Red Hat Summit6.3. セッションおよびトークンのタイムアウト
Red Hat Single Sign-On には、Realm Settings メニューの Tokens タブを使用してセッション、クッキー、およびトークンのタイムアウトを制御できます。
tokens タブ
| 設定 | 説明 |
|---|---|
| デフォルトの署名アルゴリズム | レルムにトークンを割り当てるために使用されるデフォルトのアルゴリズム。
|
| トークンの更新の取り消し | ON にすると、Red Hat Single Sign-On はトークンの更新をキャンセルし、クライアントが使用する必要のある別のトークンを発行します。このアクションは、更新トークンフローを実行する OIDC クライアントに適用されます。 |
| SSO Session Idle | この設定は OIDC クライアントのみを対象としています。ユーザーがこのタイムアウトよりも非アクティブである場合は、ユーザーセッションが無効になります。このタイムアウト値は、クライアントが認証を要求するか、更新トークン要求を送信するときにリセットされます。Red Hat Single Sign-On は、セッションの無効化が有効になる前に、アイドルタイムアウトに期間を追加します。詳細は、後述する 注記 を参照してください。 |
| SSO セッション最大 | ユーザーセッションが期限切れになるまでの最大時間。 |
| SSO Session Idle Remember Me | この設定は標準の SSO セッション ID 設定に似ていますが、Remember Me が有効になっているログインに固有の設定です。ユーザーは、ログイン時に Remember Me をクリックすると、セッションのアイドルタイムアウトが長く指定できます。この設定は任意の設定であり、その値がゼロより大きい場合、SSO Session Idle 設定と同じアイドルタイムアウトを使用します。 |
| SSO Session Max Remember Me | この設定は標準の SSO セッション Max と似ていますが、Remember Me ログインに 固有です。ユーザーは、ログイン時に Remember Me をクリックするとセッションが長く指定できます。この設定は任意の設定であり、その値がゼロより大きい場合、SSO Session Max 設定と同じセッションライフスパンを使用します。
|
| オフラインセッションのアイドリング | この設定は オフラインアクセス 用です。Red Hat Single Sign-On がオフライントークンを取り消す前にセッションがアイドル状態のままになる時間。Red Hat Single Sign-On は、セッションの無効化が有効になる前に、アイドルタイムアウトに期間を追加します。詳細は、後述する 注記 を参照してください。
|
| オフラインセッションの最大制限 | この設定は オフラインアクセス 用です。このフラグが ON の場合、ユーザーアクティビティーに関係なく、オフラインセッション Max がアクティブな状態のままの最大時間を制御できます。Client Offline Session Idle および Client Offline Session Max が有効化されています。
|
| オフラインセッションの最大 | この設定は オフラインアクセス 用で、Red Hat Single Sign-On が対応するオフライントークンを取り消すまでの最大時間です。このオプションは、ユーザーアクティビティーに関係なく、オフライントークンがアクティブな状態のままになる最大期間を制御します。 |
| Client Offline Session Idle | この設定は オフラインアクセス 用です。ユーザーがこのタイムアウトよりも非アクティブである場合、オフラインのトークンがアイドル状態のタイムアウトを上げます。この設定は、オフラインセッションアイドルよりもオフライントークンのアイドルタイムアウトを短く指定します。ユーザーは、個別のクライアントに対してこの設定を上書きできます。この設定は任意の設定であり、ゼロに設定すると Offline Session Idle 設定で同じアイドルタイムアウトを使用します。 |
| Client Offline Session Max | この設定は オフラインアクセス 用です。オフライントークンの有効期限が切れるまでの最大時間。この設定は、オフラインセッションタイムアウトよりも短いトークンのタイムアウトを指定しますが、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると Offline Session Max 設定で同じアイドルタイムアウトを使用します。 |
| クライアントセッション ID | ユーザーがこのタイムアウトよりも非アクティブである場合、更新トークンはアイドル状態のタイムアウトを上げます。この設定は、セッションアイドルタイムアウトよりも、更新トークンのアイドルタイムアウトを短くし、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると SSO セッション ID 設定で同じアイドルタイムアウトを使用します。 |
| クライアントセッション数 | 更新トークンの有効期限が切れるまでの最大時間。この設定は、セッションタイムアウトよりも更新トークンのタイムアウトを短くし、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると SSO セッション Max 設定で同じアイドルタイムアウトを使用します。 |
| アクセストークンの寿命 | Red Hat Single Sign-On が OIDC アクセストークンを作成すると、この値はトークンの有効期間を制御します。 |
| インプリシットフロー (Implicit Flow) のアクセストークンのライフサイクル | インプリシットフローでは、Red Hat Single Sign-On は更新トークンを提供しません。Implicit Flow によって作成されるアクセストークンに別のタイムアウトが存在します。 |
| クライアントログインのタイムアウト | クライアントが OIDC で Authorization Code Flow を終了するまでの最大時間。 |
| ログインのタイムアウト | ロギングにかかる合計時間。認証にかかる時間よりも長い場合は、ユーザーは認証プロセスを再度開始する必要があります。 |
| ログインアクションのタイムアウト | Maximum time ユーザーは、認証プロセス中に 1 つのページで費やすことができます。 |
| ユーザーによる開始に関するアクションライフスパン | ユーザーのアクションパーミッションの有効期限が切れるまでの最大時間。ユーザーが通常、自己作成のアクションに迅速に対応するので、この値を短くしてください。 |
| デフォルトの管理者開始アクションのライフサイクル | 管理者によってユーザーに送信されるアクションパーミッションの最大時間。この値を長く維持して、管理者がオフラインユーザーに電子メールを送信できるようにします。管理者は、トークンを発行する前にデフォルトのタイムアウトを上書きできます。 |
| ユーザーによる開始処理のオーバーライド | 各操作ごとに独立したタイムアウトを指定します (たとえば、パスワード、ユーザーアクション、アイデンティティープロバイダーの E-mail Verification など)。デフォルト値は、User-Initiated Action Lifespan で設定される値に設定されます。 |
アイドルタイムアウトの場合は、セッションがアクティブである期間が 2 分のウィンドウになります。たとえば、タイムアウトが 30 分に設定されている場合、セッションの有効期限が切れるまでに 32 分になります。
このアクションは、クラスター間および複数のデータセンター環境で必要です。この場合、トークンは有効期限前に 1 つのクラスターノードで短期間に更新され、他のクラスターノードは更新されたノードから正常な更新についてのメッセージを受信していないため、セッションが期限切れと誤って考慮されます。
