Red Hat Summit12.7. クライアントポリシー
クライアントアプリケーションを簡単に保護するには、以下の点を統一して認識しておくと便利です。
- クライアントの実行できる設定でのポリシーの設定
- クライアント設定の検証
- FAPI (enterprise-grade API) などの必要なセキュリティー標準やプロファイルへの適合
これらのポイントを統一された方法で実現するために、クライアントポリシー の概念が導入されました。
12.7.1. ユースケース
クライアントポリシーでは、以下の点を実現しています。
- クライアントの実行できる設定でのポリシーの設定
- クライアントの設定設定は、クライアントの作成/更新中だけでなく、特定のクライアントに関連する Red Hat Single Sign-On サーバーへの OpenID Connect 要求時にも、クライアントポリシーで適用できます。Red Hat Single Sign-On は、アプリケーションおよびサービスのセキュリティー保護ガイド で説明されているクライアント登録ポリシーを使用する場合も同様の方法をサポートしています。ただし、クライアント登録ポリシーは、OIDC 動的クライアント登録のみに対応します。クライアントポリシーは、クライアント登録ポリシーが実行できるものだけでなく、他のクライアント登録および設定方法もカバーします。現在の計画では、クライアント登録はクライアントポリシーに置き換えられます。
- クライアント設定の検証
- Red Hat Single Sign-On は、認証エンドポイントやトークンエンドポイントなどの一部のエンドポイントでクライアントが Proof Key for Code Exchange、Request Object Signing Algorithm、Holder-of-Key Token などの設定に従うかどうかの検証をサポートします。これらは、各設定項目 (管理コンソール、スイッチ、プルダウンメニューなど) で指定できます。クライアントアプリケーションをセキュアにするには、管理者が適切な方法で多くの設定を指定する必要があるため、管理者がクライアントアプリケーションのセキュリティーを保護することは困難になります。クライアントポリシーは、上記のクライアント設定に対してこれらの検証を行うことができ、高度なセキュリティー要件を満たすように、一部のクライアント設定スイッチの自動設定に使用できます。今後、個々のクライアント設定設定が、直接必要な検証を実行するクライアントポリシーに置き換えられる可能性があります。
- FAPI などの必要なセキュリティー標準やプロファイルへの適合
- Global クライアントプロファイル は、デフォルトで Red Hat Single Sign-On で事前設定されたクライアントプロファイルです。FAPI などの標準のセキュリティープロファイルに準拠するように事前設定されているので、管理者はクライアントアプリケーションを特定のセキュリティープロファイルに準拠させることが容易になります。この時点で、Red Hat Single Sign-On には FAPI 1 仕様のサポートに関するグローバルプロファイルがあります。管理者は、FAPI に準拠するクライアントを指定するようにクライアントポリシーを設定する必要があります。管理者は、クライアントプロファイルとクライアントポリシーを設定できるので、Red Hat Single Sign-On クライアントは、SPA、ネイティブアプリケーション、Open Banking などの他のセキュリティープロファイルに簡単に準拠できます。
