付録A 参考資料

prefix

各ロールに追加する接頭辞。

suffix

各ロールに追加する接尾辞。

http-server-mechanism-factories

集約する HTTP サーバーファクトリーのリスト。

principal-decoders

集約するプリンシパルデコーダーのリスト。

principal-transformers

集約するプリンシパルトランスフォーマーのリスト。

providers

集約する参照 Provider[] リソースのリスト。

authentication-realm

認証手順に使用するセキュリティーレルムへの参照。これは、認証情報の取得または検証に使用されます。

authorization-realm

認可手順のアイデンティティーの読み込みに使用するセキュリティーレルムへの参照。

authorization-realms

承認手順のアイデンティティーを読み込むために集約するセキュリティーレルムへの参照。

複数の承認レルムの使用方法は、アイデンティティー管理の設定方法 ガイドの 複数のアイデンティティーストアを使用した認証および承認の設定 を参照してください。

role-mappers

集約するロールマッパーのリスト。

sasl-server-factories

集約する SASL サーバーファクトリーのリスト。

anonymous

true の場合は、匿名認証が許可されます。デフォルトは false です。

authentication-name

使用する認証名。

authorization-name

使用する認証名。

credential-reference

認証に使用する認証情報。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。

extends

拡張する既存の認証設定。

host

使用するホスト。

kerberos-security-factory

GSS kerberos 認証情報の取得に使用される kerberos セキュリティーファクトリーへの参照。

mechanism-properties

SASL 認証メカニズムの設定プロパティー。

port

使用するポート。

protocol

使用するプロトコル。

realm

使用するレルム。

sasl-mechanism-selector

SASL メカニズムセレクター文字列。sasl-mechanism-selector に必要な文法に関する詳細は、JBoss EAP の サーバーセキュリティーの設定方法 に記載されている sasl-mechanism-selector 文法 を参照してください。

security-domain

転送されたアイデンティティーを取得するためのセキュリティードメインへの参照。

extends

拡張する既存の認証コンテキスト。

match-rules

この認証コンテキストに対して照合するルール。

authentication-configuration

一致が成功した場合に使用する認証設定への参照。

match-abstract-type

照合する抽象型。

match-abstract-type-authority

照合する抽象型の認証局。

match-host

照合するホスト。

match-local-security-domain

照合するローカルセキュリティードメイン。

match-no-user

true の場合、ルールはユーザーを照合しません。

match-path

照合するパッチ。

match-port

照合するポート。

match-protocol

照合するプロトコル。

match-urn

照合する URN。

match-user

照合するユーザー。

ssl-context

正常な一致に使用する ssl-context への参照。

maximum-age

項目がキャッシュ内に留まることができる時間 (ミリ秒単位)。-1 の値では、無制限で項目を維持します。デフォルトは -1 です。

maximum-entries

キャッシュに保持するエントリーの最大数。デフォルトは 16 です。

realm

jdbc-realm、ldap-realm、filesystem-realm またはカスタマーセキュリティーレリムなどのキャッシュ可能なセキュリティーレリムへの参照。

upper-case

true (デフォルト設定) に設定されている場合に、プリンシパルトランスフォーマーの名前を大文字に変換する任意の属性。プリンシパルトランスフォーマーの名前を小文字に変換するには、この属性を false に設定します。

alias

キーストアの証明書の認証局アカウントキーのエイリアス。エイリアスがキーストアに存在しない場合は、認証局アカウントキーが自動的に生成され、エイリアスの下に PrivateKeyEntry として保存されます。

certificate-authority

使用する認証局の名前。デフォルトおよび唯一許可される値は LetsEncrypt です。

contact-urls

認証局がこのアカウントに関連する問題について連絡できる URL のリスト。

credential-reference

認証局アカウントキーにアクセスする際に使用される認証情報。

key-store

認証局アカウントキーが含まれるキーストア。

principal-transformers

チェーンするプリンシパルトランスフォーマーのリスト。

cipher-suite-filter

有効な暗号スイートを指定するために適用するフィルター。このフィルターは、コロン、コンマ、またはスペースで区切られた項目のリストを取得します。各項目は、OpenSSL 形式の暗号スイート名、標準の SSL/TLS 暗号スイート名、または TLSv1.2 や DES などのキーワードになります。キーワードの詳細なリストおよびフィルター作成の詳細は、CipherSuiteSelector の Javadoc で掲載されています。デフォルト値は DEFAULT で、NULL 暗号化のない既知の暗号スイートすべてに対応し、認証のない暗号スイートを除外します。

key-manager

SSLContext 内で使用する key-manager への参照。

プロトコル

有効なプロトコル。許可されるオプション: SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3これは、デフォルトで TLSv1、TLSv1.1、TLSv1.2、および TLSv1.3 を有効にするように設定されています。

provider-name

使用するプロバイダーの名前。指定されていない場合は、プロバイダーからのプロバイダーはすべて SSLContext に渡されます。

providers

SSLContext の読み込みに使用する Provider[] を取得するプロバイダーの名前。

session-timeout

SSL セッションのタイムアウト。

trust-manager

SSLContext 内で使用する trust-manager への参照。

joiner

principal-decoders 属性の値を結合するのに使用される文字列。

principal-decoders

連結するプリンシパルデコーダーのリスト。

filters

名前に基づいてメカニズムを有効または無効にするために適用するフィルターのリスト。

http-server-mechanism-factory

ラップする http サーバーファクトリーへの参照。

properties

HTTP サーバーファクトリー呼び出しに渡されるカスタムプロパティー。

pattern-filter

正規表現パターンに基づいたフィルター

有効化

true の場合は、メカニズムが一致するとフィルターが有効になります。デフォルトは true です。

filters

順番に評価し、or を使用して組み合わせるフィルターのリスト。

properties

SASL サーバーファクトリー呼び出しに渡されるカスタムプロパティー。

protocol

メカニズムの作成時にファクトリーに渡されるプロトコル。

sasl-server-factory

ラップされる SASL サーバーファクトリーへの参照。

server-name

メカニズムの作成時にファクトリーに渡されるサーバー名。

有効化

true の場合は、ファクトリーが一致するとフィルターが有効になります。デフォルトは true です。

predefined-filter

メカニズム名をフィルターするために使用する事前定義フィルター。使用できる値は、HASH_MD5、HASH_SHA、HASH_SHA_256、HASH_SHA_384、HASH_SHA_512、GS2、SCRAM、DIGEST、IEC_ISO_9798、EAP、MUTUAL、BINDING、RECOMMENDED です。

pattern-filter

正規表現に基づくメカニズム名のフィルター。

permission-sets

一致する場合に割り当てるパーミッションセット。パーミッションセットを使用すると、パーミッションをアイデンティティーに割り当てることができます。

permission-set は以下の属性を取ることができます。

constant

プリンシパルデコーダーが常に返す定数値。

constant

このプリンシパルトランスフォーマーが常に返す定数値。

realm-name

返されるレルムへの参照。

roles

返されるロールのリストです。

create

クレデンシャルストアが存在しない場合に、ストレージを作成するかどうかを指定します。デフォルト値は false です。

credential-reference

保護パラメーターの作成に使用される認証情報への参照。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。

implementation-properties

クレデンシャルストアの実装固有のプロパティーのマッピング。

modifiable

クレデンシャルストアを変更できるかどうか。デフォルト値は true です。

other-providers

必要な Jakarta Connectors オブジェクトをクレデンシャルストア内で作成できるものを検索するためにプロバイダーを取得するプロバイダーの名前。これはキーストアベースのクレデンシャルストアにのみ有効です。これが指定されていない場合は、代わりにプロバイダーのグローバルリストが使用されます。

path

クレデンシャルストアのファイル名。

provider-name

CredentialStoreSpi をインスタンス化するために使用するプロバイダーの名前。プロバイダーが指定されていない場合は、指定したタイプのインスタンスを作成できる、見つかった最初のプロバイダーが使用されます。

providers

必要なクレデンシャルストアタイプを作成できるプロバイダーを検索するプロバイダーの名前。これが指定されていない場合は、代わりにプロバイダーのグローバルリストが使用されます。

relative-to

このクレデンシャルストアパスが相対するベースパス。

type

クレデンシャルストアのタイプ (例: KeyStoreCredentialStore )。

entry-type

クレデンシャルストアに保存された認証情報エントリーのタイプ。

secret-value

パスワードなどのシークレット値。

cryptoAlg

外部ストレージでのエントリーの暗号化と複合化に使用される暗号化アルゴリズム名。この属性は、external が有効な場合にのみ有効です。デフォルトは AES です。

external

データが外部ストレージに保存され、keyAlias によって暗号化されるかどうか。デフォルトは false です。

externalPath

外部ストレージへのパスを指定します。この属性は、external が有効な場合にのみ有効です。

keyAlias

外部ストレージへのデータの暗号化または復号化に使用されるクレデンシャルストア内のシークレットキーエイリアス。

keyStoreType

PKCS11 など、キーストアタイプデフォルトは KeyStore.getDefaultType() です。

class-name

カスタムセキュリティーファクトリーの実装のクラス名。

configuration

カスタムセキュリティーファクトリーのオプションのキーおよび値設定。

module

カスタムセキュリティーファクトリーのロードに使用するモジュール。

class-name

カスタムレルムの実装のクラス名。

configuration

カスタムレルムのオプションのキーおよび値設定。

module

カスタムレルムのロードに使用するモジュール。

class-name

パーミッションマッパーの完全修飾クラス名。

configuration

パーミッションマッパーのオプションのキーおよび値設定。

module

パーミッションマッパーのロードに使用するモジュールの名前。

class-name

プリンシパルデコーダーの完全修飾クラス名。

configuration

プリンシパルデコーダーのオプションのキーおよび値設定。

module

プリンシパルデコーダーのロードに使用するモジュールの名前。

class-name

プリンシパルトランスフォーマーの完全修飾クラス名。

configuration

プリンシパルトランスフォーマーのオプションのキーおよび値設定。

module

プリンシパルトランスフォーマーのロードに使用するモジュールの名前。

class-name

カスタムレルムの完全修飾クラス名。

configuration

カスタムレルムのオプションのキーおよび値設定。

module

カスタムレルムのロードに使用するモジュールの名前。

class-name

レルムマッパーの完全修飾クラス名。

configuration

レルムマッパーのオプションのキーおよび値設定。

module

レルムマッパーのロードに使用するモジュールの名前。

class-name

ロールデコーダーの完全修飾クラス名。

configuration

ロールデコーダーのオプションのキーおよび値設定。

module

ロールデコーダーのロードに使用するモジュールの名前。

class-name

ロールマッパーの完全修飾クラス名。

configuration

ロールマッパーのオプションのキーおよび値設定。

module

ロールマッパーのロードに使用するモジュールの名前。

authentication-context

LDAP サーバーに接続するためのログイン認証情報を取得する認証コンテキスト。authentication-level が none の場合は省略できます。これは、匿名認証に相当します。

authentication-level

使用する認証レベル (セキュリティーレベルまたは認証メカニズム)SECURITY_AUTHENTICATION または java.naming.security.authentication 環境プロパティーに対応します。許可される値は none、simple、および sasl_mech 形式です。sasl_mech 形式は、SASL メカニズム名のスペース区切りリストです。

connection-timeout

LDAP サーバーへの接続のタイムアウト (ミリ秒単位)。

credential-reference

LDAP サーバーを認証し、接続するクレデンシャル参照。これは、authentication-level が none の場合は省略できます。これは、匿名認証に相当します。

enable-connection-pooling

true 接続プールが有効になっている場合。デフォルトは false です。

module

クラスローディングベースとして使用されるモジュールの名前。

principal

LDAP サーバーを認証し、接続するプリンシパル。これは、authentication-level が none の場合は省略できます。これは、匿名認証に相当します。

properties

DirContext の追加接続プロパティー。

read-timeout

LDAP 操作の読み取りタイムアウト (ミリ秒単位)。

referral-mode

照会に従う必要があるかどうかを判断するために使用されるモード。使用できる値は FOLLOW、IGNORE、および THROW です。デフォルトは IGNORE です。

ssl-context

LDAP サーバーへの接続をセキュア化するために使用される SSL コンテキストの名前。

url

接続 URL

default-resolver

任意の属性です。暗号化式がレスポンダなしで定義されている場合に使用するレスポンダです。たとえば、default-resolver として "exampleResolver" に設定し、/subsystem=elytron/expression=encryption:create-expression (clear-text=Test Password) コマンドで暗号化式を作成した場合に、Elytron はこの暗号化式のリゾルバーとして "exampleResolver" を使用します。

prefix

暗号化式で使用される接頭辞です。デフォルトは ENC です。この属性は、ENC がすでに定義済みの場合に指定します。すでに定義されている ENC 接頭辞と競合しない限り、この値を変更すべきではありません。

リゾルバー

定義されたリゾルバーのリストです。リゾルバーには以下の属性があります。

encoded

アイデンティティー名がファイル名でエンコードされて (Base32) 保存されるべきかどうか。

レベル

適用するディレクトリーハッシュのレベルの数。デフォルト値は 2 です。

path

レルムを含むファイルへのパス。

relative-to

path で使用する事前に定義された相対パス。例: jboss.server.config.dir

alias-filter

key-store から返されたエイリアスに適用するフィルター。返すエイリアスのコンマ区切りのリスト、または以下の形式のいずれかを指定できます。

key-store

フィルター処理する key-store への参照。

algorithm

RSA、DSA、EC などの暗号化アルゴリズムを指定します。デフォルト値は RSA です。

size

秘密鍵のサイズをビット数で指定します。キーペアタイプのデフォルトのサイズ値 (ビット) は以下の通りです。RSA は 2048、DSA は 2048、EC は 256 です。

http-server-mechanism-factory

このリソースに関連付ける HttpServerAuthenticationMechanismFactory。

mechanism-configurations

メカニズム固有の設定のリスト。

security-domain

このリソースに関連付けるセキュリティードメイン。

credential-security-factory

メカニズムで必要な認証情報の取得に使用するセキュリティーファクトリー。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

host-name

この設定が適用されるホスト名。

mechanism-name

この設定は、名前を指定したメカニズムが使用される場合にのみ適用されます。この属性を省略すると、メカニズム名に一致します。

mechanism-realm-configurations

メカニズムが理解するレルム名の定義のリストです。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

protocol

この設定が適用されるプロトコル。

realm-mapper

メカニズムによって使用されるレルムマッパー。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

realm-mapper

メカニズムによって使用されるレルムマッパー。

realm-name

メカニズムにより提示されるレルムの名前。

attribute-name

このアイデンティティーに関連付けられた属性の名前。

attribute-values

Identity 属性に関連付けられた値のリスト。

identity

セキュリティーレルムから利用可能なアイデンティティー。

key-passphrase

任意の属性です。秘密鍵を復号化するためのパスフレーズを設定します。

private-key-location

秘密鍵を含むファイルのパスです。まだ private-key-string 属性を指定していない場合にのみ指定します。

private-key-string

秘密鍵を文字列で設定します。まだ private-key-location 属性を指定していない場合にのみ指定します。

public-key-location

秘密鍵が Open SSH 以外の形式である場合に必要です。公開鍵を含むファイルのパスです。public-key-string 属性を指定していない場合のみ指定してください。

public-key-string

秘密鍵が Open SSH 以外の形式である場合に必要です。公開鍵を文字列で設定します。public-key-location 属性を指定していない場合にのみ指定します。

application-context

この設定を AuthConfigFactory に登録する際に使用されます。ワイルドカードの一致を許可するために省略できます。

description

AuthConfigFactory に説明を加えるために使用されます。

layer

この設定を AuthConfigFactory に登録する際に使用されます。ワイルドカードの一致を許可するために省略できます。

name

管理モデルでリソースを参照できる名前。

class-name

ServerAuthModule の完全修飾クラス名。

flag

このモジュールが他のモジュールに関連してどのように動作するかを示す制御フラグ。

module

ServerAuthModule をロードするモジュール。

options

初期化の際に ServerAuthModule に渡される設定オプション。

principal-query

特定の鍵タイプに基づいてユーザーを認証するために使用される認証クエリーのリスト。

attribute-mapping

このリソースに定義された属性マッピングのリスト。

bcrypt-mapper

SQL クエリーから返されるコラムを Bcrypt キータイプにマッピングするキーマッパー。

clear-password-mapper

SQL クエリーから返されるこらコラムをクリアパスワードキータイプにマッピングするキーマッパー。これには、ユーザーのパスワードを表す認証クエリーからのコラムインデックスである password-index 子要素があります。

data-source

データベースに接続するために使用されるデータソースの名前。

salted-simple-digest-mapper

SQL クエリーから返されたコラムを Simple Digest キータイプにマッピングするキーマッパー。

scram-mapper

SQL クエリーから返されるコラムを SCRAM キータイプにマッピングするキーマッパー。

simple-digest-mapper

SQL クエリーから返されたコラムを Simple Digest キータイプにマッピングするキーマッパー。

sql

特定のユーザーのテーブル列としてキーを取得し、そのタイプに応じてキーをマッピングするために使用される SQL ステートメント。

index

マッピングされた属性を表すクエリーからのコラムインデックス。

上記を以下に変更します。

SQL クエリーから返されるコラムからマッピングされたアイデンティティー属性の名前。

iteration-count-index

パスワードの iteration count (反復回数) (サポートされている場合) を表す認証クエリーからの列インデックス。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

salt-index

パスワードの salt (サポートされている場合) を表す認証クエリーからのコラムインデックス。

algorithm

特定のパスワードキーマッパーのアルゴリズム。利用できる値は、password-salt-digest-md5、password-salt-digest-sha-1、password-salt-digest-sha-256、password-salt-digest-sha-384、password-salt-digest-sha-512、salt-password-digest-md5、salt-password-digest-sha-1、salt-password-digest-sha-256、salt-password-digest-sha-384、salt-password-digest-sha-512 です。デフォルトは password-salt-digest-md5 です。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

salt-index

パスワードの salt (サポートされている場合) を表す認証クエリーからのコラムインデックス。

algorithm

特定のパスワードキーマッパーのアルゴリズム。利用できる値は、simple-digest-md2、simple-digest-md5、simple-digest-sha-1、simple-digest-sha-256、simple-digest-sha-384、simple-digest-sha-512 です。デフォルトは simple-digest-md5 です。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

algorithm

特定のパスワードキーマッパーのアルゴリズム。使用できる値は scram-sha-1 および scram-sha-256 です。デフォルト値は scram-sha-256 です。

iteration-count-index

パスワードの iteration count (反復回数) (サポートされている場合) を表す認証クエリーからの列インデックス。

password-index

ユーザーのパスワードを表す認証クエリーからのコラムインデックス。

salt-index

パスワードの salt (サポートされている場合) を表す認証クエリーからのコラムインデックス。

debug

true の場合、認証情報を取得する JAAS ステップでデバッグロギングが有効になります。デフォルトは false です。

mechanism-names

認証情報を使用できるメカニズム名。名前は OID に変換され、mechanism-oids 属性からの OID とともに使用されます。

mechanism-oids

認証情報を使用できるメカニズム OID のリスト。

minimum-remaining-lifetime

キャッシュされた認証情報を再作成するまでの秒数。

obtain-kerberos-ticket

KerberosTicket は、認証情報と関連付ける必要があります。これは、認証情報がサーバーに委任される場合に true である必要があります。

options

Krb5LoginModule 追加オプション。

path

認証情報を取得するために読み込む keytab のパス。

principal

キータブで表されるプリンシパル。

relative-to

キータブへの相対パス。

request-lifetime

新しく作成された認証情報に要求する有効期間。

required

サービスの開始時に、十分なプリンシパルを持つキータブファイルが存在する必要があるかどうか。

server

true の場合、このファクトリーは Kerberos 認証のサーバー側の部分に使用されます。false の場合、クライアント側の使用に使用されます。デフォルト値は true です。

wrap-gss-credential

誤った不一致を防ぐために、生成された GSS 認証情報をラップすべきかどうか。

algorithm

基礎となる KeyManagerFactory を作成するために使用するアルゴリズムの名前。これは JDK によって提供されます。たとえば、SunJSSE を使用する JDK は、PKIX および SunX509 アルゴリズムを提供します。SunJSSE の詳細は、Java Secure Socket Extension (JSSE) Reference Guide を参照してください。

alias-filter

キーストアから返されるエイリアスに適用するフィルター。これは、返すエイリアスのコンマ区切りのリストまたは次のいずれかの形式で指定できます。

credential-reference

キーストア項目を復号化するための認証情報リファレンス。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。これはキーストアのパスワードではありません。

key-store

基礎となる KeyManagerFactory の初期化に使用する key-store への参照。

provider-name

基礎となる KeyManagerFactory を作成するために使用するプロバイダーの名前。

providers

基礎となる KeyManagerFactory の作成時に使用する Provider[] を取得するための参照。

alias-filter

キーストアから返されるエイリアスに適用するフィルターは、返すエイリアスのコンマ区切りリストまたは以下の形式のいずれかになります。

credential-reference

キーストアへのアクセスに使用するパスワード。これはクリアテキストで、または credential-store に保存されている認証情報への参照として指定できます。

path

キーストアファイルへのパス。

provider-name

キーストアのロードに使用するプロバイダーの名前。この属性を設定すると、指定したタイプのキーストアを作成できる最初のプロバイダーの検索が無効になります。

providers

検索するプロバイダーインスタンスのリストを取得するために使用されるプロバイダーへの参照。指定しない場合は、代わりにプロバイダーのグローバルリストが使用されます。

relative-to

このストアが相対するベースパス。完全パスまたは jboss.server.config.dir などの事前定義パスを指定できます。

required

true の場合は、キーストアサービスの開始時に存在するキーストアファイルが必要になります。デフォルト値は false です。

type

キーストアのタイプ (JKS など)。

キーストアタイプの完全なリストは、Java Cryptography Architecture Standard Algorithm Name Documentation for JDK 8 を参照してください。

key-store

このセキュリテーレルムに使用されるキーストアへの参照。

alias-attribute

項目エイリアスが保存される LDAP 属性の名前。

certificate-attribute

証明書が保存される LDAP 属性の名前。

certificate-chain-attribute

証明書チェーンが保存される LDAP 属性の名前。

certificate-chain-encoding

証明書チェーンのエンコーディング。

certificate-type

証明書のタイプ。

dir-context

LDAP サーバーとの通信に使用される dir-context の名前。

filter-alias

エイリアス別にキーストア内のアイテムを取得するための LDAP フィルター。

filter-certificate

証明書ごとにキーストア内のアイテムを取得するための LDAP フィルター。

filter-iterate

キーストアのすべての項目を繰り返し処理するための LDAP フィルター。

key-attribute

キーが保存される LDAP 属性の名前。

key-type

LDAP 属性でシリアル化された方法で保存されるキーストアのタイプ。例: JKS です。キーストアタイプの完全なリストは、Java Cryptography Architecture Standard Algorithm Name Documentation for JDK 8 を参照してください。

new-item-template

項目作成の設定。これは、新しく作成されたキーストア項目の LDAP エントリーの表示方法を定義します。

search-path

キーストア項目を検索する LDAP のパス。

search-recursive

LDAP 検索を再帰的にする場合。

search-time-limit

LDAP からキーストアアイテムを取得するための時間制限 (ミリ秒単位)。デフォルトは 10000 です。

new-item-attributes

新しく作成されたアイテムに設定される LDAP 属性。これは、name と value を持つ項目のリストを取得します。

new-item-path

新しく作成されたキーストア項目が保存される LDAP のパス。

new-item-rdn

新しく作成された項目に対する LDAP RDN の名前。

allow-blank-password

このレルムが、空のパスワードの直接検証に対応しているかどうか。空のパスワードを試みると拒否されます。

dir-context

LDAP サーバーへの接続に使用される dir-context の名前。

直接検証

true の場合、認証中のアカウントとして LDAP に直接接続することで認証情報の検証に対応します。そうでない場合は、パスワードは LDAP サーバーから取得され、JBoss EAP で検証されます。有効にする場合は、JBoss EAP サーバーがクライアントからユーザーのプレーンパスワードを取得できなければなりません。これには、認証に PLAIN SASL または BASIC HTTP メカニズムのいずれかを使用する必要があります。デフォルトは false です。

identity-mapping

基礎となる LDAP サーバーで対応するエントリーにプリンシパルをマッピングする方法を定義する設定オプション。

attribute-mapping

このリソースに定義された属性マッピングのリスト。

filter-name

名前でアイデンティティーを取得する LDAP フィルター。

iterator-filter

レルムのアイデンティティーを繰り返し処理する LDAP フィルター。

new-identity-属性

新しく作成されたアイデンティティーの属性リスト。これはレルムの変更に必要です。これは、name と value ペアオブジェクトです。

otp-credential-mapper

OTP 認証情報の認証情報のマッピング。

new-identity-parent-dn

新しく作成されたアイデンティティーの親の DN。レルムの変更に必要。

rdn-identifier

LDAP エントリーからプリンシパル名を取得するために使用されるプリンシパルの DN の RDN 部分。これは新規アイデンティティーの作成時にも使用されます。

search-base-dn

アイデンティティーを検索するベース DN。

use-recursive-search

true の場合、アイデンティティー検索クエリーは再帰的になります。デフォルトは false です。

user-password-mapper

userPassword と同様の認証情報の認証情報のマッピング。

x509-credential-mapper

X509 認証情報のストレージとして LDAP を使用できる設定。-from 子属性が定義されていない場合は、この設定は無視されます。複数の -from 子属性が定義されている場合、ユーザー証明書は定義されたすべての基準に一致する必要があります。

extract-rdn

Raw 形式の値が X.500 形式の場合に、属性の値として使用する RDN キー。

filter

特定の属性の値を取得するために使用するフィルター。

filter-base-dn

フィルターが実行されるコンテキストの名前。

from

アイデンティティー属性にマッピングするための LDAP 属性の名前。定義されていない場合は、エントリーの DN が使用されます。

reference

値を取得するエントリーの DN を含む LDAP 属性の名前。

role-recursion

再帰的なロール割り当ての最大深度。0 で、再起なしを指定します。デフォルトは 0 です。

role-recursion-name

ロールエントリーの LDAP 属性を確認します。これは、ロールのロール検索時に filter-name の "{0}" に代わるものです。

search-recursive

true 属性の場合、LDAP 検索クエリーは再帰的になります。デフォルトは true です。

to

特定の LDAP 属性からマップされたアイデンティティー属性の名前。指定されない場合、属性の名前は from の定義と同じになります。from も定義されていない場合は、dn が使用されます。

from

アイデンティティー属性にマッピングするための LDAP 属性の名前。定義されていない場合は、エントリーの DN が使用されます。

verifiable

true パスワードを使用してユーザーを検証できる場合。デフォルトは true です。

writable

true の場合は、パスワードを変更できます。デフォルトは false です。

algorithm-from

OTP アルゴリズムの LDAP 属性の名前。

hash-from

OTP ハッシュ関数の LDAP 属性の名前。

seed-from

OTP シードの LDAP 属性の名前。

sequence-from

OTP シーケンス番号の LDAP 属性名。

certificate-from

エンコードされたユーザー証明書にマップする LDAP 属性の名前。定義されていない場合は、エンコードされた証明書はチェックされません。

digest-algorithm

ユーザー証明書のダイジェストを計算するために使用される、ハッシュ関数のダイジェストアルゴリズム。digest-from が定義されている場合にのみ使用されます。

digest-from

ユーザー証明書ダイジェストにマップする LDAP 属性の名前。定義されていない場合、証明書のダイジェストはチェックされません。

serial-number-from

ユーザー証明書のシリアル番号にマップする LDAP 属性の名前。定義されていない場合は、シリアル番号はチェックされません。

subject-dn-from

ユーザー証明書のサブジェクト DN にマップする LDAP 属性の名前。定義されていない場合、サブジェクト DN はチェックされません。

left

操作の左側に対して使用するパーミッションマッパーへの参照。

logical-operation

パーミッションマッパーを組み合わせるために使用する論理操作。使用できる値は、and、or、xor、および unless です。

right

操作の右側に対して使用するパーミッションマッパーへの参照。

left

操作の左側で使用されるロールマッパーへの参照。

logical-operation

ロールマッパーマッピングで実行される論理操作。使用できる値は、and、minus、or、xor です。

right

操作の右側で使用されるロールマッパーへの参照。

delegate-realm-mapper

パターンを使用して一致がない場合に委譲するレルムマッパー。

pattern

名前からレルムを抽出するために少なくとも 1 つのキャプチャーグループが含まれる必要がある正規表現。

realm-map

正規表現を使用して抽出したレルム名の定義レルム名へのマッピング。

有効化

true の場合は、フィルターのいずれかと一致しない限り、プロバイダーの読み込みメカニズムが有効ではありません。デフォルトは true です。

filters

プロバイダーのメカニズムを比較する際に適用するフィルターのリストです。フィルターは、指定したすべての値がメカニズムおよびプロバイダーのペアと一致する場合に一致します。

sasl-server-factory

この定義でラップされる SASL サーバーファクトリーへの参照。

mechanism-name

このフィルターがマッチする SASL メカニズムの名前。

provider-name

このフィルターが一致したプロバイダーの名前。

provider-version

プロバイダーのバージョンを比較する際に使用するバージョン。

version-comparison

プロバイダーのバージョンを評価する際に使用する等価性。使用できる値は less-than と greater-than です。デフォルト値は less-than です。

responder

証明書から解決した OCSP Responder URI を上書きします。

responder-certificate

responder-keystore が定義されていない場合の、responder-keystore または trust-manager キーストアに位置するレスポンダー証明書のエイリアス。

responder-keystore

レスポンダー証明書の代替キーストア。Responder-certificate を定義する必要があります。

prefer-crls

OCSP メカニズムと CRL メカニズムの両方が設定されている場合、OCSP メカニズムが最初に呼び出されます。Prefer-crls を true に設定すると、CRL メカニズムが最初に呼び出されます。

action

構築されるときにパーミッションに渡すアクション。

class-name

パーミッションの完全修飾クラス名。

module

パーミッションのロードに使用するモジュール。

target-name

構築されるときにパーミッションに渡すターゲット名。

autoflush

監査イベントが発生するたびに、出力ストリームのフラッシュが必要かどうかを指定します。属性を定義していない場合には、synchronized の値がデフォルト値となります。

format

人間が読むことのできるテキスト形式 SIMPLE、または JSON で個別のイベントを保存するための JSON を使用します。

path

ログファイルの保存場所を定義します。

relative-to

任意の属性です。ログファイルの保存場所を定義します。

接尾辞

任意の属性です。ローテーションされたログに日付の接尾辞を追加します。java.time.format.Date Time Formatter の形式を使用する必要があります。例: .yyyy-MM-dd。

synchronized

デフォルト値は true です。監査イベントが発生するたびにファイル記述子が同期されることを指定します。

groups-attribute

アイデンティティーのグループメンバーシップ情報が含まれる必要がある、返された AuthorizationIdentity の属性の名前。

groups-properties

ユーザーおよびそれらのグループが含まれるプロパティーファイル。

users-properties

ユーザーとパスワードが含まれるプロパティーファイル。

digest-realm-name

プロパティーファイルで検出されない場合に、ダイジェストされたパスワードに使用するデフォルトのレルム名。

path

ユーザーおよびパスワードを含むファイルへのパス。このファイルには、レルム名の宣言が含まれる必要があります。

plain-text

true の場合は、プレーンテキストで保存されたプロパティーファイルのパスワードを使用します。false であれば、事前にハッシュが指定されます。これは、HEX( MD5( username \":\" realm \":\" password))) の形式で取得されます。デフォルトは false です。

relative-to

パスが相対する、事前に定義されたパス。

path

ユーザーおよびそれらのグループを含むファイルへのパスです。

relative-to

パスが相対する、事前に定義されたパス。

argument

Provider がインスタンス化されるとき、コンストラクターに渡される引数。

class-names

読み込むプロバイダーの完全修飾クラス名のリスト。これらは service-loader がプロバイダーを検出した後にロードされ、重複はスキップされます。

configuration

初期化するためにプロバイダーに渡されるキーおよび値の設定。

module

プロバイダーのロード元となるモジュールの名前。

path

プロバイダーの初期化に使用するファイルのパス。

relative-to

設定ファイルのベースパス。

providers

ファクトリーの検索に使用するプロバイダー。指定されない場合は、グローバルに登録されたプロバイダーのリストが使用されます。

pattern

置き換える名前の一部を見つけるために使用する正規表現。

replace-all

true の場合は、一致するすべてのパターンが置き換えられます。false の場合は、最初に出現したもののみが置き換えられます。デフォルトは false です。

replacement

代替として使用する値。

pattern

ロールの照合に使用する正規表現です。replacement に元のロールの一部を使用する場合は、グループキャプチャーを使用できます。たとえば、app-admin や batch-admin などのロールでハイフンの後の文字列をキャプチャするには、.*-([a-z]*)$ のパターンを使用します。

replacement

一致した部分を置き換えるための文字列。固定文字列を使用するか、pattern 属性で指定した正規表現からキャプチャしたグループを参照できます。たとえば、上のパターンでは、$1 を使用して最初にキャプチャーされたグループを参照します。ここでは、 "app-admin" と "batch-admin" のロールの文字列"admin"です。

keep-non-mapped

値を true に設定すると、pattern 属性で指定された正規表現と一致しないロールが保存されます。

match

true の場合、検証を成功させるには、指定したパターンに名前が一致する必要があります。false の場合、検証を成功させるには、指定したパターンに名前が一致することはできません。デフォルトは true です。

pattern

プリンシパルトランスフォーマーに使用する正規表現。

mechanism-configurations

メカニズム固有の設定のリスト。

sasl-server-factory

このリソースに関連付ける SASL サーバーファクトリー。

security-domain

このリソースに関連付けるセキュリティードメイン。

credential-security-factory

メカニズムで必要な認証情報の取得に使用するセキュリティーファクトリー。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

host-name

この設定が適用されるホスト名。

mechanism-name

この設定は、名前を指定したメカニズムが使用される場合にのみ適用されます。この属性を省略すると、メカニズム名に一致します。

mechanism-realm-configurations

メカニズムが理解するレルム名の定義のリストです。

protocol

この設定が適用されるプロトコル。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

realm-mapper

メカニズムによって使用されるレルムマッパー。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

realm-mapper

メカニズムによって使用されるレルムマッパー。

realm-name

メカニズムにより提示されるレルムの名前。

create

まだ存在していない場合に Elytron で作成させないようにする場合は、値を false に設定してください。デフォルトは true です。

default-alias

デフォルトで生成されるキーのエイリアス名です。デフォルト値は key です。

key-size

生成される鍵のサイズです。デフォルトのサイズは 256 ビットです。以下のいずれかの値を設定できます。

path

クレデンシャルストアへのパス。

populate

クレデンシャルストアに default-alias が含まれていない場合、この属性は Elytron が作成するかどうかを示します。デフォルトは true です。

relative-to

属性 path と相対パスにある、以前に定義済みのパスへの参照。

authentication-optional

true の場合、セキュリティードメインがクライアント証明書を拒否しても接続は妨害されません。このため、フォールスルーにより、クライアント証明書がセキュリティードメインによって拒否される場合に、別の認証メカニズム (フォームログインなど) を使用できます。これはセキュリティードメインが設定されている場合に限り有効になります。デフォルトは false です。

cipher-suite-filter

有効な暗号スイートを指定するために適用するフィルター。このフィルターは、コロン、コンマ、またはスペースで区切られた項目のリストを取得します。各項目は、OpenSSL 形式の暗号スイート名、標準の SSL/TLS 暗号スイート名、または TLSv1.2 や DES などのキーワードになります。キーワードの詳細なリストおよびフィルター作成の詳細は、CipherSuiteSelector の Javadoc で掲載されています。デフォルト値は DEFAULT で、NULL 暗号化のない既知の暗号スイートすべてに対応し、認証のない暗号スイートを除外します。

final-principal-transformer

このメカニズムレルムに適用する最終のプリンシパルトランスフォーマー。

key-manager

SSLContext 内で使用するキーマネージャーへの参照。

maximum-session-cache-size

キャッシュされる SSL/TLS セッションの最大数。

need-client-auth

true の場合は、SSL ハンドシェイクでクライアント証明書が必要になります。信頼されたクライアント証明書がない接続は拒否されます。デフォルトは false です。

post-realm-principal-transformer

レルムの選択後に適用するプリンシパルトランスフォーマー。

pre-realm-principal-transformer

レルムが選択される前に適用するプリンシパルトランスフォーマー。

プロトコル

有効なプロトコル。利用できるオプションは SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3 です。これは、デフォルトで TLSv1、TLSv1.1、TLSv1.2、および TLSv1.3 を有効にするように設定されています。

provider-name

使用するプロバイダーの名前。指定されていない場合は、プロバイダーからのプロバイダーはすべて SSLContext に渡されます。

providers

SSLContext の読み込みに使用する Provider[] を取得するプロバイダーの名前。

realm-mapper

SSL 認証に使用するレルムマッパー。

security-domain

SSL/TLS セッション確立中の認証に使用するセキュリティードメイン。

session-timeout

SSL/TLS セッションのタイムアウト。

trust-manager

SSLContext 内で使用する trust-manager への参照。

use-cipher-suites-order

true の場合は、サーバーに定義された暗号スイートの順序が使用されます。false の場合は、クライアントによって示される暗号スイートの順序が使用されます。デフォルトは true です。

want-client-auth

true の場合、SSL ハンドシェイクでクライアント証明書がリクエストされますが、必須ではありません。セキュリティードメインが参照され、X509 エビデンスがサポートされる場合、これは自動的に true に設定されます。これは、need-client-auth が設定されると無視されます。デフォルトは false です。

wrap

true の場合は、返された SSLEngine、SSLSocket、および SSLServerSocket インスタンスがラップされ、さらなる変更に対して保護されます。デフォルトは false です。

module

ファクトリーをロードするクラスローダーの取得に使用するモジュール。指定のない場合は、リソースをロードするクラスローダーが代わりに使用されます。

module

ファクトリーをロードするクラスローダーの取得に使用するモジュール。指定のない場合は、リソースをロードするクラスローダーが代わりに使用されます。

mapping-mode

複数の一致の場合に使用すべきマッピングモード。使用できる値は、are、and、or、xor、unless、first です。デフォルトは first です。

permission-mappings

定義されたパーミッションマッピングのリスト。

permission-sets

一致する場合に割り当てるパーミッションセット。パーミッションセットを使用すると、パーミッションをアイデンティティーに割り当てることができます。

permission-set は以下の属性を取ることができます。

principals

パーミッションをマッピングする際に比較するプリンシパルのリスト。アイデンティティープリンシパルがリストの何かしらと一致する場合、それがマッチとなります。

roles

パーミッションをマッピングするときに比較するロールのリスト。アイデンティティがリストの何かしらのメンバーである場合は、それが一致となります。

delegate-realm-mapper

パターンを使用して一致がない場合に委譲するレルムマッパー。

pattern

名前からレルムを抽出するために少なくとも 1 つのキャプチャーグループが含まれる必要がある正規表現。

attribute

直接ロールにマップするアイデンティティーの属性名。

pattern

照合するクライアントの IP アドレス (複数可) を指定する正規表現。

source-address

クライアントの IP アドレスを指定します。

roles

クライアントの IP アドレスが pattern 属性または source-address 属性で指定された値と一致する場合に、ユーザーに割り当てるロールのリストを提供します。

format

監査イベントを記録する形式。

サポートされる値:

デフォルト値:

host-name

syslog サーバーに送信されるすべてのイベントに組み込むホスト名。

port

syslog サーバーのリッスンポート。

reconnect-attempts

接続を閉じる前に Elytron が連続メッセージを syslog サーバーに送信試行する最大回数。この属性の値は、使用される送信プロトコルが UDP の場合にのみ有効です。

サポートされる値:

デフォルト値:

server-address

syslog サーバーの IP アドレス、または Java の InetAddress.getByName() メソッドによって解決できる名前。

ssl-context

syslog サーバーへの接続時に使用する SSL コンテキスト。この属性は、transport が SSL_TCP に設定されている場合にのみ必要です。

syslog-format

監査イベントの記述に使用される RFC 形式。

サポートされる値:

デフォルト値:

transport

syslog サーバーへの接続に使用するトランスポート層プロトコル。

サポートされる値:

デフォルト値:

autoflush

監査イベントが発生するたびに、出力ストリームのフラッシュが必要かどうかを指定します。属性を定義していない場合には、synchronized の値がデフォルト値となります。

format

デフォルト値は SIMPLE です。人間が読むことのできるテキスト形式 SIMPLE、または JSON で個別のイベントを保存するための JSON を使用します。

path

ログファイルの場所を定義します。

relative-to

任意の属性です。ログファイルの場所を定義します。

synchronized

デフォルト値は true です。監査イベントが発生するたびにファイル記述子が同期されることを指定します。

autoflush

監査イベントが発生するたびに、出力ストリームのフラッシュが必要かどうかを指定します。属性を定義していない場合には、synchronized の値がデフォルト値となります。

format

デフォルト値は SIMPLE です。人間が読むことのできるテキスト形式 SIMPLE、または JSON で個別のイベントを保存するための JSON を使用します。

max-backup-index

ローテーション時にバックアップするファイルの最大数です。デフォルト値は 1 です。

path

ログファイルの保存場所を定義します。

relative-to

任意の属性です。ログファイルの保存場所を定義します。

rotate-on-boot

デフォルトでは、サーバーの再起動時に新しいログファイルは Elytron により作成されません。この属性を true に設定すると、サーバーの再起動時にログを回転させることができます。

rotate-size

Elytron がログをローテーションする前にログファイルが到達する最大サイズ。デフォルトは 10m(10メガバイト) です。また、ログの最大サイズを k、g、b、t の単位で定義することもできます。単位の指定は、大文字でも小文字でも可能です。

接尾辞

任意の属性です。ローテーションされたログに日付の接尾辞を追加します。java.text.format.Date Time Formatter の形式を使用する必要があります。たとえば、.yyyy-MM-dd-HH。

synchronized

デフォルト値は true です。監査イベントが発生するたびにファイル記述子が同期されることを指定します。

jwt

JWT/JWS 規格に基づくセキュリティートークンを処理するトークンベースのレルムとともに使用されるトークンバリデーター。

oauth2-introspection

トークンベースのレルムとともに使用されるトークンバリデーター。これは、OAuth2 アクセストークンを処理し、RFC-7662 OAuth2 Token Introspection 仕様に準拠するエンドポイントを使用して、このトークンを検証します。

principal-claim

プリンシパルの名前を取得するために使用される要求の名前。デフォルトは username です。

audience

この設定でサポートされる対象を表す文字列のリスト。検証の際には、JWT トークンに、ここで定義した値のいずれかが含まれる aud 要求が必要です。

certificate

key-store 属性で定義されるキーストアからロードする公開鍵を持つ証明書の名前。

client-ssl-context

リモート JSON Web Key (JWK) に使用する SSL コンテキスト。これにより、jku (JSON Key URL) ヘッダーパラメーターの URL を使用して、トークンの検証用に公開鍵を取得できます。

host-name-verification-policy

リモート JSON Web キーの使用時にホスト名を検証する方法を定義するポリシー。属性には以下のいずれかの値を設定できます。

issuer

この設定でサポートされる発行者を表す文字列のリスト。検証の際には、JWT トークンに、ここで定義した値のいずれかが含まれる iss 要求が必要です。

key-store

公開鍵を持つ証明書をロードするキーストア。この属性は、certificate 属性とともに、public-key の代わりに使用することもできます。

public-key

PEM 形式の公開鍵。検証中に公開鍵が提供されると、署名はこの属性が提供するキー値に基づいて検証されます。

または、key-store と certificate を定義して、公開鍵を設定できます。この代替キーは、kid (Key ID) 要求なしでトークンを検証するために使用されます。

client-id

OAuth2 認証サーバーのクライアントの識別子。

client-secret

クライアントのシークレット。

client-ssl-context

イントロスペクションエンドポイントが HTTPS を使用している場合に使用する SSL コンテキスト。

host-name-verification-policy

HTTPS を使用する際にホスト名を検証する方法を定義するポリシー。属性には以下のいずれかの値を設定できます。

introspection-url

トークンイントロスペクションエンドポイントの URL。

algorithm

基礎となる TrustManagerFactory を作成するために使用するアルゴリズムの名前。これは JDK によって提供されます。たとえば、SunJSSE を使用する JDK は、PKIX および SunX509 アルゴリズムを提供します。SunJSSE の詳細は、Java Secure Socket Extension (JSSE) Reference Guide を参照してください。

alias-filter

キーストアから返されるエイリアスに適用するフィルター。これは、返すエイリアスのコンマ区切りのリストまたは次のいずれかの形式で指定できます。

certificate-revocation-list

トラストマネージャーが確認できる証明書失効リストを有効にします。certificate-revocation-list の属性は以下の通りです。

詳細は、証明書失効リストの使用 を参照してください。

key-store

基礎となる TrustManagerFactory の初期化に使用する key-store への参照。

maximum-cert-path

証明書パスに存在可能な自己発行でない中間証明書の最大数。デフォルト値は 5 です。

この属性は、JBoss EAP 7.3 では、 trust-manager 内で certificate-revocation-list から trust-manager に移動されています。後方互換性を確立するためにも、属性は certificate-revocation-list にも存在します。次に進む前に、trust-manager で maximum-cert-path を使用します。

only-leaf-cert

リーフ証明書のみの失効ステータスを確認します。これは任意の属性です。デフォルト値は false です。

provider-name

基礎となる TrustManagerFactory を作成するために使用するプロバイダーの名前。

providers

基礎となる TrustManagerFactory の作成時に使用する Provider[] を取得するための参照。

soft-fail

true に設定すると、失効ステータスが不明な証明書が許可されます。これは任意の属性です。デフォルト値は false です。

attribute-name

マップする X.500 属性の名前。これは、oid 属性でも定義できます。

convert

true に設定すると、プリンシパルデコーダーは、タイプが異なる場合 X500Principal へのプリンシパルの変換を試行します。変換に失敗すると、元の値がプリンシパルとして使用されます。

joiner

結合文字列。デフォルト値はピリオド (.) です。

maximum-segments

マップする属性の最大出現数。デフォルト値は 2147483647 です。

oid

マップする X.500 属性の OID。これは、attribute-name 属性を使用して定義することもできます。

required-attributes

プリンシパルに存在する必要がある属性の属性名のリスト

required-oids

プリンシパルに存在する必要がある属性の OID のリスト。

reverse

true の場合、属性値は逆順で処理されて返されます。デフォルト値は false です。

start-segment

マップする属性の最初の出現。これはゼロベースのインデックスを使用し、デフォルト値は 0 です。

alt-name-type

サブジェクトの別名タイプ。以下のサブジェクトの別名タイプのいずれかとなります。

これは必の須属性です。

segment