4.2. JBoss EAP 管理コンソールを保護するための Red Hat build of Keycloak の設定
OpenID Connect (OIDC) プロバイダーで必要なユーザー、ロール、クライアントを設定して、JBoss EAP 管理コンソールを保護します。
OIDC を使用して管理コンソールを保護するには、2 つのクライアントが必要です。設定する必要があるクライアントは次のとおりです。
- 標準フロー用に設定したクライアント。
- ベアラー専用クライアントとして設定したクライアント。
次の手順は、テスト目的で OIDC を使用して JBoss EAP 管理コンソールの保護を開始するために必要な最小限の手順を示しています。詳細な設定については、Red Hat build of Keycloak のドキュメント を参照してください。
前提条件
- Red Hat build of Keycloak への管理者アクセス権を持っている。
- Red Hat build of Keycloak が実行中である。
手順
Red Hat build of Keycloak 管理コンソールを使用して Red Hat build of Keycloak にレルムを作成します (
example_jboss_infra
など)。このレルムを使用して、必要なユーザー、ロール、およびクライアントを作成します。詳細は、レルムの作成 を参照してください。
ユーザーを作成します。たとえば、
user1
です。詳細は、ユーザーの作成 を参照してください。
ユーザーのパスワードを作成します。たとえば、
passwordUser1
です。詳細は、ユーザーのパスワードの設定 を参照してください。
ロールを作成します。たとえば、
Administrator
です。JBoss EAP でロールベースのアクセス制御 (RBAC) を有効にするには、この名前が標準の RBAC ロールの 1 つ (
Administrator
など) である必要があります。JBoss EAP の RBAC の詳細は、JBoss EAP 7.4 セキュリティーアーキテクチャー ガイドの ロールベースのアクセス制御 を参照してください。Red Hat build of Keycloak でのロールの作成の詳細は、レルムロールの作成 を参照してください。
ユーザーにロールを割り当てます。
詳細は、ロールマッピングの割り当て を参照してください。
OpenID Connect クライアント (例:
jboss-console)
を作成します。以下に示す機能の設定値のチェックボックスがオンになっていることを確認します。
- Standard flow
- Direct access grants
Login settings ページで少なくとも次の属性を設定します。
- Valid Redirect URIs を管理コンソール URI に設定します。たとえば、http://localhost:9990 です。
- Web Origins を管理コンソール URI に設定します。たとえば、http://localhost:9990 です。
別の OpenID Connect クライアント (例:
jboss-management)
をベアラー専用クライアントとして作成します。機能の設定で、次のオプションのチェックボックスをオフにします。
- Standard flow
- Direct access grants
- Login settings ページのフィールドを指定する必要はありません。
これで、定義したクライアントを使用して JBoss EAP 管理コンソールを保護できるようになりました。詳細は、OpenID Connect を使用した JBoss EAP 管理コンソールの保護 参照してください。