するクライアントであり、通常はフロントエンドアプリケーションです。このタイプのクライアントについては、認可コードフローがユーザー認証の推奨方法として定義されています。]、tooltip:service[SERVICE は、保護された HTTP リソースのセットを持つクライアントであり、通常は RESTful アーキテクチャー設計に準拠したバックエンドアプリケーションです。このタイプのクライアントについては、ベアラー認可方式がユーザーを認証および認可する推奨方法として定義されています。]、tooltip:hybrid[SERVICEWEB_APP を組み合わせたクライアント。このタイプのクライアントでは、認可ヘッダーが設定されている場合はベアラー認可方式が使用され、設定されていない場合は認可コードフローが使用されます。

service

quarkus.oidc."tenant".authorization-path

ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHORIZATION_PATH

string

 

quarkus.oidc."tenant".user-info-path

OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、authentication.user-info-required プロパティーが有効になっている場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__USER_INFO_PATH

string

 

quarkus.oidc."tenant".introspection-path

不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_PATH

string

 

quarkus.oidc."tenant".jwks-path

JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_PATH

string

 

quarkus.oidc."tenant".end-session-path

OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、web-app アプリケーションの RP 開始ログアウトサポートが必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。

環境変数: QUARKUS_OIDC__TENANT__END_SESSION_PATH

string

 

quarkus.oidc."tenant".public-key

ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。

環境変数: QUARKUS_OIDC__TENANT__PUBLIC_KEY

string

 

quarkus.oidc."tenant".introspection-credentials.name

名前

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_NAME

string

 

quarkus.oidc."tenant".introspection-credentials.secret

Secret

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_SECRET

string

 

quarkus.oidc."tenant".introspection-credentials.include-client-id

quarkus.oidc.client-id で設定された OpenId Connect クライアント ID を含めます。

環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID

boolean

true

quarkus.oidc."tenant".roles.role-claim-path

グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに groups クレームがないが、1 つ以上の異なるクレームにグループが設定されている場合に使用できます。

環境変数: QUARKUS_OIDC__TENANT__ROLES_ROLE_CLAIM_PATH

文字列のリスト

 

quarkus.oidc."tenant".roles.role-claim-separator

複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準 scope 要求にはスペースで区切られたシーケンスを含めることができるため、デフォルトでは 1 つのスペースが使用されます。

環境変数: QUARKUS_OIDC__TENANT__ROLES_ROLE_CLAIM_SEPARATOR

string

 

quarkus.oidc."tenant".roles.source

主なロールのソース。

環境変数: QUARKUS_OIDC__TENANT__ROLES_SOURCE

ツールチップ:idtoken[ID トークン - web-app アプリケーションのデフォルト値。]、ツールチップ:accesstoken[アクセストークン - service アプリケーションのデフォルト値。web-app アプリケーションのロールのソースとしても使用できます。]、ツールチップ:userinfo[ユーザー情報]

 

quarkus.oidc."tenant".token.issuer

予想される発行者 iss クレーム値。このプロパティーは、OpenId Connect プロバイダーの周知の設定で設定されている可能性がある issuer プロパティーをオーバーライドします。iss クレーム値がプロバイダーのホスト、IP アドレス、またはテナント ID によって異なる場合は、このプロパティーを any に設定することで発行者の検証をスキップできますが、他のオプション (固定の iss クレーム値を使用するようにプロバイダーを設定するなど) が不可能な場合にのみ実行する必要があります。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_ISSUER

string

 

quarkus.oidc."tenant".token.audience

予想される audience AUD クレーム値。文字列または文字列の配列になります。audience クレームは、ID トークンに対してデフォルトで検証されることに注意してください。ID トークン audience は、quarkus.oidc.client-id プロパティーの値と同じである必要があります。OpenID Connect プロバイダーが ID トークンに異なる audience クレーム値を設定する場合は、このプロパティーを使用して期待値をオーバーライドします。プロバイダーが ID トークン audience` クレームを設定していない場合は、これを any に設定します。アクセストークンの audience 検証は、このプロパティーが設定されている場合にのみ実行されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_AUDIENCE

文字列のリスト

 

quarkus.oidc."tenant".token.subject-required

トークンに、現在のユーザーに対して一意で再割り当てされない識別子である sub (subject) クレームが含まれていることを要求します。このプロパティーを有効にし、UserInfo も必要な場合は、トークンと UserInfo sub クレームの両方が存在し、互いに一致している必要があることに注意してください。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_SUBJECT_REQUIRED

boolean

false

quarkus.oidc."tenant".token.required-claims

必要なクレームとその期待値のマップ。たとえば quarkus.oidc.token.required-claims.org_id = org_xyz の場合、トークンには org_id クレームが存在し、org_xyz に設定されている必要があります。サポートされている型は文字列のみです。SecurityIdentityAugmentor を使用して、他の種類のクレームや複雑なクレームを検証します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REQUIRED_CLAIMS

Map<String,String>

 

quarkus.oidc."tenant".token.token-type

予想されるトークンの種類

環境変数: QUARKUS_OIDC__TENANT__TOKEN_TOKEN_TYPE

string

 

quarkus.oidc."tenant".token.lifespan-grace

期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_LIFESPAN_GRACE

int

 

quarkus.oidc."tenant".token.age

トークンの経過時間。iat (発行時刻) から経過してはならない秒数を指定できます。トークンの有効期限を確認するために quarkus.oidc.token.lifespan-grace で設定できるクロックのずれを考慮するための小さな余裕は、トークンの有効期間プロパティーの検証にも使用できます。このプロパティーを設定しても、Bearer および Code Flow JWT トークンに有効な (exp) 有効期限クレーム値が必要であるという要件は緩和されないことに注意してください。このプロパティーを設定することで要件が緩和される唯一の例外は、ログアウトトークンがバックチャネルログアウト要求とともに送信される場合です。これは、現在の OpenId Connect Back-Channel 仕様では、ログアウトトークンに exp クレームが含まれていることが明示的に要求されていないためです。ただし、現在のログアウトトークンに exp クレームが含まれていない場合でも、ログアウトトークンに exp クレームが含まれている場合は、そのクレームが検証されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_AGE

Duration question circle

 

quarkus.oidc."tenant".token.principal-claim

プリンシパル名を含むクレームの名前。デフォルトでは、upnpreferred_username、および sub クレームがチェックされます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_PRINCIPAL_CLAIM

string

 

quarkus.oidc."tenant".token.refresh-expired

期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、authentication.session-age-extension プロパティーも 0 以外の値に設定する必要があります。このオプションは、アプリケーションのタイプが ApplicationType#WEB_APP の場合にのみ有効です。このプロパティーは、quarkus.oidc.token.refresh-token-time-skew が設定されている場合に有効になります。この場合は、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REFRESH_EXPIRED

boolean

false

quarkus.oidc."tenant".token.refresh-token-time-skew

更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REFRESH_TOKEN_TIME_SKEW

Duration question circle

 

quarkus.oidc."tenant".token.forced-jwk-refresh-interval

強制的な JWK セットの更新間隔 (分単位)。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_FORCED_JWK_REFRESH_INTERVAL

Duration question circle

10 M

quarkus.oidc."tenant".token.header

ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが ApplicationType#SERVICE の場合にのみ有効です。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_HEADER

string

 

quarkus.oidc."tenant".token.authorization-scheme

HTTP 認可ヘッダースキーム。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_AUTHORIZATION_SCHEME

string

Bearer

quarkus.oidc."tenant".token.signature-algorithm

必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_SIGNATURE_ALGORITHM

rs256, rs384, rs512, ps256, ps384, ps512, es256, es384, es512, eddsa

 

quarkus.oidc."tenant".token.decryption-key-location

復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、private_key_jwt クライアント認証方法が使用されている場合、クライアント認証 JWT トークンの署名に使用される秘密鍵は、暗号化された ID トークンの復号にも使用されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_DECRYPTION_KEY_LOCATION

string

 

quarkus.oidc."tenant".token.allow-jwt-introspection

一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで true に設定されています。このデフォルト値は、今後のリリースで false に変更される予定です。また、JWK エンドポイント URI が利用できず、トークンのイントロスペクションが唯一の検証オプションである場合、このプロパティーは無視されることに注意してください。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_ALLOW_JWT_INTROSPECTION

boolean

true

quarkus.oidc."tenant".token.require-jwt-introspection-only

JWT トークンはリモートでのみイントロスペクトされるように要求します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_REQUIRE_JWT_INTROSPECTION_ONLY

boolean

false

quarkus.oidc."tenant".token.allow-opaque-token-introspection

不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを false に設定します。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION

boolean

true

quarkus.oidc."tenant".token.customizer-name

トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム TokenCustomizer を登録するときは、TenantFeature 修飾子を使用することを推奨します。このプロパティーは、このエクステンションによって提供される TokenCustomizer 実装を参照する場合にのみ使用してください。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_CUSTOMIZER_NAME

string

 

quarkus.oidc."tenant".token.verify-access-token-with-user-info

不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO

boolean

false

quarkus.oidc."tenant".logout.path

アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_PATH

string

 

quarkus.oidc."tenant".logout.post-logout-path

OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_POST_LOGOUT_PATH

string

 

quarkus.oidc."tenant".logout.post-logout-uri-param

ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_POST_LOGOUT_URI_PARAM

string

post_logout_redirect_uri

quarkus.oidc."tenant".logout.extra-params

ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc."tenant".logout.backchannel.path

アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_PATH

string

 

quarkus.oidc."tenant".logout.backchannel.token-cache-size

セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_TOKEN_CACHE_SIZE

int

10

quarkus.oidc."tenant".logout.backchannel.token-cache-time-to-live

ログアウトトークンをキャッシュできる時間 (分)。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc."tenant".logout.backchannel.clean-up-timer-interval

トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc."tenant".logout.backchannel.logout-token-key

トークンをキャッシュするためのキーとして値が使用されるログアウトトークン要求。キーとして使用できるのは、sub (subject) および sid (session id) クレームのみです。OIDC プロバイダーによって発行された ID トークンに sub がなく、sid クレームがある場合にのみ、sid に設定します。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY

string

sub

quarkus.oidc."tenant".logout.frontchannel.path

アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。

環境変数: QUARKUS_OIDC__TENANT__LOGOUT_FRONTCHANNEL_PATH

string

 

quarkus.oidc."tenant".certificate-chain.leaf-certificate-name

リーフ証明書のコモンネーム。この証明書が trust-store-file にインポートされていない場合は設定する必要があります。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_LEAF_CERTIFICATE_NAME

string

 

quarkus.oidc."tenant".certificate-chain.trust-store-file

信頼された証明書のサムプリントを保存する Truststore ファイル。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_FILE

path

 

quarkus.oidc."tenant".certificate-chain.trust-store-password

trust-store-file で設定されている場合は、トラストストアファイルのパスワードを指定するパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_PASSWORD

string

 

quarkus.oidc."tenant".certificate-chain.trust-store-cert-alias

トラストストア証明書のエイリアスを指定するためのパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS

string

 

quarkus.oidc."tenant".certificate-chain.trust-store-file-type

トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。

環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_FILE_TYPE

string

 

quarkus.oidc."tenant".authentication.response-mode

認可コードフローレスポンスモード。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_RESPONSE_MODE

tooltip:query[認可レスポンスパラメーターは、redirect_uri に追加されたクエリー文字列にエンコードされます。]、tooltip:form-post[認可レスポンスパラメーターは、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信される HTML フォーム値としてエンコードされます。]

query

quarkus.oidc."tenant".authentication.redirect-path

redirect_uri クエリーパラメーターを計算するための相対パス。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、現在のリクエスト URI が https://localhost:8080/service 場合、このプロパティーが / に設定されている場合は redirect_uri パラメーターが https://localhost:8080/ に設定され、このプロパティーが設定されていない場合はリクエスト URI と同じになります。restorePathAfterRedirecttrue に設定されている場合は、ユーザーが認証された後に元のリクエスト URI が復元されることに注意してください。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_REDIRECT_PATH

string

 

quarkus.oidc."tenant".authentication.restore-path-after-redirect

このプロパティーを true に設定すると、ユーザーがアプリケーションにリダイレクトされた後、認証前に使用された元のリクエスト URI が復元されます。注意: redirectPath プロパティーが設定されていない場合は、このプロパティーが無効になっていても元のリクエスト URI が復元されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT

boolean

false

quarkus.oidc."tenant".authentication.remove-redirect-parameters

ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された codestate などのクエリーパラメーターを削除します。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_REMOVE_REDIRECT_PARAMETERS

boolean

true

quarkus.oidc."tenant".authentication.error-path

OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可 code の代わりに、error とオプションの error_description パラメーターを返します。このプロパティーが設定されている場合、ユーザーは、ユーザーフレンドリーなエラー説明ページを返すことができるエンドポイントにリダイレクトされます。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、これが /error に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、リダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。このプロパティーが設定されていない場合、ユーザー認証が失敗した場合に HTTP 401 ステータスが返されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ERROR_PATH

string

 

quarkus.oidc."tenant".authentication.verify-access-token

ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。アクセストークンは、ダウンストリームサービスに伝播されることを意図しているため、デフォルトでは検証されません。アクセストークンが JWT トークンとして注入される場合は、アクセストークンの検証を有効にする必要があります。コードフローの一部として取得されたアクセストークンは、quarkus.oidc.roles.source プロパティーが accesstoken に設定されている場合に、常に検証されます。つまり、承認の決定はアクセストークンから抽出されたロールに基づいて行われます。ベアラーアクセストークンは常に検証されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_VERIFY_ACCESS_TOKEN

boolean

false

quarkus.oidc."tenant".authentication.force-redirect-https-scheme

SSL/TLS 終了リバースプロキシーの背後で実行する場合は、redirect_uri パラメータースキームとして https を強制します。このプロパティーを有効にすると、ログアウト post_logout_redirect_uri とローカルリダイレクト要求にも影響します。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FORCE_REDIRECT_HTTPS_SCHEME

boolean

false

quarkus.oidc."tenant".authentication.scopes

スコープのリスト

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_SCOPES

文字列のリスト

 

quarkus.oidc."tenant".authentication.nonce-required

ID トークンに nonce 認証要求クエリーパラメーターと一致する nonce クレームが含まれていることを要求します。このプロパティーを有効にすると、リプレイ攻撃を軽減するのに役立ちます。OpenId Connect プロバイダーが ID トークンの nonce 設定をサポートしていない場合、または ID トークンを発行しない GitHub などの OAuth2 プロバイダーを使用している場合は、このプロパティーを有効にしないでください。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_NONCE_REQUIRED

boolean

false

quarkus.oidc."tenant".authentication.add-openid-scope

openid スコープをスコープのリストに自動的に追加します。これは OpenId Connect プロバイダーには必須ですが、このスコープを受け入れずエラーを出力する Twitter OAuth2 などの OAuth2 プロバイダーでは機能しません。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ADD_OPENID_SCOPE

boolean

true

quarkus.oidc."tenant".authentication.extra-params

認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc."tenant".authentication.forward-params

存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FORWARD_PARAMS

文字列のリスト

 

quarkus.oidc."tenant".authentication.cookie-force-secure

有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の secure パラメーターが true に設定されます。SSL/TLS 終了リバースプロキシーの背後で実行する場合に必要な場合があります。このプロパティーが false に設定されていても、HTTPS が使用されていれば、Cookie は常にセキュアです。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_FORCE_SECURE

boolean

false

quarkus.oidc."tenant".authentication.cookie-suffix

Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は q_session ですが、このプロパティーを test に設定すると q_session_test に変更できます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_SUFFIX

string

 

quarkus.oidc."tenant".authentication.cookie-path

Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。cookie-path-header プロパティーが最初にチェックされます (設定されている場合)。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_PATH

string

/

quarkus.oidc."tenant".authentication.cookie-path-header

Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、cookie-path プロパティーがチェックされます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_PATH_HEADER

string

 

quarkus.oidc."tenant".authentication.cookie-domain

設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_DOMAIN

string

 

quarkus.oidc."tenant".authentication.cookie-same-site

セッション Cookie の SameSite 属性。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_SAME_SITE

strict, lax, none

lax

quarkus.oidc."tenant".authentication.allow-multiple-code-flows

状態 Cookie が存在する場合は、state クエリーパラメーターも存在する必要があり、リダイレクトパスが現在のパスと一致する場合、状態 Cookie 名の接尾辞と状態 Cookie 値の両方が state クエリーパラメーターの値と一致する必要があります。ただし、同じブラウザーから、たとえば異なるブラウザータブから複数の認証が試行された場合、現在使用可能な状態 Cookie は、別のタブから開始された認証フローを表し、現在のリクエストとは関係がない可能性があります。同じブラウザーで単一の認可コードフローのみを許可するには、このプロパティーを無効にします。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS

boolean

true

quarkus.oidc."tenant".authentication.fail-on-missing-state-param

状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。

複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。

このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、java-script-auto-redirect を有効にするか、プロバイダーを redirect-path で設定された URL にリダイレクトさせる必要がある場合があります。

ただし、上記のオプションが適切でない場合は、このプロパティーを false に設定すると役立つ場合があります。これにより、OpenId Connect プロバイダーへの新しい認証リダイレクトが発生します。そうすると、ブラウザーのリダイレクトループのリスクが高まる可能性があります。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FAIL_ON_MISSING_STATE_PARAM

boolean

false

quarkus.oidc."tenant".authentication.user-info-required

このプロパティーが true に設定されている場合は、OIDC UserInfo エンドポイントが呼び出されます。このプロパティーは、quarkus.oidc.roles.sourceuserinfo の場合、quarkus.oidc.token.verify-access-token-with-user-infotrue の場合、または quarkus.oidc.authentication.id-token-requiredfalse に設定されている場合に有効になります。これらの場合には、このプロパティーを手動で有効にする必要はありません。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_USER_INFO_REQUIRED

boolean

false

quarkus.oidc."tenant".authentication.session-age-extension

セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。token.refresh-expired プロパティーが有効になっていないと、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_SESSION_AGE_EXTENSION

Duration question circle

5 M

quarkus.oidc."tenant".authentication.java-script-auto-redirect

このプロパティーが true に設定されている場合、リクエストが XMLHttpRequest または Fetch などの JavaScript API によって開始され、現在のユーザーを (再) 認証する必要がある場合に、通常の 302 リダイレクトレスポンスが返されます。これは、OIDC 認可エンドポイントが通常 CORS をサポートしていない場合、リダイレクトに自動的に従うことが機能しない可能性があるため、シングルページアプリケーション (SPA) には望ましくない可能性があります。

このプロパティーが false に設定されている場合、現在のリクエストを JavaScript リクエストとして識別するリクエストヘッダーが見つかった場合に、SPA がリダイレクトを手動で処理できるように、ステータスコード 499 が返されます。このプロパティーが有効になっている場合、デフォルトでは、値が JavaScript または XMLHttpRequest に設定された X-Requested-With リクエストヘッダーが想定されます。代わりにカスタム JavaScriptRequestChecker を登録して、カスタム JavaScript リクエストチェックを実行することもできます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT

boolean

true

quarkus.oidc."tenant".authentication.id-token-required

認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ID_TOKEN_REQUIRED

boolean

true

quarkus.oidc."tenant".authentication.internal-id-token-lifespan

内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN

Duration question circle

5 M

quarkus.oidc."tenant".authentication.pkce-required

Proof Key for Code Exchange (PKCE) の使用を必須にします。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_PKCE_REQUIRED

boolean

false

quarkus.oidc."tenant".authentication.state-secret

コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。クライアントシークレットの長さが 32 文字未満の場合、そのクライアントシークレットは状態暗号化シークレットとして使用されません。

これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

シークレットの長さが 16 文字未満の場合、エラーが報告されます。

環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_STATE_SECRET

string

 

quarkus.oidc."tenant".code-grant.extra-params

必須の code および redirect-uri パラメーターに加えて、認可コードグラントリクエストを完了するために含めなければならない追加のパラメーター。

環境変数: QUARKUS_OIDC__TENANT__CODE_GRANT_EXTRA_PARAMS

Map<String,String>

 

quarkus.oidc."tenant".code-grant.headers

認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。

環境変数: QUARKUS_OIDC__TENANT__CODE_GRANT_HEADERS

Map<String,String>

 

quarkus.oidc."tenant".token-state-manager.strategy

デフォルトの TokenStateManager ストラテジー。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_STRATEGY

tooltip:keep-all-tokens[ID、アクセストークン、更新トークンを保持します。], tooltip:id-token[ID トークンのみを保持します], tooltip:id-refresh-tokens[ID トークンと更新トークンのみを保持します]

keep-all-tokens

quarkus.oidc."tenant".token-state-manager.split-tokens

デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_SPLIT_TOKENS

boolean

false

quarkus.oidc."tenant".token-state-manager.encryption-required

デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_ENCRYPTION_REQUIRED

boolean

true

quarkus.oidc."tenant".token-state-manager.encryption-secret

encryption-required プロパティーが有効な場合に、トークンを格納するセッション Cookie を暗号化するためにデフォルトの TokenStateManager によって使用されるシークレット。

このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。

トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。

環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_ENCRYPTION_SECRET

string

 

quarkus.oidc."tenant".allow-token-introspection-cache

トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC__TENANT__ALLOW_TOKEN_INTROSPECTION_CACHE

boolean

true

quarkus.oidc."tenant".allow-user-info-cache

ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。

環境変数: QUARKUS_OIDC__TENANT__ALLOW_USER_INFO_CACHE

boolean

true

quarkus.oidc."tenant".cache-user-info-in-idtoken

UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。

環境変数: QUARKUS_OIDC__TENANT__CACHE_USER_INFO_IN_IDTOKEN

boolean

false

quarkus.oidc."tenant".jwks.resolve-early

OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。

このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。

環境変数: QUARKUS_OIDC__TENANT__JWKS_RESOLVE_EARLY

boolean

true

quarkus.oidc."tenant".jwks.cache-size

キャッシュできる JWK キーの最大数。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_CACHE_SIZE

int

10

quarkus.oidc."tenant".jwks.cache-time-to-live

JWK キーをキャッシュできる時間 (分)。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_CACHE_TIME_TO_LIVE

Duration question circle

10 M

quarkus.oidc."tenant".jwks.clean-up-timer-interval

キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。

環境変数: QUARKUS_OIDC__TENANT__JWKS_CLEAN_UP_TIMER_INTERVAL

Duration question circle

 

quarkus.oidc."tenant".provider

周知の OpenId Connect プロバイダー識別子

環境変数: QUARKUS_OIDC__TENANT__PROVIDER

apple, discord, facebook, github, google, linkedin, mastodon, microsoft, spotify, strava, twitch, twitter, x

 
duration のフォーマット

duration の値を書き込むには、標準の java.time.Duration フォーマットを使用します。詳細は、Duration#parse() Java API ドキュメント を参照してください。

数字で始まる簡略化されたフォーマットも使用できます。

  • 値が数値のみの場合は、秒単位の時間を表します。
  • 数字の後に ms が続く値は、ミリ秒単位の時間を表します。

その他の場合は、解析のために簡略化されたフォーマットが java.time.Duration フォーマットに変換されます。

  • 数字の後に hm、または s が続く値には、接頭辞 PT が付きます。
  • 数字の後に d が続く値は、接頭辞 P が付きます。

6.1. 参考資料

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.