9.5. Role Scope Mappings

OIDC アクセストークンまたは SAML アサーションが作成されると、ユーザーのすべてのユーザーロールマッピングがデフォルトで、トークンまたはアサーションにクレームとして追加されます。アプリケーションはこの情報を使用して、そのアプリケーションが制御するリソースのアクセス決定を行います。Red Hat Single Sign-On では、アクセストークンはデジタル署名され、実際にはアプリケーションによって再利用され、リモートでセキュアな REST サービスで呼び出すことができます。つまり、アプリケーションが危険にさらされるか、レルムに登録されている不正なクライアントがある場合、攻撃者は幅広いパーミッションを持ち、ネットワーク全体に危険にさらされることができるアクセストークンを取得することができます。これは、ロールスコープのマッピングが重要な場所です。

ロールスコープのマッピングは、アクセストークン内で宣言されたロールを制限する手段です。クライアントがユーザー認証をリクエストすると、受信するアクセストークンにはクライアントのスコープに明示的に指定したロールマッピングのみが含まれます。これにより、すべてのユーザーのパーミッションにクライアントアクセスを付与するのではなく、個々のアクセストークンごとのパーミッションを制限できます。デフォルトでは、各クライアントはユーザーのすべてのロールマッピングを取得します。これは、各クライアントの Scope タブで確認できます。

スコープの有効なロールがレルム内で宣言されたすべてのロールであることを図ることができます。このデフォルトの動作を変更するには、Full Scope Allowed スイッチを明示的に無効にし、各クライアントに必要な特定のロールを宣言する必要があります。または、クライアントスコープを使用してクライアントのセット全体で同じロールスコープマッピングを定義することもできます。