16.6. SSL/HTTPS 要件

OAuth 2.0/OpenID Connect はセキュリティーにアクセストークンを使用します。攻撃者はネットワークをスキャンしてアクセストークンを探し、トークンが許可されている悪意のある操作を実行するためにそれらを使用する可能性があります。この攻撃は中間者攻撃と呼ばれます。Red Hat Single Sign-On 認証サーバーとクライアント間の通信に SSL/HTTPS を使用して、Red Hat Single Sign-On のセキュリティーを保護し、中間者攻撃を防ぎます。

Red Hat Single Sign-On には、SSL/HTTPS 用に 3 つのモード があります。SSL は設定が複雑であるため、Red Hat Single Sign-On は localhost、192.168x.x などのプライベート IP アドレス、その他のプライベート IP アドレスを介した HTTPS 以外の通信を許可します。実稼働環境では、SSL が有効で、全操作に対して SSL が必須であることを確認します。

アダプター/クライアント側で、SSL トラストマネージャーを無効にできます。トラストマネージャーは、Red Hat Single Sign-On が通信するクライアントの ID が有効であること、また、サーバーの証明書に対して DNS ドメイン名を確認します。実稼働環境では、各クライアントアダプターがトラストストアを使用して DNS の中間者攻撃を防いでいることを確認します。