設定プロパティー
|
型
|
デフォルト
|
quarkus.keycloak.devservices.enabled
Dev Services を有効 (デフォルト) または無効にするフラグ。有効にすると、Dev Services for Keycloak は、Docker の実行時に、Keycloak を開発モードまたはテストモードで自動的に設定して起動します。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_ENABLED
|
boolean
|
true
|
quarkus.keycloak.devservices.image-name
Dev Services プロバイダーのコンテナーイメージ名。デフォルトでは、Quarkus ベースの Keycloak イメージになります。WildFly ベースのディストリビューションの場合は、quay.io/keycloak/keycloak:19.0.3-legacy のようなイメージを使用します。Keycloak Quarkus と WildFly イメージは異なる方法で初期化されます。Dev Services for Keycloak は、イメージバージョンが -legacy で終わっていない限り、それが Keycloak Quarkus イメージであると想定します。quarkus.keycloak.devservices.keycloak-x-image を使用したオーバーライド。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_IMAGE_NAME
|
string
|
quay.io/keycloak/keycloak:24.0.4
|
quarkus.keycloak.devservices.keycloak-x-image
Keycloak-X イメージが使用されているかどうかを示します。デフォルトでは、イメージはイメージ名の keycloak-x によって識別されます。カスタムイメージの場合は、quarkus.keycloak.devservices.keycloak-x-image を使用したオーバーライドです。デフォルトのチェックが機能する場合は、このプロパティーを設定する必要はありません。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_KEYCLOAK_X_IMAGE
|
boolean
| |
quarkus.keycloak.devservices.shared
Keycloak コンテナーが共有されているかどうかを決定します。共有されると、Quarkus はラベルベースのサービス検出を使用して実行中の Keycloak コンテナーを見つけて再利用するため、2 番目のコンテナーは起動しません。一致するコンテナーが見つからない場合は、新しいコンテナーが起動します。サービス検出では、quarkus-dev-service-label ラベルが使用されます。このラベルの値は、service-name プロパティーによって設定されます。コンテナー共有は開発モードでのみ利用可能です。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SHARED
|
boolean
|
true
|
quarkus.keycloak.devservices.service-name
Keycloak コンテナーを識別するための quarkus-dev-service-keycloak ラベルの値。共有モードで使用され、このラベルを持つ既存のコンテナーを検索します。見つからない場合は、このラベルで新しいコンテナーが初期化されます。開発モードでのみ適用されます。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SERVICE_NAME
|
string
|
quarkus
|
quarkus.keycloak.devservices.realm-path
Keycloak レルムファイルへのクラスまたはファイルシステムパスのコンマ区切りリスト。このリストは Keycloak を初期化するために使用されます。このリストの最初の値は、デフォルトのテナント接続プロパティーを初期化するために使用されます。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_REALM_PATH
|
文字列のリスト
| |
quarkus.keycloak.devservices.java-opts
keycloak JVM に渡される JAVA_OPTS
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_JAVA_OPTS
|
string
| |
quarkus.keycloak.devservices.show-logs
"Keycloak:" という接頭辞が付いた Keycloak ログメッセージを表示します。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_SHOW_LOGS
|
boolean
|
false
|
quarkus.keycloak.devservices.start-command
Keycloak 開始コマンド。このプロパティーを使用して、Keycloak の起動オプションを試してください。https://www.keycloak.org/server/all-config を参照してください。注意: 従来の Keycloak WildFly イメージをロードする場合は無視されます。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_START_COMMAND
|
string
| |
quarkus.keycloak.devservices.realm-name
Keycloak レルムの名前。このプロパティーは、realm-path プロパティーによって指定されたレルムファイルが存在しない場合に、レルムを作成するために使用されます。この場合のデフォルト値は quarkus です。Dev Services for Keycloak がレルムファイルを解析せずにレルム名を識別できるように、このプロパティーを常に設定することを推奨します。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_REALM_NAME
|
string
| |
quarkus.keycloak.devservices.create-realm
realm-path にレルムファイルが見つからない場合に Keycloak レルムを作成するかどうかを指定します。Keycloak 管理コンソールまたは io.quarkus.test.common.QuarkusTestResourceLifecycleManager によって提供される Keycloak 管理 API を使用してレルムを作成する場合は、false に設定します。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_CREATE_REALM
|
boolean
|
true
|
quarkus.keycloak.devservices.port
開発サービスがリッスンする特定のポート。
指定しない場合はランダムなポートが選択されます。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_PORT
|
int
| |
quarkus.keycloak.devservices.resource-aliases
Keycloak を初期化するために使用される追加のクラスまたはファイルシステムリソースへのエイリアス。各マップエントリーは、エイリアスとクラスまたはファイルシステムリソースパス間のマッピングを表します。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_ALIASES
|
Map<String,String>
| |
quarkus.keycloak.devservices.resource-mappings
Keycloak を初期化するために使用される追加のクラスまたはファイルシステムリソース。各マップエントリーは、クラスまたはファイルシステムリソースパスエイリアスと Keycloak コンテナーの場所間のマッピングを表します。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_MAPPINGS
|
Map<String,String>
| |
quarkus.keycloak.devservices.users
Keycloak ユーザー名とパスワードのマップ。空の場合、デフォルトのユーザー alice と bob が作成され、その名前がパスワードとして使用されます。このマップは、realm-path にレルムファイルが見つからない場合にユーザーの作成に使用されます。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_USERS
|
Map<String,String>
| |
quarkus.keycloak.devservices.roles
Keycloak ユーザーのロールのマップ。空の場合、デフォルトのロールが割り当てられます。alice には admin ロールと user ロールが割り当てられ、他のユーザーには user ロールが割り当てられます。このマップは、realm-path にレルムファイルが見つからない場合にロールの作成に使用されます。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_ROLES
|
Map<String,List<String>>
| |
quarkus.keycloak.devservices.container-env
コンテナーに渡される環境変数。
環境変数: QUARKUS_KEYCLOAK_DEVSERVICES_CONTAINER_ENV
|
Map<String,String>
| |
quarkus.oidc.enabled
OIDC エクステンションが有効になっている場合。
環境変数: QUARKUS_OIDC_ENABLED
|
boolean
|
true
|
quarkus.oidc.devui.grant.type
OIDC 'service' アプリケーションをテストするためのトークンを取得するために使用されるグラントタイプ
環境変数: QUARKUS_OIDC_DEVUI_GRANT_TYPE
|
tooltip:client['client_credentials' グラント]、tooltip:password['password' グラント]、tooltip:code['authorization_code' グラント]、tooltip:implicit['implicit' グラント]
| |
quarkus.oidc.devui.web-client-timeout
WebClient のタイムアウト。このプロパティーを使用して、OpenId Connect Provider からトークンを要求し、それをサービスエンドポイントに送信するときに、Dev UI ハンドラーによって使用される HTTP クライアントが応答を待機する時間を設定します。このタイムアウトは、OIDC 開発サービス管理クライアントでも使用されます。
環境変数: QUARKUS_OIDC_DEVUI_WEB_CLIENT_TIMEOUT
|
Duration
|
4S
|
quarkus.oidc.default-token-cache-enabled
デフォルトの TokenIntrospection および UserInfo Cache 実装 Bean の登録を有効にします。注記: これにより、デフォルトの実装のみが有効になります。有効にするには設定が必要です。OidcConfig#tokenCache を参照してください。
環境変数: QUARKUS_OIDC_DEFAULT_TOKEN_CACHE_ENABLED
|
boolean
|
true
|
quarkus.oidc.auth-server-url
OpenID Connect (OIDC) サーバーのベース URL (例: https://host:port/auth )。公開鍵の検証 (public-key ) または証明書チェーンの検証のみ (certificate-chain ) が必要な場合は、このプロパティーを設定しないでください。OIDC 検出エンドポイントは、この URL に .well-known/openid-configuration パスを追加することによって、デフォルトで呼び出されます。Keycloak の場合は、https://host:port/realms/{realm} を使用します。ここで、{realm} を Keycloak レルム名に置き換えます。
環境変数: QUARKUS_OIDC_AUTH_SERVER_URL
|
string
| |
quarkus.oidc.discovery-enabled
OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。
環境変数: QUARKUS_OIDC_DISCOVERY_ENABLED
|
boolean
|
true
|
quarkus.oidc.token-path
アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。discovery-enabled が false の場合、または検出されたトークンエンドポイントパスをカスタマイズする必要がある場合に設定します。
環境変数: QUARKUS_OIDC_TOKEN_PATH
|
string
| |
quarkus.oidc.revoke-path
OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。
環境変数: QUARKUS_OIDC_REVOKE_PATH
|
string
| |
quarkus.oidc.client-id
アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。application-type が service で、トークンイントロスペクションが不要な場合は、クライアント ID を設定する必要はありません。
環境変数: QUARKUS_OIDC_CLIENT_ID
|
string
| |
quarkus.oidc.connection-delay
OIDC サーバーへの初期接続を試行する期間。たとえば、期間を 20S に設定すると、2 秒間隔で 10 回の再試行が可能になります。このプロパティーは、最初の OIDC 接続が作成された時のみ有効です。接続が切断された場合は、代わりに connection-retry-count プロパティーを使用します。
環境変数: QUARKUS_OIDC_CONNECTION_DELAY
|
Duration
| |
quarkus.oidc.connection-retry-count
既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される connection-delay とは異なります。たとえば、接続の問題により OIDC トークンエンドポイントへのリクエストが失敗した場合、この設定に従って再試行されます。
環境変数: QUARKUS_OIDC_CONNECTION_RETRY_COUNT
|
int
|
3
|
quarkus.oidc.connection-timeout
現在の OIDC 接続リクエストがタイムアウトするまでの秒数。
環境変数: QUARKUS_OIDC_CONNECTION_TIMEOUT
|
Duration
|
10S
|
quarkus.oidc.use-blocking-dns-lookup
DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。
環境変数: QUARKUS_OIDC_USE_BLOCKING_DNS_LOOKUP
|
boolean
|
false
|
quarkus.oidc.max-pool-size
WebClient が使用する接続プールの最大サイズ。
環境変数: QUARKUS_OIDC_MAX_POOL_SIZE
|
int
| |
quarkus.oidc.credentials.secret
client_secret_basic 認証方法で使用されるクライアントシークレット。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。代わりに client-secret.value を使用することもできますが、両方のプロパティーは相互に排他的です。
環境変数: QUARKUS_OIDC_CREDENTIALS_SECRET
|
string
| |
quarkus.oidc.credentials.client-secret.value
クライアントシークレットの値。credentials.secret が設定されている場合、この値は無視されます。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。
環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_VALUE
|
string
| |
quarkus.oidc.credentials.client-secret.provider.name
CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)
環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME
|
string
| |
quarkus.oidc.credentials.client-secret.provider.key
CredentialsProvider クライアントのシークレットキー
環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY
|
string
| |
quarkus.oidc.credentials.client-secret.method
認証方法。clientSecret.value シークレットが設定されている場合、このメソッドはデフォルトで basic になります。
環境変数: QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_METHOD
|
tooltip:basic[client_secret_basic (default): The client id and secret are submitted with the HTTP Authorization Basic scheme.], tooltip:post[client_secret_post : The client id and secret are submitted as the client_id and client_secret form parameters.], tooltip:post-jwt[client_secret_jwt : The client id and generated JWT secret are submitted as the client_id and client_secret form parameters.], tooltip:query[client id and secret are submitted as HTTP query parameters.このオプションは OIDC エクステンションでのみサポートされます。
| |
quarkus.oidc.credentials.jwt.secret
指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET
|
string
| |
quarkus.oidc.credentials.jwt.secret-provider.name
CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_NAME
|
string
| |
quarkus.oidc.credentials.jwt.secret-provider.key
CredentialsProvider クライアントのシークレットキー
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_KEY
|
string
| |
quarkus.oidc.credentials.jwt.key-file
指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。signature-algorithm プロパティーを使用して、デフォルトのキーアルゴリズム RS256 をオーバーライドできます。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_FILE
|
string
| |
quarkus.oidc.credentials.jwt.key-store-file
指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_FILE
|
string
| |
quarkus.oidc.credentials.jwt.key-store-password
キーストアファイルのパスワードを指定するためのパラメーター。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_PASSWORD
|
string
| |
quarkus.oidc.credentials.jwt.key-id
秘密鍵の ID またはエイリアス。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_ID
|
string
| |
quarkus.oidc.credentials.jwt.key-password
秘密鍵のパスワード。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_KEY_PASSWORD
|
string
| |
quarkus.oidc.credentials.jwt.audience
JWT オーディエンス (aud ) クレーム値。デフォルトでは、オーディエンスは OpenId Connect プロバイダーのトークンエンドポイントのアドレスに設定されます。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_AUDIENCE
|
string
| |
quarkus.oidc.credentials.jwt.token-key-id
JWT kid ヘッダーとして追加された署名キーのキー識別子。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_TOKEN_KEY_ID
|
string
| |
quarkus.oidc.credentials.jwt.issuer
JWT iss クレームとして追加された署名キーの発行者。デフォルト値はクライアント ID です。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_ISSUER
|
string
| |
quarkus.oidc.credentials.jwt.subject
JWT sub クレームとして追加された署名キーのサブジェクト。デフォルト値はクライアント ID です。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SUBJECT
|
string
| |
quarkus.oidc.credentials.jwt.signature-algorithm
key-file プロパティーに使用される署名アルゴリズム。サポートされる値: RS256 (デフォルト)、RS384 、RS512 、PS256 、PS384 、PS512 、ES256 、ES384 、ES512 、HS256 、HS384 、HS512 。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_SIGNATURE_ALGORITHM
|
string
| |
quarkus.oidc.credentials.jwt.lifespan
JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_LIFESPAN
|
int
|
10
|
quarkus.oidc.proxy.host
プロキシーのホスト名または IP アドレス。 注記: OIDC アダプターが OIDC サーバー (プロバイダー) と通信するためにプロキシーを必要とする場合は、この値を設定してプロキシーの使用を有効にします。
環境変数: QUARKUS_OIDC_PROXY_HOST
|
string
| |
quarkus.oidc.proxy.port
プロキシーのポート番号。デフォルト値は 80 です。
環境変数: QUARKUS_OIDC_PROXY_PORT
|
int
|
80
|
quarkus.oidc.proxy.username
プロキシーに認証が必要な場合のユーザー名。
環境変数: QUARKUS_OIDC_PROXY_USERNAME
|
string
| |
quarkus.oidc.proxy.password
プロキシーに認証が必要な場合のパスワード。
環境変数: QUARKUS_OIDC_PROXY_PASSWORD
|
string
| |
quarkus.oidc.tls.verification
証明書の検証とホスト名の検証。次のいずれかの Verification 値になります。デフォルトは required です。
環境変数: QUARKUS_OIDC_TLS_VERIFICATION
|
tooltip:required[[証明書が検証され、ホスト名の検証が有効になっています。これはデフォルト値です。]、tooltip:certificate-validation[証明書は検証されますが、ホスト名の検証は無効になっています。]、tooltip:none[すべての証明書が信頼されており、ホスト名の検証は無効になっています。]
| |
quarkus.oidc.tls.key-store-file
個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。
環境変数: QUARKUS_OIDC_TLS_KEY_STORE_FILE
|
path
| |
quarkus.oidc.tls.key-store-file-type
キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: QUARKUS_OIDC_TLS_KEY_STORE_FILE_TYPE
|
string
| |
quarkus.oidc.tls.key-store-provider
キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: QUARKUS_OIDC_TLS_KEY_STORE_PROVIDER
|
string
| |
quarkus.oidc.tls.key-store-password
キーストアファイルのパスワード。指定しない場合は、デフォルト値の password が使用されます。
環境変数: QUARKUS_OIDC_TLS_KEY_STORE_PASSWORD
|
string
| |
quarkus.oidc.tls.key-store-key-alias
キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。
環境変数: QUARKUS_OIDC_TLS_KEY_STORE_KEY_ALIAS
|
string
| |
quarkus.oidc.tls.key-store-key-password
キーのパスワード (key-store-password と異なる場合)。
環境変数: QUARKUS_OIDC_TLS_KEY_STORE_KEY_PASSWORD
|
string
| |
quarkus.oidc.tls.trust-store-file
信頼する証明書の証明書情報を保持するトラストストア。
環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_FILE
|
path
| |
quarkus.oidc.tls.trust-store-password
トラストストアファイルのパスワード。
環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_PASSWORD
|
string
| |
quarkus.oidc.tls.trust-store-cert-alias
トラストストア証明書のエイリアス。
環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_CERT_ALIAS
|
string
| |
quarkus.oidc.tls.trust-store-file-type
トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_FILE_TYPE
|
string
| |
quarkus.oidc.tls.trust-store-provider
トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: QUARKUS_OIDC_TLS_TRUST_STORE_PROVIDER
|
string
| |
quarkus.oidc.tenant-id
一意のテナント識別子。これは、テナント設定を動的に解決する TenantConfigResolver プロバイダーによって設定できます。
環境変数: QUARKUS_OIDC_TENANT_ID
|
string
| |
quarkus.oidc.tenant-enabled
このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する TenantConfigResolver が登録されているか、名前付きテナントが設定されている場合は無効になります。この場合は、デフォルトのテナントを無効にする必要はありません。
環境変数: QUARKUS_OIDC_TENANT_ENABLED
|
boolean
|
true
|
quarkus.oidc.application-type
アプリケーションの種類。次の ApplicationType 値のいずれかになります。
環境変数: QUARKUS_OIDC_APPLICATION_TYPE
|
tooltip:web-app[WEB_APP はページを提供するクライアントであり、通常はフロントエンドアプリケーションです。このタイプのクライアントについては、認可コードフローがユーザー認証の推奨方法として定義されています。]、tooltip:service[SERVICE は、保護された HTTP リソースのセットを持つクライアントであり、通常は RESTful アーキテクチャー設計に準拠したバックエンドアプリケーションです。このタイプのクライアントについては、ベアラー認可方式がユーザーを認証および認可する推奨方法として定義されています。]、tooltip:hybrid[SERVICE と WEB_APP を組み合わせたクライアント。このタイプのクライアントでは、認可ヘッダーが設定されている場合はベアラー認可方式が使用され、設定されていない場合は認可コードフローが使用されます。
|
service
|
quarkus.oidc.authorization-path
ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC_AUTHORIZATION_PATH
|
string
| |
quarkus.oidc.user-info-path
OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、authentication.user-info-required プロパティーが有効になっている場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC_USER_INFO_PATH
|
string
| |
quarkus.oidc.introspection-path
不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC_INTROSPECTION_PATH
|
string
| |
quarkus.oidc.jwks-path
JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC_JWKS_PATH
|
string
| |
quarkus.oidc.end-session-path
OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、web-app アプリケーションの RP 開始ログアウトサポートが必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC_END_SESSION_PATH
|
string
| |
quarkus.oidc.public-key
ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。
環境変数: QUARKUS_OIDC_PUBLIC_KEY
|
string
| |
quarkus.oidc.introspection-credentials.name
名前
環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_NAME
|
string
| |
quarkus.oidc.introspection-credentials.secret
Secret
環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_SECRET
|
string
| |
quarkus.oidc.introspection-credentials.include-client-id
quarkus.oidc.client-id で設定された OpenId Connect クライアント ID を含めます。
環境変数: QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID
|
boolean
|
true
|
quarkus.oidc.roles.role-claim-path
グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに groups クレームがないが、1 つ以上の異なるクレームにグループが設定されている場合に使用できます。
環境変数: QUARKUS_OIDC_ROLES_ROLE_CLAIM_PATH
|
文字列のリスト
| |
quarkus.oidc.roles.role-claim-separator
複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準 scope 要求にはスペースで区切られたシーケンスを含めることができるため、デフォルトでは 1 つのスペースが使用されます。
環境変数: QUARKUS_OIDC_ROLES_ROLE_CLAIM_SEPARATOR
|
string
| |
quarkus.oidc.roles.source
主なロールのソース。
環境変数: QUARKUS_OIDC_ROLES_SOURCE
|
ツールチップ:idtoken[ID トークン - web-app アプリケーションのデフォルト値。]、ツールチップ:accesstoken[アクセストークン - service アプリケーションのデフォルト値。web-app アプリケーションのロールのソースとしても使用できます。]、ツールチップ:userinfo[ユーザー情報]
| |
quarkus.oidc.token.issuer
予想される発行者 iss クレーム値。このプロパティーは、OpenId Connect プロバイダーの周知の設定で設定されている可能性がある issuer プロパティーをオーバーライドします。iss クレーム値がプロバイダーのホスト、IP アドレス、またはテナント ID によって異なる場合は、このプロパティーを any に設定することで発行者の検証をスキップできますが、他のオプション (固定の iss クレーム値を使用するようにプロバイダーを設定するなど) が不可能な場合にのみ実行する必要があります。
環境変数: QUARKUS_OIDC_TOKEN_ISSUER
|
string
| |
quarkus.oidc.token.audience
予想される audience AUD クレーム値。文字列または文字列の配列になります。audience クレームは、ID トークンに対してデフォルトで検証されることに注意してください。ID トークン audience は、quarkus.oidc.client-id プロパティーの値と同じである必要があります。OpenID Connect プロバイダーが ID トークンに異なる audience クレーム値を設定する場合は、このプロパティーを使用して期待値をオーバーライドします。プロバイダーが ID トークン audience` クレームを設定していない場合は、これを any に設定します。アクセストークンの audience 検証は、このプロパティーが設定されている場合にのみ実行されます。
環境変数: QUARKUS_OIDC_TOKEN_AUDIENCE
|
文字列のリスト
| |
quarkus.oidc.token.subject-required
トークンに、現在のユーザーに対して一意で再割り当てされない識別子である sub (subject) クレームが含まれていることを要求します。このプロパティーを有効にし、UserInfo も必要な場合は、トークンと UserInfo sub クレームの両方が存在し、互いに一致している必要があることに注意してください。
環境変数: QUARKUS_OIDC_TOKEN_SUBJECT_REQUIRED
|
boolean
|
false
|
quarkus.oidc.token.token-type
予想されるトークンの種類
環境変数: QUARKUS_OIDC_TOKEN_TOKEN_TYPE
|
string
| |
quarkus.oidc.token.lifespan-grace
期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。
環境変数: QUARKUS_OIDC_TOKEN_LIFESPAN_GRACE
|
int
| |
quarkus.oidc.token.age
トークンの経過時間。iat (発行時刻) から経過してはならない秒数を指定できます。トークンの有効期限を確認するために quarkus.oidc.token.lifespan-grace で設定できるクロックのずれを考慮するための小さな余裕は、トークンの有効期間プロパティーの検証にも使用できます。このプロパティーを設定しても、Bearer および Code Flow JWT トークンに有効な (exp ) 有効期限クレーム値が必要であるという要件は緩和されないことに注意してください。このプロパティーを設定することで要件が緩和される唯一の例外は、ログアウトトークンがバックチャネルログアウト要求とともに送信される場合です。これは、現在の OpenId Connect Back-Channel 仕様では、ログアウトトークンに exp クレームが含まれていることが明示的に要求されていないためです。ただし、現在のログアウトトークンに exp クレームが含まれていない場合でも、ログアウトトークンに exp クレームが含まれている場合は、そのクレームが検証されます。
環境変数: QUARKUS_OIDC_TOKEN_AGE
|
Duration
| |
quarkus.oidc.token.principal-claim
プリンシパル名を含むクレームの名前。デフォルトでは、upn 、preferred_username 、および sub クレームがチェックされます。
環境変数: QUARKUS_OIDC_TOKEN_PRINCIPAL_CLAIM
|
string
| |
quarkus.oidc.token.refresh-expired
期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、authentication.session-age-extension プロパティーも 0 以外の値に設定する必要があります。このオプションは、アプリケーションのタイプが ApplicationType#WEB_APP の場合にのみ有効です。このプロパティーは、quarkus.oidc.token.refresh-token-time-skew が設定されている場合に有効になります。この場合は、このプロパティーを手動で有効にする必要はありません。
環境変数: QUARKUS_OIDC_TOKEN_REFRESH_EXPIRED
|
boolean
|
false
|
quarkus.oidc.token.refresh-token-time-skew
更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。
環境変数: QUARKUS_OIDC_TOKEN_REFRESH_TOKEN_TIME_SKEW
|
Duration
| |
quarkus.oidc.token.forced-jwk-refresh-interval
強制的な JWK セットの更新間隔 (分単位)。
環境変数: QUARKUS_OIDC_TOKEN_FORCED_JWK_REFRESH_INTERVAL
|
Duration
|
10 M
|
quarkus.oidc.token.header
ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが ApplicationType#SERVICE の場合にのみ有効です。
環境変数: QUARKUS_OIDC_TOKEN_HEADER
|
string
| |
quarkus.oidc.token.authorization-scheme
HTTP 認可ヘッダースキーム。
環境変数: QUARKUS_OIDC_TOKEN_AUTHORIZATION_SCHEME
|
string
|
Bearer
|
quarkus.oidc.token.signature-algorithm
必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。
環境変数: QUARKUS_OIDC_TOKEN_SIGNATURE_ALGORITHM
|
rs256 , rs384 , rs512 , ps256 , ps384 , ps512 , es256 , es384 , es512 , eddsa
| |
quarkus.oidc.token.decryption-key-location
復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、private_key_jwt クライアント認証方法が使用されている場合、クライアント認証 JWT トークンの署名に使用される秘密鍵は、暗号化された ID トークンの復号にも使用されます。
環境変数: QUARKUS_OIDC_TOKEN_DECRYPTION_KEY_LOCATION
|
string
| |
quarkus.oidc.token.allow-jwt-introspection
一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで true に設定されています。このデフォルト値は、今後のリリースで false に変更される予定です。また、JWK エンドポイント URI が利用できず、トークンのイントロスペクションが唯一の検証オプションである場合、このプロパティーは無視されることに注意してください。
環境変数: QUARKUS_OIDC_TOKEN_ALLOW_JWT_INTROSPECTION
|
boolean
|
true
|
quarkus.oidc.token.require-jwt-introspection-only
JWT トークンはリモートでのみイントロスペクトされるように要求します。
環境変数: QUARKUS_OIDC_TOKEN_REQUIRE_JWT_INTROSPECTION_ONLY
|
boolean
|
false
|
quarkus.oidc.token.allow-opaque-token-introspection
不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを false に設定します。
環境変数: QUARKUS_OIDC_TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION
|
boolean
|
true
|
quarkus.oidc.token.customizer-name
トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム TokenCustomizer を登録するときは、TenantFeature 修飾子を使用することを推奨します。このプロパティーは、このエクステンションによって提供される TokenCustomizer 実装を参照する場合にのみ使用してください。
環境変数: QUARKUS_OIDC_TOKEN_CUSTOMIZER_NAME
|
string
| |
quarkus.oidc.token.verify-access-token-with-user-info
不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。
環境変数: QUARKUS_OIDC_TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO
|
boolean
|
false
|
quarkus.oidc.logout.path
アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。
環境変数: QUARKUS_OIDC_LOGOUT_PATH
|
string
| |
quarkus.oidc.logout.post-logout-path
OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。
環境変数: QUARKUS_OIDC_LOGOUT_POST_LOGOUT_PATH
|
string
| |
quarkus.oidc.logout.post-logout-uri-param
ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。
環境変数: QUARKUS_OIDC_LOGOUT_POST_LOGOUT_URI_PARAM
|
string
|
post_logout_redirect_uri
|
quarkus.oidc.logout.backchannel.path
アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。
環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_PATH
|
string
| |
quarkus.oidc.logout.backchannel.token-cache-size
セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。
環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_SIZE
|
int
|
10
|
quarkus.oidc.logout.backchannel.token-cache-time-to-live
ログアウトトークンをキャッシュできる時間 (分)。
環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE
|
Duration
|
10 M
|
quarkus.oidc.logout.backchannel.clean-up-timer-interval
トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_CLEAN_UP_TIMER_INTERVAL
|
Duration
| |
quarkus.oidc.logout.backchannel.logout-token-key
トークンをキャッシュするためのキーとして値が使用されるログアウトトークン要求。キーとして使用できるのは、sub (subject) および sid (session id) クレームのみです。OIDC プロバイダーによって発行された ID トークンに sub がなく、sid クレームがある場合にのみ、sid に設定します。
環境変数: QUARKUS_OIDC_LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY
|
string
|
sub
|
quarkus.oidc.logout.frontchannel.path
アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。
環境変数: QUARKUS_OIDC_LOGOUT_FRONTCHANNEL_PATH
|
string
| |
quarkus.oidc.certificate-chain.leaf-certificate-name
リーフ証明書のコモンネーム。この証明書が trust-store-file にインポートされていない場合は設定する必要があります。
環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_LEAF_CERTIFICATE_NAME
|
string
| |
quarkus.oidc.certificate-chain.trust-store-file
信頼された証明書のサムプリントを保存する Truststore ファイル。
環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE
|
path
| |
quarkus.oidc.certificate-chain.trust-store-password
trust-store-file で設定されている場合は、トラストストアファイルのパスワードを指定するパラメーター。
環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_PASSWORD
|
string
| |
quarkus.oidc.certificate-chain.trust-store-cert-alias
トラストストア証明書のエイリアスを指定するためのパラメーター。
環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS
|
string
| |
quarkus.oidc.certificate-chain.trust-store-file-type
トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE_TYPE
|
string
| |
quarkus.oidc.authentication.response-mode
認可コードフローレスポンスモード。
環境変数: QUARKUS_OIDC_AUTHENTICATION_RESPONSE_MODE
|
tooltip:query[認可レスポンスパラメーターは、redirect_uri に追加されたクエリー文字列にエンコードされます。]、tooltip:form-post[認可レスポンスパラメーターは、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信される HTML フォーム値としてエンコードされます。]
|
query
|
quarkus.oidc.authentication.redirect-path
redirect_uri クエリーパラメーターを計算するための相対パス。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、現在のリクエスト URI が https://localhost:8080/service 場合、このプロパティーが / に設定されている場合は redirect_uri パラメーターが https://localhost:8080/ に設定され、このプロパティーが設定されていない場合はリクエスト URI と同じになります。restorePathAfterRedirect が true に設定されている場合は、ユーザーが認証された後に元のリクエスト URI が復元されることに注意してください。
環境変数: QUARKUS_OIDC_AUTHENTICATION_REDIRECT_PATH
|
string
| |
quarkus.oidc.authentication.restore-path-after-redirect
このプロパティーを true に設定すると、ユーザーがアプリケーションにリダイレクトされた後、認証前に使用された元のリクエスト URI が復元されます。注意: redirectPath プロパティーが設定されていない場合は、このプロパティーが無効になっていても元のリクエスト URI が復元されます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT
|
boolean
|
false
|
quarkus.oidc.authentication.remove-redirect-parameters
ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された code や state などのクエリーパラメーターを削除します。
環境変数: QUARKUS_OIDC_AUTHENTICATION_REMOVE_REDIRECT_PARAMETERS
|
boolean
|
true
|
quarkus.oidc.authentication.error-path
OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可 code の代わりに、error とオプションの error_description パラメーターを返します。このプロパティーが設定されている場合、ユーザーは、ユーザーフレンドリーなエラー説明ページを返すことができるエンドポイントにリダイレクトされます。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、これが /error に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、リダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。このプロパティーが設定されていない場合、ユーザー認証が失敗した場合に HTTP 401 ステータスが返されます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_ERROR_PATH
|
string
| |
quarkus.oidc.authentication.verify-access-token
ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。アクセストークンは、ダウンストリームサービスに伝播されることを意図しているため、デフォルトでは検証されません。アクセストークンが JWT トークンとして注入される場合は、アクセストークンの検証を有効にする必要があります。コードフローの一部として取得されたアクセストークンは、quarkus.oidc.roles.source プロパティーが accesstoken に設定されている場合に、常に検証されます。つまり、承認の決定はアクセストークンから抽出されたロールに基づいて行われます。ベアラーアクセストークンは常に検証されます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_VERIFY_ACCESS_TOKEN
|
boolean
|
false
|
quarkus.oidc.authentication.force-redirect-https-scheme
SSL/TLS 終了リバースプロキシーの背後で実行する場合は、redirect_uri パラメータースキームとして https を強制します。このプロパティーを有効にすると、ログアウト post_logout_redirect_uri とローカルリダイレクト要求にも影響します。
環境変数: QUARKUS_OIDC_AUTHENTICATION_FORCE_REDIRECT_HTTPS_SCHEME
|
boolean
|
false
|
quarkus.oidc.authentication.scopes
スコープのリスト
環境変数: QUARKUS_OIDC_AUTHENTICATION_SCOPES
|
文字列のリスト
| |
quarkus.oidc.authentication.nonce-required
ID トークンに nonce 認証要求クエリーパラメーターと一致する nonce クレームが含まれていることを要求します。このプロパティーを有効にすると、リプレイ攻撃を軽減するのに役立ちます。OpenId Connect プロバイダーが ID トークンの nonce 設定をサポートしていない場合、または ID トークンを発行しない GitHub などの OAuth2 プロバイダーを使用している場合は、このプロパティーを有効にしないでください。
環境変数: QUARKUS_OIDC_AUTHENTICATION_NONCE_REQUIRED
|
boolean
|
false
|
quarkus.oidc.authentication.add-openid-scope
openid スコープをスコープのリストに自動的に追加します。これは OpenId Connect プロバイダーには必須ですが、このスコープを受け入れずエラーを出力する Twitter OAuth2 などの OAuth2 プロバイダーでは機能しません。
環境変数: QUARKUS_OIDC_AUTHENTICATION_ADD_OPENID_SCOPE
|
boolean
|
true
|
quarkus.oidc.authentication.forward-params
存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。
環境変数: QUARKUS_OIDC_AUTHENTICATION_FORWARD_PARAMS
|
文字列のリスト
| |
quarkus.oidc.authentication.cookie-force-secure
有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の secure パラメーターが true に設定されます。SSL/TLS 終了リバースプロキシーの背後で実行する場合に必要な場合があります。このプロパティーが false に設定されていても、HTTPS が使用されていれば、Cookie は常にセキュアです。
環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_FORCE_SECURE
|
boolean
|
false
|
quarkus.oidc.authentication.cookie-suffix
Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は q_session ですが、このプロパティーを test に設定すると q_session_test に変更できます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_SUFFIX
|
string
| |
quarkus.oidc.authentication.cookie-path
Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。cookie-path-header プロパティーが最初にチェックされます (設定されている場合)。
環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH
|
string
|
/
|
quarkus.oidc.authentication.cookie-path-header
Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、cookie-path プロパティーがチェックされます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH_HEADER
|
string
| |
quarkus.oidc.authentication.cookie-domain
設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。
環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_DOMAIN
|
string
| |
quarkus.oidc.authentication.cookie-same-site
セッション Cookie の SameSite 属性。
環境変数: QUARKUS_OIDC_AUTHENTICATION_COOKIE_SAME_SITE
|
strict , lax , none
|
lax
|
quarkus.oidc.authentication.allow-multiple-code-flows
状態 Cookie が存在する場合は、state クエリーパラメーターも存在する必要があり、リダイレクトパスが現在のパスと一致する場合、状態 Cookie 名の接尾辞と状態 Cookie 値の両方が state クエリーパラメーターの値と一致する必要があります。ただし、同じブラウザーから、たとえば異なるブラウザータブから複数の認証が試行された場合、現在使用可能な状態 Cookie は、別のタブから開始された認証フローを表し、現在のリクエストとは関係がない可能性があります。同じブラウザーで単一の認可コードフローのみを許可するには、このプロパティーを無効にします。
環境変数: QUARKUS_OIDC_AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS
|
boolean
|
true
|
quarkus.oidc.authentication.fail-on-missing-state-param
状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。
複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。
このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、java-script-auto-redirect を有効にするか、プロバイダーを redirect-path で設定された URL にリダイレクトさせる必要がある場合があります。
ただし、上記のオプションが適切でない場合は、このプロパティーを false に設定すると役立つ場合があります。これにより、OpenId Connect プロバイダーへの新しい認証リダイレクトが発生します。そうすると、ブラウザーのリダイレクトループのリスクが高まる可能性があります。
環境変数: QUARKUS_OIDC_AUTHENTICATION_FAIL_ON_MISSING_STATE_PARAM
|
boolean
|
false
|
quarkus.oidc.authentication.user-info-required
このプロパティーが true に設定されている場合は、OIDC UserInfo エンドポイントが呼び出されます。このプロパティーは、quarkus.oidc.roles.source が userinfo の場合、quarkus.oidc.token.verify-access-token-with-user-info が true の場合、または quarkus.oidc.authentication.id-token-required が false に設定されている場合に有効になります。これらの場合には、このプロパティーを手動で有効にする必要はありません。
環境変数: QUARKUS_OIDC_AUTHENTICATION_USER_INFO_REQUIRED
|
boolean
|
false
|
quarkus.oidc.authentication.session-age-extension
セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。token.refresh-expired プロパティーが有効になっていないと、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_SESSION_AGE_EXTENSION
|
Duration
|
5 M
|
quarkus.oidc.authentication.java-script-auto-redirect
このプロパティーが true に設定されている場合、リクエストが XMLHttpRequest または Fetch などの JavaScript API によって開始され、現在のユーザーを (再) 認証する必要がある場合に、通常の 302 リダイレクトレスポンスが返されます。これは、OIDC 認可エンドポイントが通常 CORS をサポートしていない場合、リダイレクトに自動的に従うことが機能しない可能性があるため、シングルページアプリケーション (SPA) には望ましくない可能性があります。
このプロパティーが false に設定されている場合、現在のリクエストを JavaScript リクエストとして識別するリクエストヘッダーが見つかった場合に、SPA がリダイレクトを手動で処理できるように、ステータスコード 499 が返されます。このプロパティーが有効になっている場合、デフォルトでは、値が JavaScript または XMLHttpRequest に設定された X-Requested-With リクエストヘッダーが想定されます。代わりにカスタム JavaScriptRequestChecker を登録して、カスタム JavaScript リクエストチェックを実行することもできます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT
|
boolean
|
true
|
quarkus.oidc.authentication.id-token-required
認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_ID_TOKEN_REQUIRED
|
boolean
|
true
|
quarkus.oidc.authentication.internal-id-token-lifespan
内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN
|
Duration
|
5 M
|
quarkus.oidc.authentication.pkce-required
Proof Key for Code Exchange (PKCE) の使用を必須にします。
環境変数: QUARKUS_OIDC_AUTHENTICATION_PKCE_REQUIRED
|
boolean
|
false
|
quarkus.oidc.authentication.state-secret
コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。
このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。クライアントシークレットの長さが 32 文字未満の場合、そのクライアントシークレットは状態暗号化シークレットとして使用されません。
これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。
シークレットの長さが 16 文字未満の場合、エラーが報告されます。
環境変数: QUARKUS_OIDC_AUTHENTICATION_STATE_SECRET
|
string
| |
quarkus.oidc.token-state-manager.strategy
デフォルトの TokenStateManager ストラテジー。
環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_STRATEGY
|
tooltip:keep-all-tokens[ID、アクセストークン、更新トークンを保持します。], tooltip:id-token[ID トークンのみを保持します], tooltip:id-refresh-tokens[ID トークンと更新トークンのみを保持します]
|
keep-all-tokens
|
quarkus.oidc.token-state-manager.split-tokens
デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます
環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_SPLIT_TOKENS
|
boolean
|
false
|
quarkus.oidc.token-state-manager.encryption-required
デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。
環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_REQUIRED
|
boolean
|
true
|
quarkus.oidc.token-state-manager.encryption-secret
encryption-required プロパティーが有効な場合に、トークンを格納するセッション Cookie を暗号化するためにデフォルトの TokenStateManager によって使用されるシークレット。
このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。
トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。
環境変数: QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_SECRET
|
string
| |
quarkus.oidc.allow-token-introspection-cache
トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。
環境変数: QUARKUS_OIDC_ALLOW_TOKEN_INTROSPECTION_CACHE
|
boolean
|
true
|
quarkus.oidc.allow-user-info-cache
ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。
環境変数: QUARKUS_OIDC_ALLOW_USER_INFO_CACHE
|
boolean
|
true
|
quarkus.oidc.cache-user-info-in-idtoken
UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。
環境変数: QUARKUS_OIDC_CACHE_USER_INFO_IN_IDTOKEN
|
boolean
|
false
|
quarkus.oidc.jwks.resolve-early
OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。
このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。
環境変数: QUARKUS_OIDC_JWKS_RESOLVE_EARLY
|
boolean
|
true
|
quarkus.oidc.jwks.cache-size
キャッシュできる JWK キーの最大数。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC_JWKS_CACHE_SIZE
|
int
|
10
|
quarkus.oidc.jwks.cache-time-to-live
JWK キーをキャッシュできる時間 (分)。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC_JWKS_CACHE_TIME_TO_LIVE
|
Duration
|
10 M
|
quarkus.oidc.jwks.clean-up-timer-interval
キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC_JWKS_CLEAN_UP_TIMER_INTERVAL
|
Duration
| |
quarkus.oidc.provider
周知の OpenId Connect プロバイダー識別子
環境変数: QUARKUS_OIDC_PROVIDER
|
apple , discord , facebook , github , google , linkedin , mastodon , microsoft , spotify , strava , twitch , twitter , x
| |
quarkus.oidc.token-cache.max-size
キャッシュエントリーの最大数。キャッシュを有効にする必要がある場合は、正の値に設定します。
環境変数: QUARKUS_OIDC_TOKEN_CACHE_MAX_SIZE
|
int
|
0
|
quarkus.oidc.token-cache.time-to-live
特定のキャッシュエントリーが有効な最大時間。
環境変数: QUARKUS_OIDC_TOKEN_CACHE_TIME_TO_LIVE
|
Duration
|
3M
|
quarkus.oidc.token-cache.clean-up-timer-interval
タイマー間隔をクリーンアップします。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: QUARKUS_OIDC_TOKEN_CACHE_CLEAN_UP_TIMER_INTERVAL
|
Duration
| |
quarkus.oidc.devui.grant-options
グラントオプション
環境変数: QUARKUS_OIDC_DEVUI_GRANT_OPTIONS
|
Map<String,Map<String,String>>
| |
quarkus.oidc.credentials.jwt.claims
追加のクレーム。
環境変数: QUARKUS_OIDC_CREDENTIALS_JWT_CLAIMS
|
Map<String,String>
| |
quarkus.oidc.token.required-claims
必要なクレームとその期待値のマップ。たとえば quarkus.oidc.token.required-claims.org_id = org_xyz の場合、トークンには org_id クレームが存在し、org_xyz に設定されている必要があります。サポートされている型は文字列のみです。SecurityIdentityAugmentor を使用して、他の種類のクレームや複雑なクレームを検証します。
環境変数: QUARKUS_OIDC_TOKEN_REQUIRED_CLAIMS
|
Map<String,String>
| |
quarkus.oidc.logout.extra-params
ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。
環境変数: QUARKUS_OIDC_LOGOUT_EXTRA_PARAMS
|
Map<String,String>
| |
quarkus.oidc.authentication.extra-params
認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。
環境変数: QUARKUS_OIDC_AUTHENTICATION_EXTRA_PARAMS
|
Map<String,String>
| |
quarkus.oidc.code-grant.extra-params
必須の code および redirect-uri パラメーターに加えて、認可コードグラントリクエストを完了するために含めなければならない追加のパラメーター。
環境変数: QUARKUS_OIDC_CODE_GRANT_EXTRA_PARAMS
|
Map<String,String>
| |
quarkus.oidc.code-grant.headers
認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。
環境変数: QUARKUS_OIDC_CODE_GRANT_HEADERS
|
Map<String,String>
| |
Additional named tenants
|
型
|
デフォルト
|
quarkus.oidc."tenant".auth-server-url
OpenID Connect (OIDC) サーバーのベース URL (例: https://host:port/auth )。公開鍵の検証 (public-key ) または証明書チェーンの検証のみ (certificate-chain ) が必要な場合は、このプロパティーを設定しないでください。OIDC 検出エンドポイントは、この URL に .well-known/openid-configuration パスを追加することによって、デフォルトで呼び出されます。Keycloak の場合は、https://host:port/realms/{realm} を使用します。ここで、{realm} を Keycloak レルム名に置き換えます。
環境変数: QUARKUS_OIDC__TENANT__AUTH_SERVER_URL
|
string
| |
quarkus.oidc."tenant".discovery-enabled
OIDC エンドポイントの検出。有効になっていない場合は、OIDC エンドポイント URL を個別に設定する必要があります。
環境変数: QUARKUS_OIDC__TENANT__DISCOVERY_ENABLED
|
boolean
|
true
|
quarkus.oidc."tenant".token-path
アクセストークンと更新トークンを発行する OIDC トークンエンドポイント。相対パスまたは絶対 URL として指定されます。discovery-enabled が false の場合、または検出されたトークンエンドポイントパスをカスタマイズする必要がある場合に設定します。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_PATH
|
string
| |
quarkus.oidc."tenant".revoke-path
OIDC トークン失効エンドポイントの相対パスまたは絶対 URL。
環境変数: QUARKUS_OIDC__TENANT__REVOKE_PATH
|
string
| |
quarkus.oidc."tenant".client-id
アプリケーションのクライアント ID各アプリケーションには、アプリケーションを識別するために使用されるクライアント ID があります。application-type が service で、トークンイントロスペクションが不要な場合は、クライアント ID を設定する必要はありません。
環境変数: QUARKUS_OIDC__TENANT__CLIENT_ID
|
string
| |
quarkus.oidc."tenant".connection-delay
OIDC サーバーへの初期接続を試行する期間。たとえば、期間を 20S に設定すると、2 秒間隔で 10 回の再試行が可能になります。このプロパティーは、最初の OIDC 接続が作成された時のみ有効です。接続が切断された場合は、代わりに connection-retry-count プロパティーを使用します。
環境変数: QUARKUS_OIDC__TENANT__CONNECTION_DELAY
|
Duration
| |
quarkus.oidc."tenant".connection-retry-count
既存の OIDC 接続が一時的に失われた場合に、再確立を再試行する回数。最初の接続試行にのみ適用される connection-delay とは異なります。たとえば、接続の問題により OIDC トークンエンドポイントへのリクエストが失敗した場合、この設定に従って再試行されます。
環境変数: QUARKUS_OIDC__TENANT__CONNECTION_RETRY_COUNT
|
int
|
3
|
quarkus.oidc."tenant".connection-timeout
現在の OIDC 接続リクエストがタイムアウトするまでの秒数。
環境変数: QUARKUS_OIDC__TENANT__CONNECTION_TIMEOUT
|
Duration
|
10S
|
quarkus.oidc."tenant".use-blocking-dns-lookup
DNS ルックアップをワーカースレッドで実行するかどうか。このオプションは、OIDC サーバーへの HTTP リクエストによってブロックされた Vert.x イベントループに関するログに記録された警告を確認できる場合に使用してください。
環境変数: QUARKUS_OIDC__TENANT__USE_BLOCKING_DNS_LOOKUP
|
boolean
|
false
|
quarkus.oidc."tenant".max-pool-size
WebClient が使用する接続プールの最大サイズ。
環境変数: QUARKUS_OIDC__TENANT__MAX_POOL_SIZE
|
int
| |
quarkus.oidc."tenant".credentials.secret
client_secret_basic 認証方法で使用されるクライアントシークレット。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。代わりに client-secret.value を使用することもできますが、両方のプロパティーは相互に排他的です。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_SECRET
|
string
| |
quarkus.oidc."tenant".credentials.client-secret.value
クライアントシークレットの値。credentials.secret が設定されている場合、この値は無視されます。client-secret にシークレットが設定されている場合、または jwt クライアント認証が必要な場合を除いて、設定する必要があります。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_VALUE
|
string
| |
quarkus.oidc."tenant".credentials.client-secret.provider.name
CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME
|
string
| |
quarkus.oidc."tenant".credentials.client-secret.provider.key
CredentialsProvider クライアントのシークレットキー
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY
|
string
| |
quarkus.oidc."tenant".credentials.client-secret.method
認証方法。clientSecret.value シークレットが設定されている場合、このメソッドはデフォルトで basic になります。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_CLIENT_SECRET_METHOD
|
tooltip:basic[client_secret_basic (default): The client id and secret are submitted with the HTTP Authorization Basic scheme.], tooltip:post[client_secret_post : The client id and secret are submitted as the client_id and client_secret form parameters.], tooltip:post-jwt[client_secret_jwt : The client id and generated JWT secret are submitted as the client_id and client_secret form parameters.], tooltip:query[client id and secret are submitted as HTTP query parameters.このオプションは OIDC エクステンションでのみサポートされます。
| |
quarkus.oidc."tenant".credentials.jwt.secret
指定されている場合、JWT がシークレットキーを使用して署名されていることを示します。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET
|
string
| |
quarkus.oidc."tenant".credentials.jwt.secret-provider.name
CredentialsProvider 名 (複数の CredentialsProvider が登録されている場合にのみ設定する必要あり)
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET_PROVIDER_NAME
|
string
| |
quarkus.oidc."tenant".credentials.jwt.secret-provider.key
CredentialsProvider クライアントのシークレットキー
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SECRET_PROVIDER_KEY
|
string
| |
quarkus.oidc."tenant".credentials.jwt.key-file
指定されている場合、PEM または JWK 形式の秘密鍵を使用して JWT が署名されていることを示します。signature-algorithm プロパティーを使用して、デフォルトのキーアルゴリズム RS256 をオーバーライドできます。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_FILE
|
string
| |
quarkus.oidc."tenant".credentials.jwt.key-store-file
指定されている場合、JWT はキーストアの秘密鍵を使用して署名されていることを示します。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_STORE_FILE
|
string
| |
quarkus.oidc."tenant".credentials.jwt.key-store-password
キーストアファイルのパスワードを指定するためのパラメーター。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_STORE_PASSWORD
|
string
| |
quarkus.oidc."tenant".credentials.jwt.key-id
秘密鍵の ID またはエイリアス。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_ID
|
string
| |
quarkus.oidc."tenant".credentials.jwt.key-password
秘密鍵のパスワード。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_KEY_PASSWORD
|
string
| |
quarkus.oidc."tenant".credentials.jwt.audience
JWT オーディエンス (aud ) クレーム値。デフォルトでは、オーディエンスは OpenId Connect プロバイダーのトークンエンドポイントのアドレスに設定されます。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_AUDIENCE
|
string
| |
quarkus.oidc."tenant".credentials.jwt.token-key-id
JWT kid ヘッダーとして追加された署名キーのキー識別子。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_TOKEN_KEY_ID
|
string
| |
quarkus.oidc."tenant".credentials.jwt.issuer
JWT iss クレームとして追加された署名キーの発行者。デフォルト値はクライアント ID です。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_ISSUER
|
string
| |
quarkus.oidc."tenant".credentials.jwt.subject
JWT sub クレームとして追加された署名キーのサブジェクト。デフォルト値はクライアント ID です。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SUBJECT
|
string
| |
quarkus.oidc."tenant".credentials.jwt.claims
追加のクレーム。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_CLAIMS
|
Map<String,String>
| |
quarkus.oidc."tenant".credentials.jwt.signature-algorithm
key-file プロパティーに使用される署名アルゴリズム。サポートされる値: RS256 (デフォルト)、RS384 、RS512 、PS256 、PS384 、PS512 、ES256 、ES384 、ES512 、HS256 、HS384 、HS512 。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_SIGNATURE_ALGORITHM
|
string
| |
quarkus.oidc."tenant".credentials.jwt.lifespan
JWT の有効期間 (秒単位)。この値は、JWT が発行された時刻に追加され、有効期限を計算します。
環境変数: QUARKUS_OIDC__TENANT__CREDENTIALS_JWT_LIFESPAN
|
int
|
10
|
quarkus.oidc."tenant".proxy.host
プロキシーのホスト名または IP アドレス。 注記: OIDC アダプターが OIDC サーバー (プロバイダー) と通信するためにプロキシーを必要とする場合は、この値を設定してプロキシーの使用を有効にします。
環境変数: QUARKUS_OIDC__TENANT__PROXY_HOST
|
string
| |
quarkus.oidc."tenant".proxy.port
プロキシーのポート番号。デフォルト値は 80 です。
環境変数: QUARKUS_OIDC__TENANT__PROXY_PORT
|
int
|
80
|
quarkus.oidc."tenant".proxy.username
プロキシーに認証が必要な場合のユーザー名。
環境変数: QUARKUS_OIDC__TENANT__PROXY_USERNAME
|
string
| |
quarkus.oidc."tenant".proxy.password
プロキシーに認証が必要な場合のパスワード。
環境変数: QUARKUS_OIDC__TENANT__PROXY_PASSWORD
|
string
| |
quarkus.oidc."tenant".tls.verification
証明書の検証とホスト名の検証。次のいずれかの Verification 値になります。デフォルトは required です。
環境変数: QUARKUS_OIDC__TENANT__TLS_VERIFICATION
|
tooltip:required[[証明書が検証され、ホスト名の検証が有効になっています。これはデフォルト値です。]、tooltip:certificate-validation[証明書は検証されますが、ホスト名の検証は無効になっています。]、tooltip:none[すべての証明書が信頼されており、ホスト名の検証は無効になっています。]
| |
quarkus.oidc."tenant".tls.key-store-file
個別のファイルを指定する代わりに証明書情報を保持するオプションのキーストア。
環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_FILE
|
path
| |
quarkus.oidc."tenant".tls.key-store-file-type
キーストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_FILE_TYPE
|
string
| |
quarkus.oidc."tenant".tls.key-store-provider
キーストアファイルのプロバイダー。指定しない場合は、キーストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_PROVIDER
|
string
| |
quarkus.oidc."tenant".tls.key-store-password
キーストアファイルのパスワード。指定しない場合は、デフォルト値の password が使用されます。
環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_PASSWORD
|
string
| |
quarkus.oidc."tenant".tls.key-store-key-alias
キーストア内の特定のキーのエイリアス。SNI が無効になっていて、キーストアに複数のキーが含まれており、エイリアスが指定されていない場合、動作は未定義になります。
環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_KEY_ALIAS
|
string
| |
quarkus.oidc."tenant".tls.key-store-key-password
キーのパスワード (key-store-password と異なる場合)。
環境変数: QUARKUS_OIDC__TENANT__TLS_KEY_STORE_KEY_PASSWORD
|
string
| |
quarkus.oidc."tenant".tls.trust-store-file
信頼する証明書の証明書情報を保持するトラストストア。
環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_FILE
|
path
| |
quarkus.oidc."tenant".tls.trust-store-password
トラストストアファイルのパスワード。
環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_PASSWORD
|
string
| |
quarkus.oidc."tenant".tls.trust-store-cert-alias
トラストストア証明書のエイリアス。
環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_CERT_ALIAS
|
string
| |
quarkus.oidc."tenant".tls.trust-store-file-type
トラストストアファイルのタイプ。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_FILE_TYPE
|
string
| |
quarkus.oidc."tenant".tls.trust-store-provider
トラストストアファイルのプロバイダー。指定しない場合は、トラストストアのファイルタイプに基づいてプロバイダーが自動的に検出されます。
環境変数: QUARKUS_OIDC__TENANT__TLS_TRUST_STORE_PROVIDER
|
string
| |
quarkus.oidc."tenant".tenant-id
一意のテナント識別子。これは、テナント設定を動的に解決する TenantConfigResolver プロバイダーによって設定できます。
環境変数: QUARKUS_OIDC__TENANT__TENANT_ID
|
string
| |
quarkus.oidc."tenant".tenant-enabled
このテナント設定が有効になっている場合。デフォルトのテナントは、設定されていないが、テナント設定を解決する TenantConfigResolver が登録されているか、名前付きテナントが設定されている場合は無効になります。この場合は、デフォルトのテナントを無効にする必要はありません。
環境変数: QUARKUS_OIDC__TENANT__TENANT_ENABLED
|
boolean
|
true
|
quarkus.oidc."tenant".application-type
アプリケーションの種類。次の ApplicationType 値のいずれかになります。
環境変数: QUARKUS_OIDC__TENANT__APPLICATION_TYPE
|
tooltip:web-app[WEB_APP はページを提供するクライアントであり、通常はフロントエンドアプリケーションです。このタイプのクライアントについては、認可コードフローがユーザー認証の推奨方法として定義されています。]、tooltip:service[SERVICE は、保護された HTTP リソースのセットを持つクライアントであり、通常は RESTful アーキテクチャー設計に準拠したバックエンドアプリケーションです。このタイプのクライアントについては、ベアラー認可方式がユーザーを認証および認可する推奨方法として定義されています。]、tooltip:hybrid[SERVICE と WEB_APP を組み合わせたクライアント。このタイプのクライアントでは、認可ヘッダーが設定されている場合はベアラー認可方式が使用され、設定されていない場合は認可コードフローが使用されます。
|
service
|
quarkus.oidc."tenant".authorization-path
ユーザーを認証する OpenID Connect (OIDC) 認可エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効な場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHORIZATION_PATH
|
string
| |
quarkus.oidc."tenant".user-info-path
OIDC UserInfo エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効で、authentication.user-info-required プロパティーが有効になっている場合は、web-app アプリケーションに対してこのプロパティーを設定する必要があります。OIDC 検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC__TENANT__USER_INFO_PATH
|
string
| |
quarkus.oidc."tenant".introspection-path
不透明トークンと JSON Web Token (JWT) トークンの両方をイントロスペクトできる OIDC RFC7662 イントロスペクションエンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、1) 不透明なベアラーアクセストークンを検証する必要がある場合、または 2) 一致する JWK のないキャッシュされた JWK 検証セットが更新されている間に JWT トークンを検証する必要がある場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_PATH
|
string
| |
quarkus.oidc."tenant".jwks-path
JSON Web キー検証セットを返す OIDC JSON Web キーセット (JWKS) エンドポイントの相対パスまたは絶対 URL。OIDC 検出が無効になっていて、ローカル JWT 検証が必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC__TENANT__JWKS_PATH
|
string
| |
quarkus.oidc."tenant".end-session-path
OIDC end_session_endpoint の相対パスまたは絶対 URL。OIDC 検出が無効で、web-app アプリケーションの RP 開始ログアウトサポートが必要な場合は、このプロパティーを設定する必要があります。検出が有効になっている場合は、このプロパティーが無視されます。
環境変数: QUARKUS_OIDC__TENANT__END_SESSION_PATH
|
string
| |
quarkus.oidc."tenant".public-key
ローカル JWT トークン検証用の公開鍵。このプロパティーが設定されている場合、OIDC サーバー接続は作成されません。
環境変数: QUARKUS_OIDC__TENANT__PUBLIC_KEY
|
string
| |
quarkus.oidc."tenant".introspection-credentials.name
名前
環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_NAME
|
string
| |
quarkus.oidc."tenant".introspection-credentials.secret
Secret
環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_SECRET
|
string
| |
quarkus.oidc."tenant".introspection-credentials.include-client-id
quarkus.oidc.client-id で設定された OpenId Connect クライアント ID を含めます。
環境変数: QUARKUS_OIDC__TENANT__INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID
|
boolean
|
true
|
quarkus.oidc."tenant".roles.role-claim-path
グループの配列を含むクレームへのパスのリスト。各パスは最上位の JWT JSON オブジェクトから始まり、複数のセグメントを含めることができます。各セグメントは JSON オブジェクト名のみを表します (例: "realm/groups")。namespace 修飾クレーム名には二重引用符を使用します。このプロパティーは、トークンに groups クレームがないが、1 つ以上の異なるクレームにグループが設定されている場合に使用できます。
環境変数: QUARKUS_OIDC__TENANT__ROLES_ROLE_CLAIM_PATH
|
文字列のリスト
| |
quarkus.oidc."tenant".roles.role-claim-separator
複数のグループ値を含む文字列を分割するための区切り文字。これは、"role-claim-path" プロパティーが、値が文字列である 1 つ以上のカスタムクレームを指している場合にのみ使用されます。標準 scope 要求にはスペースで区切られたシーケンスを含めることができるため、デフォルトでは 1 つのスペースが使用されます。
環境変数: QUARKUS_OIDC__TENANT__ROLES_ROLE_CLAIM_SEPARATOR
|
string
| |
quarkus.oidc."tenant".roles.source
主なロールのソース。
環境変数: QUARKUS_OIDC__TENANT__ROLES_SOURCE
|
ツールチップ:idtoken[ID トークン - web-app アプリケーションのデフォルト値。]、ツールチップ:accesstoken[アクセストークン - service アプリケーションのデフォルト値。web-app アプリケーションのロールのソースとしても使用できます。]、ツールチップ:userinfo[ユーザー情報]
| |
quarkus.oidc."tenant".token.issuer
予想される発行者 iss クレーム値。このプロパティーは、OpenId Connect プロバイダーの周知の設定で設定されている可能性がある issuer プロパティーをオーバーライドします。iss クレーム値がプロバイダーのホスト、IP アドレス、またはテナント ID によって異なる場合は、このプロパティーを any に設定することで発行者の検証をスキップできますが、他のオプション (固定の iss クレーム値を使用するようにプロバイダーを設定するなど) が不可能な場合にのみ実行する必要があります。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_ISSUER
|
string
| |
quarkus.oidc."tenant".token.audience
予想される audience AUD クレーム値。文字列または文字列の配列になります。audience クレームは、ID トークンに対してデフォルトで検証されることに注意してください。ID トークン audience は、quarkus.oidc.client-id プロパティーの値と同じである必要があります。OpenID Connect プロバイダーが ID トークンに異なる audience クレーム値を設定する場合は、このプロパティーを使用して期待値をオーバーライドします。プロバイダーが ID トークン audience` クレームを設定していない場合は、これを any に設定します。アクセストークンの audience 検証は、このプロパティーが設定されている場合にのみ実行されます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_AUDIENCE
|
文字列のリスト
| |
quarkus.oidc."tenant".token.subject-required
トークンに、現在のユーザーに対して一意で再割り当てされない識別子である sub (subject) クレームが含まれていることを要求します。このプロパティーを有効にし、UserInfo も必要な場合は、トークンと UserInfo sub クレームの両方が存在し、互いに一致している必要があることに注意してください。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_SUBJECT_REQUIRED
|
boolean
|
false
|
quarkus.oidc."tenant".token.required-claims
必要なクレームとその期待値のマップ。たとえば quarkus.oidc.token.required-claims.org_id = org_xyz の場合、トークンには org_id クレームが存在し、org_xyz に設定されている必要があります。サポートされている型は文字列のみです。SecurityIdentityAugmentor を使用して、他の種類のクレームや複雑なクレームを検証します。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_REQUIRED_CLAIMS
|
Map<String,String>
| |
quarkus.oidc."tenant".token.token-type
予想されるトークンの種類
環境変数: QUARKUS_OIDC__TENANT__TOKEN_TOKEN_TYPE
|
string
| |
quarkus.oidc."tenant".token.lifespan-grace
期限の猶予期間 (秒単位)。トークンの有効期限をチェックする場合、現在の時刻はトークンの有効期限より最大で設定された秒数だけ遅くなることが許可されます。トークンの発行をチェックする場合、現在の時刻はトークンの発行時刻より最大で設定された秒数だけ早くなることが許可されます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_LIFESPAN_GRACE
|
int
| |
quarkus.oidc."tenant".token.age
トークンの経過時間。iat (発行時刻) から経過してはならない秒数を指定できます。トークンの有効期限を確認するために quarkus.oidc.token.lifespan-grace で設定できるクロックのずれを考慮するための小さな余裕は、トークンの有効期間プロパティーの検証にも使用できます。このプロパティーを設定しても、Bearer および Code Flow JWT トークンに有効な (exp ) 有効期限クレーム値が必要であるという要件は緩和されないことに注意してください。このプロパティーを設定することで要件が緩和される唯一の例外は、ログアウトトークンがバックチャネルログアウト要求とともに送信される場合です。これは、現在の OpenId Connect Back-Channel 仕様では、ログアウトトークンに exp クレームが含まれていることが明示的に要求されていないためです。ただし、現在のログアウトトークンに exp クレームが含まれていない場合でも、ログアウトトークンに exp クレームが含まれている場合は、そのクレームが検証されます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_AGE
|
Duration
| |
quarkus.oidc."tenant".token.principal-claim
プリンシパル名を含むクレームの名前。デフォルトでは、upn 、preferred_username 、および sub クレームがチェックされます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_PRINCIPAL_CLAIM
|
string
| |
quarkus.oidc."tenant".token.refresh-expired
期限切れの認可コードフロー ID またはアクセストークンを更新します。このプロパティーを有効にすると、認可コード ID またはアクセストークンの有効期限が切れている場合に更新トークンリクエストが実行され、成功した場合は、ローカルセッションが新しいトークンセットで更新されます。そうでない場合、ローカルセッションは無効になり、ユーザーは再認証のために OpenID Provider にリダイレクトされます。この場合、OIDC プロバイダーセッションがまだアクティブな場合は、ユーザーは再度チャレンジされない可能性があります。このオプションを有効にするには、更新トークンが現在ユーザーセッション内に保持されているため、authentication.session-age-extension プロパティーも 0 以外の値に設定する必要があります。このオプションは、アプリケーションのタイプが ApplicationType#WEB_APP の場合にのみ有効です。このプロパティーは、quarkus.oidc.token.refresh-token-time-skew が設定されている場合に有効になります。この場合は、このプロパティーを手動で有効にする必要はありません。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_REFRESH_EXPIRED
|
boolean
|
false
|
quarkus.oidc."tenant".token.refresh-token-time-skew
更新トークンの時間のずれ (秒単位)。このプロパティーを有効にすると、認可コード ID またはアクセストークンを更新する必要があるかどうかを確認するときに、設定された秒数が現在の時刻に追加されます。合計が認可コード ID またはアクセストークンの有効期限より大きい場合は、更新が行われます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_REFRESH_TOKEN_TIME_SKEW
|
Duration
| |
quarkus.oidc."tenant".token.forced-jwk-refresh-interval
強制的な JWK セットの更新間隔 (分単位)。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_FORCED_JWK_REFRESH_INTERVAL
|
Duration
|
10 M
|
quarkus.oidc."tenant".token.header
ベアラートークンを含むカスタム HTTP ヘッダー。このオプションは、アプリケーションのタイプが ApplicationType#SERVICE の場合にのみ有効です。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_HEADER
|
string
| |
quarkus.oidc."tenant".token.authorization-scheme
HTTP 認可ヘッダースキーム。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_AUTHORIZATION_SCHEME
|
string
|
Bearer
|
quarkus.oidc."tenant".token.signature-algorithm
必要な署名アルゴリズム。OIDC プロバイダーは多くの署名アルゴリズムをサポートしていますが、必要に応じて、このプロパティーで設定されたアルゴリズムを使用して署名されたトークンのみを受け入れるように Quarkus アプリケーションを制限できます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_SIGNATURE_ALGORITHM
|
rs256 , rs384 , rs512 , ps256 , ps384 , ps512 , es256 , es384 , es512 , eddsa
| |
quarkus.oidc."tenant".token.decryption-key-location
復号化キーの場所。JWT トークンは、OpenId Connect プロバイダーによって内部署名および暗号化できます。ただし、プロバイダーが秘密の復号化キーを制御していない場合があるため、このようなトークンをリモートでイントロスペクトすることが常に可能であるとは限りません。このような場合は、このプロパティーを、PEM または JSON Web Key (JWK) 形式の復号化秘密鍵を含むファイルを指すように設定します。このプロパティーが設定されておらず、private_key_jwt クライアント認証方法が使用されている場合、クライアント認証 JWT トークンの署名に使用される秘密鍵は、暗号化された ID トークンの復号にも使用されます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_DECRYPTION_KEY_LOCATION
|
string
| |
quarkus.oidc."tenant".token.allow-jwt-introspection
一致する JWK キーが利用できない場合に、JWT トークンのリモートイントロスペクションを許可します。下位互換性のため、このプロパティーはデフォルトで true に設定されています。このデフォルト値は、今後のリリースで false に変更される予定です。また、JWK エンドポイント URI が利用できず、トークンのイントロスペクションが唯一の検証オプションである場合、このプロパティーは無視されることに注意してください。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_ALLOW_JWT_INTROSPECTION
|
boolean
|
true
|
quarkus.oidc."tenant".token.require-jwt-introspection-only
JWT トークンはリモートでのみイントロスペクトされるように要求します。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_REQUIRE_JWT_INTROSPECTION_ONLY
|
boolean
|
false
|
quarkus.oidc."tenant".token.allow-opaque-token-introspection
不透明トークンのリモートイントロスペクションを許可します。JWT トークンのみが予想される場合は、このプロパティーを false に設定します。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION
|
boolean
|
true
|
quarkus.oidc."tenant".token.customizer-name
トークンカスタマイザー名。テナント固有のトークンカスタマイザーを名前付き Bean として選択できるようにします。カスタム TokenCustomizer を登録するときは、TenantFeature 修飾子を使用することを推奨します。このプロパティーは、このエクステンションによって提供される TokenCustomizer 実装を参照する場合にのみ使用してください。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_CUSTOMIZER_NAME
|
string
| |
quarkus.oidc."tenant".token.verify-access-token-with-user-info
不透明 (バイナリー) アクセストークンを使用して UserInfo をリクエストし、そのアクセストークンが有効であることを間接的に確認します。プロバイダーがこのトークンを受け入れ、有効な UserInfo を返した場合、不透明アクセストークンは有効であると見なされます。このオプションは、不透明アクセストークンを受け入れる必要があるが、OpenId Connect プロバイダーにトークンイントロスペクションエンドポイントがない場合にのみ有効にする必要があります。JWT トークンを検証する必要がある場合、このプロパティーは効果がありません。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO
|
boolean
|
false
|
quarkus.oidc."tenant".logout.path
アプリケーションのログアウトエンドポイントの相対パス。指定されている場合、アプリケーションは OpenID Connect RP 開始ログアウト仕様に準拠して、このエンドポイントを介してログアウトを開始できます。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_PATH
|
string
| |
quarkus.oidc."tenant".logout.post-logout-path
OpenID Connect Provider からログアウトした後にユーザーがリダイレクトされるアプリケーションエンドポイントの相対パス。このエンドポイント URI は、有効なリダイレクト URI として OpenID Connect Provider に適切に登録されている必要があります。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_POST_LOGOUT_PATH
|
string
| |
quarkus.oidc."tenant".logout.post-logout-uri-param
ログアウトリダイレクト URI にクエリーパラメーターとして追加される、ログアウト後の URI パラメーターの名前。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_POST_LOGOUT_URI_PARAM
|
string
|
post_logout_redirect_uri
|
quarkus.oidc."tenant".logout.extra-params
ログアウトリダイレクト URI にクエリーパラメーターとして追加される追加プロパティー。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_EXTRA_PARAMS
|
Map<String,String>
| |
quarkus.oidc."tenant".logout.backchannel.path
アプリケーションにおける Back-Channel Logout エンドポイントの相対パス。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_PATH
|
string
| |
quarkus.oidc."tenant".logout.backchannel.token-cache-size
セッション Cookie に保存されている ID トークンと照合される前にキャッシュできるログアウトトークンの最大数。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_TOKEN_CACHE_SIZE
|
int
|
10
|
quarkus.oidc."tenant".logout.backchannel.token-cache-time-to-live
ログアウトトークンをキャッシュできる時間 (分)。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE
|
Duration
|
10 M
|
quarkus.oidc."tenant".logout.backchannel.clean-up-timer-interval
トークンキャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_CLEAN_UP_TIMER_INTERVAL
|
Duration
| |
quarkus.oidc."tenant".logout.backchannel.logout-token-key
トークンをキャッシュするためのキーとして値が使用されるログアウトトークン要求。キーとして使用できるのは、sub (subject) および sid (session id) クレームのみです。OIDC プロバイダーによって発行された ID トークンに sub がなく、sid クレームがある場合にのみ、sid に設定します。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY
|
string
|
sub
|
quarkus.oidc."tenant".logout.frontchannel.path
アプリケーションにおける Front-Channel Logout エンドポイントの相対パス。
環境変数: QUARKUS_OIDC__TENANT__LOGOUT_FRONTCHANNEL_PATH
|
string
| |
quarkus.oidc."tenant".certificate-chain.leaf-certificate-name
リーフ証明書のコモンネーム。この証明書が trust-store-file にインポートされていない場合は設定する必要があります。
環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_LEAF_CERTIFICATE_NAME
|
string
| |
quarkus.oidc."tenant".certificate-chain.trust-store-file
信頼された証明書のサムプリントを保存する Truststore ファイル。
環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_FILE
|
path
| |
quarkus.oidc."tenant".certificate-chain.trust-store-password
trust-store-file で設定されている場合は、トラストストアファイルのパスワードを指定するパラメーター。
環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_PASSWORD
|
string
| |
quarkus.oidc."tenant".certificate-chain.trust-store-cert-alias
トラストストア証明書のエイリアスを指定するためのパラメーター。
環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS
|
string
| |
quarkus.oidc."tenant".certificate-chain.trust-store-file-type
トラストストアファイルのタイプを指定するためのオプションパラメーター。指定されていない場合、ファイル名に基き自動的に型が検出されます。
環境変数: QUARKUS_OIDC__TENANT__CERTIFICATE_CHAIN_TRUST_STORE_FILE_TYPE
|
string
| |
quarkus.oidc."tenant".authentication.response-mode
認可コードフローレスポンスモード。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_RESPONSE_MODE
|
tooltip:query[認可レスポンスパラメーターは、redirect_uri に追加されたクエリー文字列にエンコードされます。]、tooltip:form-post[認可レスポンスパラメーターは、ブラウザーで自動送信され、application/x-www-form-urlencoded コンテンツタイプを使用して HTTP POST メソッドによって送信される HTML フォーム値としてエンコードされます。]
|
query
|
quarkus.oidc."tenant".authentication.redirect-path
redirect_uri クエリーパラメーターを計算するための相対パス。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、現在のリクエスト URI が https://localhost:8080/service 場合、このプロパティーが / に設定されている場合は redirect_uri パラメーターが https://localhost:8080/ に設定され、このプロパティーが設定されていない場合はリクエスト URI と同じになります。restorePathAfterRedirect が true に設定されている場合は、ユーザーが認証された後に元のリクエスト URI が復元されることに注意してください。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_REDIRECT_PATH
|
string
| |
quarkus.oidc."tenant".authentication.restore-path-after-redirect
このプロパティーを true に設定すると、ユーザーがアプリケーションにリダイレクトされた後、認証前に使用された元のリクエスト URI が復元されます。注意: redirectPath プロパティーが設定されていない場合は、このプロパティーが無効になっていても元のリクエスト URI が復元されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.remove-redirect-parameters
ユーザーが認証された後、クエリーパラメーターなしでユーザーを同じ URI にリダイレクトして、リダイレクト URI 上の OIDC サーバーによって設定された code や state などのクエリーパラメーターを削除します。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_REMOVE_REDIRECT_PARAMETERS
|
boolean
|
true
|
quarkus.oidc."tenant".authentication.error-path
OIDC 認可エンドポイントからのエラーレスポンスを処理するパブリックエンドポイントへの相対パス。ユーザー認証が失敗した場合、OIDC プロバイダーは、期待される認可 code の代わりに、error とオプションの error_description パラメーターを返します。このプロパティーが設定されている場合、ユーザーは、ユーザーフレンドリーなエラー説明ページを返すことができるエンドポイントにリダイレクトされます。スラッシュから始まり、リクエスト URI のホストとポートに追加されます。たとえば、これが /error に設定され、現在のリクエスト URI が https://localhost:8080/callback?error=invalid_scope 場合、リダイレクトは https://localhost:8080/error?error=invalid_scope に行われます。このプロパティーが設定されていない場合、ユーザー認証が失敗した場合に HTTP 401 ステータスが返されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ERROR_PATH
|
string
| |
quarkus.oidc."tenant".authentication.verify-access-token
ID トークンとアクセストークンの両方が、認可コードフローの一部として OIDC プロバイダーから取得されます。ID トークンは、プリンシパルを表し、ロールを抽出するために使用されるプライマリートークンとして、すべてのユーザーリクエストで常に検証されます。アクセストークンは、ダウンストリームサービスに伝播されることを意図しているため、デフォルトでは検証されません。アクセストークンが JWT トークンとして注入される場合は、アクセストークンの検証を有効にする必要があります。コードフローの一部として取得されたアクセストークンは、quarkus.oidc.roles.source プロパティーが accesstoken に設定されている場合に、常に検証されます。つまり、承認の決定はアクセストークンから抽出されたロールに基づいて行われます。ベアラーアクセストークンは常に検証されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_VERIFY_ACCESS_TOKEN
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.force-redirect-https-scheme
SSL/TLS 終了リバースプロキシーの背後で実行する場合は、redirect_uri パラメータースキームとして https を強制します。このプロパティーを有効にすると、ログアウト post_logout_redirect_uri とローカルリダイレクト要求にも影響します。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FORCE_REDIRECT_HTTPS_SCHEME
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.scopes
スコープのリスト
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_SCOPES
|
文字列のリスト
| |
quarkus.oidc."tenant".authentication.nonce-required
ID トークンに nonce 認証要求クエリーパラメーターと一致する nonce クレームが含まれていることを要求します。このプロパティーを有効にすると、リプレイ攻撃を軽減するのに役立ちます。OpenId Connect プロバイダーが ID トークンの nonce 設定をサポートしていない場合、または ID トークンを発行しない GitHub などの OAuth2 プロバイダーを使用している場合は、このプロパティーを有効にしないでください。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_NONCE_REQUIRED
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.add-openid-scope
openid スコープをスコープのリストに自動的に追加します。これは OpenId Connect プロバイダーには必須ですが、このスコープを受け入れずエラーを出力する Twitter OAuth2 などの OAuth2 プロバイダーでは機能しません。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ADD_OPENID_SCOPE
|
boolean
|
true
|
quarkus.oidc."tenant".authentication.extra-params
認証リダイレクト URI にクエリーパラメーターとして追加された追加のプロパティー。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_EXTRA_PARAMS
|
Map<String,String>
| |
quarkus.oidc."tenant".authentication.forward-params
存在する場合は認証リダイレクト URI に追加される URL クエリーパラメーターを要求します。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FORWARD_PARAMS
|
文字列のリスト
| |
quarkus.oidc."tenant".authentication.cookie-force-secure
有効にすると、HTTP の使用時に、状態、セッション、およびログアウト後の Cookie の secure パラメーターが true に設定されます。SSL/TLS 終了リバースプロキシーの背後で実行する場合に必要な場合があります。このプロパティーが false に設定されていても、HTTPS が使用されていれば、Cookie は常にセキュアです。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_FORCE_SECURE
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.cookie-suffix
Cookie 名の接尾辞。たとえば、デフォルトの OIDC テナントのセッション Cookie 名は q_session ですが、このプロパティーを test に設定すると q_session_test に変更できます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_SUFFIX
|
string
| |
quarkus.oidc."tenant".authentication.cookie-path
Cookie パスパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用されます。cookie-path-header プロパティーが最初にチェックされます (設定されている場合)。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_PATH
|
string
|
/
|
quarkus.oidc."tenant".authentication.cookie-path-header
Cookie パスヘッダーパラメーター値。設定されている場合、セッション、状態、およびログアウト後の Cookie のパスパラメーターを設定するのに使用される値の受信 HTTP ヘッダーを識別します。ヘッダーが欠落している場合は、cookie-path プロパティーがチェックされます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_PATH_HEADER
|
string
| |
quarkus.oidc."tenant".authentication.cookie-domain
設定されている場合、セッション、状態、およびログアウト後の Cookie に使用される Cookie ドメインパラメーター値。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_DOMAIN
|
string
| |
quarkus.oidc."tenant".authentication.cookie-same-site
セッション Cookie の SameSite 属性。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_COOKIE_SAME_SITE
|
strict , lax , none
|
lax
|
quarkus.oidc."tenant".authentication.allow-multiple-code-flows
状態 Cookie が存在する場合は、state クエリーパラメーターも存在する必要があり、リダイレクトパスが現在のパスと一致する場合、状態 Cookie 名の接尾辞と状態 Cookie 値の両方が state クエリーパラメーターの値と一致する必要があります。ただし、同じブラウザーから、たとえば異なるブラウザータブから複数の認証が試行された場合、現在使用可能な状態 Cookie は、別のタブから開始された認証フローを表し、現在のリクエストとは関係がない可能性があります。同じブラウザーで単一の認可コードフローのみを許可するには、このプロパティーを無効にします。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS
|
boolean
|
true
|
quarkus.oidc."tenant".authentication.fail-on-missing-state-param
状態 Cookie は存在するが状態クエリーパラメーターが存在しない場合は、HTTP 401 エラーで失敗します。
複数の認証が無効になっているか、リダイレクト URL が元の要求 URL と一致する場合、OpenId Connect プロバイダーへの以前の失敗したリダイレクトからの古い状態 Cookie がブラウザーキャッシュに残り、現在の要求中に表示される可能性があります。たとえば、シングルページアプリケーション (SPA) が XHR を使用して、認可エンドポイントで CORS をサポートしていないプロバイダーへのリダイレクトを処理する場合、ブラウザーはそれをブロックし、Quarkus によって作成された状態 Cookie はブラウザーキャッシュに残ります。Quarkus は、このような古い状態 Cookie を検出したが、一致する状態クエリーパラメーターが見つからない場合に、認証失敗を報告します。
このような場合には、通常、HTTP 401 エラーを報告するのが適切です。これにより、ブラウザーのリダイレクトループのリスクが最小限に抑えられるだけでなく、SPA または Quarkus アプリケーションがリダイレクトを管理する方法の問題を特定することもできます。たとえば、このようなエラーを回避するには、java-script-auto-redirect を有効にするか、プロバイダーを redirect-path で設定された URL にリダイレクトさせる必要がある場合があります。
ただし、上記のオプションが適切でない場合は、このプロパティーを false に設定すると役立つ場合があります。これにより、OpenId Connect プロバイダーへの新しい認証リダイレクトが発生します。そうすると、ブラウザーのリダイレクトループのリスクが高まる可能性があります。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_FAIL_ON_MISSING_STATE_PARAM
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.user-info-required
このプロパティーが true に設定されている場合は、OIDC UserInfo エンドポイントが呼び出されます。このプロパティーは、quarkus.oidc.roles.source が userinfo の場合、quarkus.oidc.token.verify-access-token-with-user-info が true の場合、または quarkus.oidc.authentication.id-token-required が false に設定されている場合に有効になります。これらの場合には、このプロパティーを手動で有効にする必要はありません。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_USER_INFO_REQUIRED
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.session-age-extension
セッションの有効期間を分単位で延長します。ユーザーセッションの有効期間プロパティーは、デフォルトで ID トークンの有効期間の値に設定され、セッションの有効期限が切れると、ユーザーは OIDC プロバイダーにリダイレクトされて再認証されます。このプロパティーがゼロ以外の値に設定されている場合は、セッションの有効期限が切れる前に期限切れの ID トークンを更新できます。token.refresh-expired プロパティーが有効になっていないと、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_SESSION_AGE_EXTENSION
|
Duration
|
5 M
|
quarkus.oidc."tenant".authentication.java-script-auto-redirect
このプロパティーが true に設定されている場合、リクエストが XMLHttpRequest または Fetch などの JavaScript API によって開始され、現在のユーザーを (再) 認証する必要がある場合に、通常の 302 リダイレクトレスポンスが返されます。これは、OIDC 認可エンドポイントが通常 CORS をサポートしていない場合、リダイレクトに自動的に従うことが機能しない可能性があるため、シングルページアプリケーション (SPA) には望ましくない可能性があります。
このプロパティーが false に設定されている場合、現在のリクエストを JavaScript リクエストとして識別するリクエストヘッダーが見つかった場合に、SPA がリダイレクトを手動で処理できるように、ステータスコード 499 が返されます。このプロパティーが有効になっている場合、デフォルトでは、値が JavaScript または XMLHttpRequest に設定された X-Requested-With リクエストヘッダーが想定されます。代わりにカスタム JavaScriptRequestChecker を登録して、カスタム JavaScript リクエストチェックを実行することもできます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT
|
boolean
|
true
|
quarkus.oidc."tenant".authentication.id-token-required
認可コードフローが完了したときに ID トークンが使用可能であることを必須にします。ID トークンを返さない OAuth2 プロバイダーで認可コードフローを使用する必要がある場合にのみ、このプロパティーを無効にします。そのような場合には、内部 IdToken が生成されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_ID_TOKEN_REQUIRED
|
boolean
|
true
|
quarkus.oidc."tenant".authentication.internal-id-token-lifespan
内部 ID トークンの有効期間。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN
|
Duration
|
5 M
|
quarkus.oidc."tenant".authentication.pkce-required
Proof Key for Code Exchange (PKCE) の使用を必須にします。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_PKCE_REQUIRED
|
boolean
|
false
|
quarkus.oidc."tenant".authentication.state-secret
コードフロー状態で Proof Key for Code Exchange (PKCE) コードベリファイアまたは nonce、もしくはその両方を暗号化するために使用されるシークレット。このシークレットは少なくとも 32 文字の長さである必要があります。
このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。クライアントシークレットの長さが 32 文字未満の場合、そのクライアントシークレットは状態暗号化シークレットとして使用されません。
これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。
シークレットの長さが 16 文字未満の場合、エラーが報告されます。
環境変数: QUARKUS_OIDC__TENANT__AUTHENTICATION_STATE_SECRET
|
string
| |
quarkus.oidc."tenant".code-grant.extra-params
必須の code および redirect-uri パラメーターに加えて、認可コードグラントリクエストを完了するために含めなければならない追加のパラメーター。
環境変数: QUARKUS_OIDC__TENANT__CODE_GRANT_EXTRA_PARAMS
|
Map<String,String>
| |
quarkus.oidc."tenant".code-grant.headers
認可コードグラントリクエストを完了するために送信する必要があるカスタム HTTP ヘッダー。
環境変数: QUARKUS_OIDC__TENANT__CODE_GRANT_HEADERS
|
Map<String,String>
| |
quarkus.oidc."tenant".token-state-manager.strategy
デフォルトの TokenStateManager ストラテジー。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_STRATEGY
|
tooltip:keep-all-tokens[ID、アクセストークン、更新トークンを保持します。], tooltip:id-token[ID トークンのみを保持します], tooltip:id-refresh-tokens[ID トークンと更新トークンのみを保持します]
|
keep-all-tokens
|
quarkus.oidc."tenant".token-state-manager.split-tokens
デフォルトの TokenStateManager は、デフォルトで、認可コードグラントのレスポンスで返されたすべてのトークン (ID、アクセス、更新) を単一のセッション Cookie に保持します。このプロパティーを有効にすると、セッション Cookie のサイズが最小化されます
環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_SPLIT_TOKENS
|
boolean
|
false
|
quarkus.oidc."tenant".token-state-manager.encryption-required
デフォルトの TokenStateManager がトークンを保存するセッション Cookie を暗号化することを必須にします。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_ENCRYPTION_REQUIRED
|
boolean
|
true
|
quarkus.oidc."tenant".token-state-manager.encryption-secret
encryption-required プロパティーが有効な場合に、トークンを格納するセッション Cookie を暗号化するためにデフォルトの TokenStateManager によって使用されるシークレット。
このシークレットが設定されていない場合は、quarkus.oidc.credentials.secret または quarkus.oidc.credentials.client-secret.value のいずれかで設定されたクライアントシークレットがチェックされます。最後に、client_jwt_secret 認証に使用できる quarkus.oidc.credentials.jwt.secret をチェックします。これらすべてのプロパティーをチェックした後もシークレットが初期化されていない場合は、シークレットが自動生成されます。
トークンの暗号化に使用されるシークレットの長さは、少なくとも 32 文字である必要があります。シークレットの長さが 16 文字未満の場合、警告が記録されます。
環境変数: QUARKUS_OIDC__TENANT__TOKEN_STATE_MANAGER_ENCRYPTION_SECRET
|
string
| |
quarkus.oidc."tenant".allow-token-introspection-cache
トークンイントロスペクションデータのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのトークンイントロスペクションのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。
環境変数: QUARKUS_OIDC__TENANT__ALLOW_TOKEN_INTROSPECTION_CACHE
|
boolean
|
true
|
quarkus.oidc."tenant".allow-user-info-cache
ユーザー情報データのキャッシュを許可します。このプロパティーを有効にしても、キャッシュ自体は有効にならず、特定のテナントのユーザー情報データのキャッシュのみが許可されることに注意してください。デフォルトのトークンキャッシュを使用できる場合は、OidcConfig.TokenCache を参照して有効にしてください。
環境変数: QUARKUS_OIDC__TENANT__ALLOW_USER_INFO_CACHE
|
boolean
|
true
|
quarkus.oidc."tenant".cache-user-info-in-idtoken
UserInfo をトークンキャッシュにキャッシュするのではなく、IdToken にインライン化できるようにします。このプロパティーは、Oauth2 プロバイダーが IdToken を返さない場合に内部 IdToken が生成される場合にのみチェックされます。生成された IdToken に UserInfo をインライン化すると、それをセッション Cookie に保存でき、キャッシュされた状態が導入されるのを回避できます。
環境変数: QUARKUS_OIDC__TENANT__CACHE_USER_INFO_IN_IDTOKEN
|
boolean
|
false
|
quarkus.oidc."tenant".jwks.resolve-early
OIDC プロバイダーへの接続が初期化される瞬間に JWK 検証キーを取得する必要がある場合。
このプロパティーを無効にすると、現在のトークンを検証する必要がある瞬間までキーの取得が遅延となります。通常、これは、トークンまたはその他の関連付けられたリクエストプロパティーが、キーを正しく解決するために必要な追加のコンテキストを提供する場合にのみ必要になります。
環境変数: QUARKUS_OIDC__TENANT__JWKS_RESOLVE_EARLY
|
boolean
|
true
|
quarkus.oidc."tenant".jwks.cache-size
キャッシュできる JWK キーの最大数。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC__TENANT__JWKS_CACHE_SIZE
|
int
|
10
|
quarkus.oidc."tenant".jwks.cache-time-to-live
JWK キーをキャッシュできる時間 (分)。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC__TENANT__JWKS_CACHE_TIME_TO_LIVE
|
Duration
|
10 M
|
quarkus.oidc."tenant".jwks.clean-up-timer-interval
キャッシュタイマー間隔。このプロパティーが設定されている場合は、タイマーが定期的に古いエントリーをチェックして削除します。resolve-early プロパティーが true に設定されている場合、このプロパティーは無視されます。
環境変数: QUARKUS_OIDC__TENANT__JWKS_CLEAN_UP_TIMER_INTERVAL
|
Duration
| |
quarkus.oidc."tenant".provider
周知の OpenId Connect プロバイダー識別子
環境変数: QUARKUS_OIDC__TENANT__PROVIDER
|
apple , discord , facebook , github , google , linkedin , mastodon , microsoft , spotify , strava , twitch , twitter , x
| |