第5章 参照

provider

OpenID Connect プロバイダーの設定。

secure-deployment

OpenID Connect プロバイダーによって保護されたデプロイメント。

realm

Red Hat build of Keycloak レルムの設定。これは便宜上提供されています。keycloak クライアントアダプターで設定をコピーして、ここで使用できます。代わりに provider を使用することを推奨します。

allow-any-hostname

false

値を true に設定すると、OpenID プロバイダーと通信するときにホスト名の検証がスキップされます。これは、テスト時に役立ちます。実稼働環境ではこれを true に設定しないでください。

always-refresh-token

true に設定すると、アプリケーションが Web リクエストを受信するたびに、サブシステムがトークンを更新し、新しいリクエストを OpenID プロバイダーに送信して新しいアクセストークンを取得します。

auth-server-url

Red Hat build of Keycloak レルム認証サーバーのベース URL。この属性を使用する場合は、realm 属性も定義する必要があります。

または、provider-url 属性を使用して、ベース URL とレルムの両方を 1 つの属性で提供することもできます。

autodetect-bearer-only

false

bearer-only リクエストを自動検出するかどうかを設定します。

bearer-only リクエストを受信し、autodetect-bearer-only が true に設定されている場合、アプリケーションはブラウザーログインに組み込まれません。

この属性を使用すると、X-Requested-With、SOAPAction、Accept などのヘッダーに基づいて Simple Object Access Protocol (SOAP) または REST クライアントを自動的に検出できます。

client-id

OpenID プロバイダーに登録された JBoss EAP の client-id。

client-key-password

client-keystore を指定する場合は、この属性にそのパスワードを指定します。

client-keystore

アプリケーションが HTTPS を介して OpenID プロバイダーと通信する場合は、この属性でクライアントキーストアへのパスを設定します。

client-keystore-password

client keystore を指定する場合は、この属性でそれにアクセスするためのパスワードを指定します。

confidential-port

8443

OpenID プロバイダーが使用する機密ポート (SSL/TLS) を指定します。

connection-pool-size

OpenID プロバイダーと通信するときに使用する接続プールのサイズを指定します。

connection-timeout-millis

-1L

リモートホストとの接続を確立するためのタイムアウトをミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

connection-ttl-millis

-1L

接続を維持する時間をミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

cors-allowed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-allowed-methods

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Methods ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-exposed-headers

CORS が有効な場合は、Access-Control-Expose-Headers ヘッダーの値を設定します。これはコンマ区切りの文字列である必要があります。これは最適です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-max-age

Cross-Origin Resource Sharing (CORS) Max-Age ヘッダーの値を設定します。値は -1L から 2147483647L の間です。この属性は、enable-cors が true に設定されている場合にのみ有効になります。

disable-trust-manager

HTTPS 経由で OpenID プロバイダーと通信するときにトラストマネージャーを使用するかどうかを指定します。

enable-cors

false

Red Hat build of Keycloak の Cross-Origin Resource Sharing (CORS) のサポートを有効にします。

expose-token

false

true に設定すると、認証されたブラウザークライアントは、Javascript HTTP 呼び出し、URL root/k_query_bearer_token を介して署名付きアクセストークンを取得できます。これは任意です。この属性は Red Hat build of Keycloak 固有のものです。

ignore-oauth-query-parameter

false

access_token のクエリーパラメーター解析を無効にします。

principal-attribute

アイデンティティーのプリンシパルとして使用する ID トークンのクレーム値を指定します。

provider-url

OpenID プロバイダーの URL を指定します。

proxy-url

HTTP プロキシーを使用する場合は、その URL を指定します。

realm-public-key

レルムの公開鍵を指定します。

register-node-at-startup

false

true に設定すると、登録リクエストが Red Hat build of Keycloak に送信されます。この属性は、アプリケーションがクラスター化されている場合にのみ役立ちます。

register-node-period

ノードを再登録する頻度を指定します。

socket-timeout-millis

データを待機するソケットのタイムアウトをミリ秒単位で指定します。

ssl-required

external

OpenID プロバイダーとの通信を HTTPS 経由で行うかどうかを指定します。値は次のいずれかになります。

token-signature-algorithm

RS256

OpenID プロバイダーが使用するトークン署名アルゴリズムを指定します。サポートされているアルゴリズムは次のとおりです。

token-store

auth-session データの Cookie またはセッションストレージを指定します。

truststore

クライアント HTTPS 要求に使用されるトラストストアを指定します。

truststore-password

トラストストアのパスワードを指定します。

verify-token-audience

false

true に設定されている場合、bearer-only の認証中に、トークンにこのクライアント名 (resource) がオーディエンスとして含まれているかどうかを確認します。

allow-any-hostname

false

値を true に設定すると、OpenID プロバイダーと通信するときにホスト名の検証がスキップされます。これは、テスト時に役立ちます。これを実稼働環境で ture に設定しないでください。

always-refresh-token

true に設定すると、JBoss EAP はすべての Web 要求でトークンを更新します。

auth-server-url

Red Hat build of Keycloak レルム認可サーバーのベース URL。代わりに provider-url 属性を使用することもできます。

autodetect-bearer-only

false

bearer-only リクエストを自動検出するかどうかを設定します。bearer-only リクエストを受信し、autodetect-bearer-only が true に設定されている場合、アプリケーションはブラウザーログインに組み込まれません。

bearer-only

false

Bearer トークン認証でアプリケーションを保護するには、これを true に設定します。Bearer トークン認証が有効になっている場合、ユーザーはログインするために OpenID プロバイダーにリダイレクトされません。代わりに、elytron-oidc-client サブシステムがユーザーの bearer トークンを検証しようとします。

client-id

OpenID プロバイダーに登録されているクライアントの一意の識別子。

client-key-password

client-keystore を指定する場合は、この属性にそのパスワードを指定します。

client-keystore

アプリケーションが HTTPS を介して OpenID プロバイダーと通信する場合は、この属性でクライアントキーストアへのパスを設定します。

client-keystore-password

client keystore を指定する場合は、この属性でそれにアクセスするためのパスワードを指定します。

confidential-port

8443

OpenID プロバイダーが使用する機密ポート (SSL/TLS) を指定します。

connection-pool-size

OpenID プロバイダーと通信するときに使用する接続プールのサイズを指定します。

connection-timeout-millis

-1L

リモートホストとの接続を確立するためのタイムアウトをミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

connection-ttl-millis

-1L

接続を維持する時間をミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

cors-allowed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-allowed-methods

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Methods ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-exposed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Expose-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-max-age

Cross-Origin Resource Sharing (CORS) Max-Age ヘッダーの値を設定します。値は -1L から 2147483647L の間です。この属性は、enable-cors が true に設定されている場合にのみ有効になります。

credential

OpenID プロバイダーとの通信に使用する認証情報を指定します。

disable-trust-manager

HTTPS 経由で OpenID プロバイダーと通信するときにトラストマネージャーを使用するかどうかを指定します。

enable-cors

false

Red Hat build of Keycloak の Cross-Origin Resource Sharing (CORS) のサポートを有効にします。

enable-basic-auth

false

Basic 認証を有効にして、bearer トークンの取得に使用する認証情報を指定します。

expose-token

false

true に設定すると、認証されたブラウザークライアントは、Javascript HTTP 呼び出し、URL root/k_query_bearer_token を介して署名付きアクセストークンを取得できます。これは任意です。この属性は Red Hat build of Keycloak 固有のものです。

ignore-oauth-query-parameter

false

access_token のクエリーパラメーター解析を無効にします。

min-time-between-jwks-requests

サブシステムが不明な公開鍵によって署名されたトークンを検出した場合、JBoss EAP は elytron-oidc-client サーバーから新しい公開鍵をダウンロードしようとします。この属性は、JBoss EAP が次のダウンロードを試行するまで待機する間隔を秒単位で指定します。値は -1L から 2147483647L までの範囲にすることができます。

principal-attribute

アイデンティティーのプリンシパルとして使用する ID トークンのクレーム値を指定します。

provider

OpenID プロバイダーを指定します。

provider-url

OpenID プロバイダーの URL を指定します。

proxy-url

HTTP プロキシーを使用する場合は、その URL を指定します。

public-client

false

true に設定すると、OpenID プロバイダーとの通信時にクライアント認証情報は送信されません。これは任意です。

realm

Red Hat build of Keycloak での接続に使用するレルム。

realm-public-key

OpenID プロバイダーの公開鍵を PEM 形式で指定します。

redirect-rewrite-rule

リダイレクト URI に適用する書き換えルールを指定します。

register-node-at-startup

false

true に設定すると、登録リクエストが Red Hat build of Keycloak に送信されます。この属性は、アプリケーションがクラスター化されている場合にのみ役立ちます。

register-node-period

ノードを再登録する頻度を秒単位で指定します。

resource

OIDC で保護するアプリケーションの名前を指定します。または、client-id を指定することもできます。

socket-timeout-millis

データを待機するソケットのタイムアウトをミリ秒単位で指定します。

ssl-required

external

OpenID プロバイダーとの通信を HTTPS 経由で行うかどうかを指定します。値は次のいずれかになります。

token-minimum-time-to-live

現在のトークンが期限切れになるか、秒単位で設定した時間内に期限切れになる場合、アダプターはトークンを更新します。

token-signature-algorithm

RS256

OpenID プロバイダーが使用するトークン署名アルゴリズムを指定します。サポートされているアルゴリズムは次のとおりです。

token-store

auth-session データの Cookie またはセッションストレージを指定します。

truststore

アダプタークライアントの HTTPS 要求に使用されるトラストストアを指定します。

truststore-password

トラストストアのパスワードを指定します。

turn-off-change-session-id-on-login

false

ログインに成功すると、デフォルトでセッション ID が変更されます。これをオフにするには、値を true に設定します。

use-resource-role-mappings

false

トークンから取得したリソースレベルの権限を使用します。

verify-token-audience

false

true に設定すると、bearer-only の認証中に、アダプターはトークンにこのクライアント名 (resource) がオーディエンスとして含まれているかどうかを確認します。

adapter-state-cookie-path

この属性は、設定されている場合、サブシステムによって設定される Cookie で使用されるパスを定義します。設定されていない場合、"" がパスとして使用されます。

allow-any-hostname

false

値を true に設定すると、OpenID プロバイダーと通信するときにホスト名の検証がスキップされます。これは、テスト時に役立ちます。実稼働環境ではこれを true に設定しないでください。

always-refresh-token

true に設定すると、アプリケーションが Web リクエストを受信するたびに、サブシステムがトークンを更新し、新しいリクエストを OpenID プロバイダーに送信して新しいアクセストークンを取得します。

auth-server-url-for-backend-requests

ロードバランサーやリバースプロキシーを経由せずに OpenID プロバイダーを直接呼び出すバックエンドリクエストにのみ使用する URL を指定します。

auth-server-url

Red Hat build of Keycloak レルム認可サーバーのベース URL。代わりに provider-url 属性を使用することもできます。

autodetect-bearer-only

false

bearer-only リクエストを自動検出するかどうかを設定します。

bearer-only リクエストを受信し、autodetect-bearer-only が true に設定されている場合、アプリケーションはブラウザーログインに組み込まれません。

この属性を使用すると、X-Requested-With、SOAPAction、Accept などのヘッダーに基づいて Simple Object Access Protocol (SOAP) または REST クライアントを自動的に検出できます。

bearer-only

false

Bearer トークン認証でアプリケーションを保護するには、これを true に設定します。

Bearer トークン認証が有効になっている場合、ユーザーはログインするために OpenID プロバイダーにリダイレクトされません。代わりに、elytron-oidc-client サブシステムがユーザーの bearer トークンを検証しようとします。

client-id

OpenID プロバイダーに登録されているクライアントの一意の識別子。

client-key-password

client-keystore を指定する場合は、この属性にそのパスワードを指定します。

client-keystore-password

client keystore を指定する場合は、この属性でそれにアクセスするためのパスワードを指定します。

client-keystore

HTTPS で OpenID プロバイダーと通信する場合は、この属性にクライアントキーストアへのパスを設定します。

confidential-port

8443

OpenID プロバイダーが使用する機密ポート (SSL/TLS) を指定します。

connection-pool-size

OpenID プロバイダーと通信するときに使用する接続プールのサイズを指定します。

connection-timeout-millis

-1L

リモートホストとの接続を確立するためのタイムアウトをミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

connection-ttl-millis

-1L

接続を維持する時間をミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

cors-allowed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-allowed-methods

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Methods ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-exposed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Expose-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-max-age

Cross-Origin Resource Sharing (CORS) Max-Age ヘッダーの値を設定します。値は -1L から 2147483647L の間です。この属性は、enable-cors が true に設定されている場合にのみ有効になります。

credential

OpenID プロバイダーとの通信に使用する認証情報を指定します。

disable-trust-manager

HTTPS 経由で OpenID プロバイダーと通信するときにトラストマネージャーを使用するかどうかを指定します。

enable-basic-auth

false

Basic 認証を有効にして、bearer トークンの取得に使用する認証情報を指定します。

enable-cors

false

Red Hat build of Keycloak の Cross-Origin Resource Sharing (CORS) のサポートを有効にします。

expose-token

false

true に設定すると、認証されたブラウザークライアントは、Javascript HTTP 呼び出し、URL root/k_query_bearer_token を介して署名付きアクセストークンを取得できます。これは任意です。この属性は Red Hat build of Keycloak 固有のものです。

ignore-oauth-query-parameter

false

access_token のクエリーパラメーター解析を無効にします。

min-time-between-jwks-requests

サブシステムが不明な公開鍵によって署名されたトークンを検出した場合、JBoss EAP は elytron-oidc-client サーバーから新しい公開鍵をダウンロードしようとします。ただし、JBoss EAP は、この属性に設定した値 (秒単位) 未満ですでに新しい公開鍵を試行している場合、新しい公開鍵をダウンロードしようとはしません。値は -1L から 2147483647L の間です。

principal-attribute

アイデンティティーのプリンシパルとして使用する ID トークンのクレーム値を指定します。

principal-attribute

アイデンティティーのプリンシパルとして使用する ID トークンのクレーム値を指定します。

provider

OpenID プロバイダーを指定します。

provider-url

OpenID プロバイダーの URL を指定します。

proxy-url

HTTP プロキシーを使用する場合は、その URL を指定します。

public-client

false

true に設定すると、OpenID プロバイダーとの通信時にクライアント認証情報は送信されません。これは任意です。

public-key-cache-ttl

新しい公開鍵を取得する 2 つのリクエスト間の最大間隔 (秒単位)。

realm-public-key

OpenID プロバイダーの公開鍵を PEM 形式で指定します。

realm

Red Hat build of Keycloak での接続に使用するレルム。

redirect-rewrite-rule

リダイレクト URI に適用する書き換えルールを指定します。

register-node-at-startup

false

true に設定すると、登録リクエストが Red Hat build of Keycloak に送信されます。この属性は、アプリケーションがクラスター化されている場合にのみ役立ちます。

register-node-period

ノードを再登録する頻度を秒単位で指定します。

resource

OIDC で保護するアプリケーションの名前を指定します。または、client-id を指定することもできます。

socket-timeout-millis

データを待機するソケットのタイムアウトをミリ秒単位で指定します。

ssl-required

external

OpenID プロバイダーとの通信を HTTPS 経由で行うかどうかを指定します。値は次のいずれかになります。

token-minimum-time-to-live

現在のトークンが期限切れになるか、秒単位で設定した時間内に期限切れになる場合、アダプターはトークンを更新します。

token-signature-algorithm

RS256

OpenID プロバイダーが使用するトークン署名アルゴリズムを指定します。サポートされているアルゴリズムは次のとおりです。

token-store

auth-session データの Cookie またはセッションストレージを指定します。

truststore-password

トラストストアのパスワードを指定します。

truststore

アダプタークライアントの HTTPS 要求に使用されるトラストストアを指定します。

turn-off-change-session-id-on-login

false

ログインに成功すると、デフォルトでセッション ID が変更されます。これをオフにするには、値を true に設定します。

use-resource-role-mappings

false

トークンから取得したリソースレベルの権限を使用します。

verify-token-audience

false

true に設定すると、bearer-only の認証中に、アダプターはトークンにこのクライアント名 (resource) がオーディエンスとして含まれているかどうかを確認します。

allow-any-hostname

false

値を true に設定すると、OpenID プロバイダーと通信するときにホスト名の検証がスキップされます。これは、テスト時に役立ちます。これを実稼働環境で ture に設定しないでください。

always-refresh-token

true に設定すると、アプリケーションが Web リクエストを受信するたびに、サブシステムがトークンを更新し、新しいリクエストを OpenID プロバイダーに送信して新しいアクセストークンを取得します。

auth-server-url

Red Hat build of Keycloak レルム認可サーバーのベース URL。代わりに provider-url 属性を使用することもできます。

autodetect-bearer-only

false

bearer-only リクエストを自動検出するかどうかを設定します。bearer-only リクエストを受信し、autodetect-bearer-only が true に設定されている場合、アプリケーションはブラウザーログインに組み込まれません。

client-key-password

client-keystore を指定する場合は、この属性にそのパスワードを指定します。

client-keystore

アプリケーションが HTTPS を介して OpenID プロバイダーと通信する場合は、この属性でクライアントキーストアへのパスを設定します。

client-keystore-password

client keystore を指定する場合は、この属性でそれにアクセスするためのパスワードを指定します。

confidential-port

8443

Red Hat build of Keycloak が使用する機密ポート (SSL/TLS) を指定します。

connection-pool-size

Red Hat build of Keycloak と通信するときに使用する接続プールのサイズを指定します。

connection-timeout-millis

-1L

リモートホストとの接続を確立するためのタイムアウトをミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

connection-ttl-millis

-1L

接続を維持する時間をミリ秒単位で指定します。最小値は -1L、最大値は 2147483647L です。-1L は、値が未定義であることを示します。これがデフォルトです。

cors-allowed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-allowed-methods

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Allow-Methods header の値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-exposed-headers

Cross-Origin Resource Sharing (CORS) が有効になっている場合、これにより Access-Control-Expose-Headers ヘッダーの値が設定されます。これはコンマ区切りの文字列である必要があります。これは任意です。設定されていない場合、このヘッダーは CORS 応答で返されません。

cors-max-age

Cross-Origin Resource Sharing (CORS) Max-Age ヘッダーの値を設定します。値は -1L から 2147483647L の間です。この属性は、enable-cors が true に設定されている場合にのみ有効になります。

disable-trust-manager

HTTPS 経由で OpenID プロバイダーと通信するときにトラストマネージャーを使用するかどうかを指定します。

enable-cors

false

Red Hat build of Keycloak の Cross-Origin Resource Sharing (CORS) のサポートを有効にします。

expose-token

false

true に設定すると、認証されたブラウザークライアントは、Javascript HTTP 呼び出し、URL root/k_query_bearer_token を介して署名付きアクセストークンを取得できます。これは任意です。

ignore-oauth-query-parameter

false

access_token のクエリーパラメーター解析を無効にします。

principal-attribute

アイデンティティーのプリンシパルとして使用する ID トークンのクレーム値を指定します。

provider-url

OpenID プロバイダーの URL を指定します。

proxy-url

HTTP プロキシーを使用する場合は、その URL を指定します。

realm-public-key

レルムの公開鍵を指定します。

register-node-at-startup

false

true に設定すると、登録リクエストが Red Hat build of Keycloak に送信されます。この属性は、アプリケーションがクラスター化されている場合にのみ役立ちます。

register-node-period

ノードを再登録する頻度を指定します。

socket-timeout-millis

データを待機するソケットのタイムアウトをミリ秒単位で指定します。

ssl-required

external

OpenID プロバイダーとの通信を HTTPS 経由で行うかどうかを指定します。値は次のいずれかになります。

token-signature-algorithm

RS256

OpenID プロバイダーが使用するトークン署名アルゴリズムを指定します。サポートされているアルゴリズムは次のとおりです。

token-store

auth-session データの Cookie またはセッションストレージを指定します。

truststore

クライアント HTTPS 要求に使用されるトラストストアを指定します。

truststore-password

トラストストアのパスワードを指定します。

verify-token-audience

false

true に設定すると、bearer-only の認証中に、アダプターはトークンにこのクライアント名 (リソース) がオーディエンスとして含まれているかどうかを確認します。