Red Hat Summit12.7.3.2. エグゼキューター (Executor)
エグゼキューターは、ポリシーが採用されるクライアントで実行されるアクションを指定します。エグゼキューターは、1 つまたは複数の指定されたアクションを実行します。たとえば、一部のエクゼキューターは、承認要求のパラメーター redirect_uri の値が Authorization Endpoint の事前登録リダイレクト URI と完全に一致するかどうかを確認し、一致しない場合はこの要求を拒否します。
エクゼキューターは、単独では使用できません。これは、後で説明される プロファイル で使用できます。
エグゼキューターは、他の設定可能なプロバイダーと同じように設定できます。設定可能なものは、各エグゼキューターの性質によって異なります。
エグゼキューターはさまざまなイベントで機能します。エグゼキューター実装は、特定のタイプのイベントを無視できます (たとえば、OIDC 要求 オブジェクトをチェックするためのエグゼキューターは、OIDC 許可要求に対してのみ機能します)。イベントは以下のとおりです。
- クライアントの作成 (動的クライアント登録による作成を含む)
- クライアントの更新
- 認証要求の送信
- トークン要求の送信
- トークン更新要求の送信
- トークン失効要求の送信
- トークンイントロスペクション要求の送信
- userinfo 要求の送信
- 更新トークンを使用したログアウト要求の送信
各イベントでは、エグゼキューターは複数のフェーズで機能します。たとえば、クライアントの作成/更新時に、エグゼキューターは特定のクライアント設定を自動設定してクライアント設定を変更できます。その後、エグゼキューターはこの設定を検証フェーズで検証します。
このエグゼキューターの目的の 1 つは、FAPI などのクライアント適合性プロファイルのセキュリティー要件を実現することです。これを行うには、以下のエクゼキューターが必要です。
- クライアントにセキュアな Client Authentication method を強制的に使用する
- Holder-of-key tokens を強制的に使用する
- Proof Key for Code Exchange (PKCE) を強制的に使用する
- Signed JWT client authentication (private-key-jwt) のセキュアな署名アルゴリズムを強制的に使用する
- HTTPS リダイレクト URI を強制的に使用し、設定したリダイレクト URL にワイルドカードが含まれないようにする
-
高いセキュリティーレベルを満たす OIDC
要求オブジェクトを有効にする - FAPI 1 仕様で説明されているように、デタッチされた署名 として使用される ID トークンを含む OIDC ハイブリッドフローの応答タイプを有効にする。つまり、認証応答から返される ID トークンにはユーザーのプロファイルデータが含まれないようにします。
-
CSRF を防止するために、よりセキュアな
状態およびnonceパラメーターの処理を有効にする - クライアント登録時によりセキュアな署名アルゴリズムを有効にする
-
binding_messageパラメーターを CIBA 要求に強制的に使用する
