第4章 OpenID プロバイダーによる JBoss EAP 管理コンソールの保護
OIDC を使用して、Red Hat build of Keycloak などの外部アイデンティティプロバイダーで JBoss EAP 管理コンソールを保護できます。外部アイデンティティープロバイダーを使用すると、認証をそのアイデンティティープロバイダーに委譲できます。
OIDC を使用して JBoss EAP 管理コンソールを保護するには、以下の手順に従います。
4.1. OIDC を使用した JBoss EAP 管理コンソールの保護
Red Hat build of Keycloak などの OIDC プロバイダーと elytron-oidc-client
サブシステムを設定することにより、OpenID Connect (OIDC) を使用して JBoss EAP 管理コンソールを保護できます。
OIDC を使用した、マネージドドメインとして実行されている JBoss EAP の管理コンソールの保護はサポートされていません。
OIDC を使用した JBoss EAP 管理コンソールのセキュリティーの仕組みは次のとおりです。
-
elytron-oidc-client
サブシステムでsecure-server
リソースを設定すると、JBoss EAP 管理コンソールがログインのために OIDC プロバイダーのログインページにリダイレクトするようになります。 -
さらに、JBoss EAP は
secure-deployment
リソース設定を使用して、ベアラートークン認証で管理インターフェイスを保護します。
OIDC は、ブラウザーからの Web アプリケーションへのアクセスに依存します。したがって、JBoss EAP 管理 CLI は OIDC では保護できません。
RBAC のサポート
OIDC プロバイダーでロールを設定および割り当てて、JBoss EAP 管理コンソールにロールベースのアクセス制御 (RBAC) を実装できます。JBoss EAP は、JBoss EAP の RBAC 設定で定義されている RBAC のユーザーロールを追加または除外します。RBAC の詳細は、JBoss EAP 7.4 セキュリティーアーキテクチャー ガイドの ロールベースのアクセス制御 を参照してください。