サポートコンソール開発者トライアルの開始お問い合わせ

3.8. ログインオプションの制御

Red Hat Single Sign-On には、複数の組み込みログインページ機能が含まれています。

3.8.1. forgot password 有効化

Forgot Password を有効にすると、パスワード を取得するか、OTP ジェネレーターを失う場合に、ログイン認証情報をリセットできます。

手順

  1. メニューで Realm Settings をクリックします。

  2. Login タブをクリックします。

    ログインタブ

    Login Tab

  3. Forgot PasswordON に切り替えます。

    forgot password リンクがログインページに表示されます。

    forgot password リンク

    Forgot Password Link

  4. このリンクをクリックして、ユーザー名またはメールアドレスを入力し、リンクのある電子メールを受信して認証情報をリセットできるユーザーを追加します。

    Forgot password ページ

    Forgot Password Page

メールで送信されるテキストは設定可能です。詳細は、サーバー開発者ガイド を参照してください。

ユーザーがメールリンクをクリックすると、Red Hat Single Sign-On によりパスワードが更新され、OTP ジェネレーターを設定している場合は、Red Hat Single Sign-On により OTP ジェネレーターが再設定するよう要求されます。組織のセキュリティー要件によっては、ユーザーが電子メールで OTP ジェネレーターをリセットしたくないことがあります。

この動作を変更するには、以下の手順を実施します。

手順

  1. メニューで Authentication をクリックします。
  2. Flows タブをクリックします。

  3. Reset Credentials フローを選択します。

    認証情報フローをリセット

    Reset Credentials Flow

    OTP をリセットしない場合は、Reset OTP の要件を Disabled に設定します。

  4. Required Actions タブをクリックします。Update Password が有効になっていることを確認します。

3.8.2. Remember Me の有効化

ブラウザーを閉じたログインユーザーはセッションを破棄し、そのユーザーは再度ログインする必要があります。ログイン時に Remember Me チェックボックスをクリックし、ユーザーのログインセッションを開いたままに Red Hat Single Sign-On を設定できます。このアクションは、ログインクッキーをセッションのみのクッキーから永続クッキーに変換します。

手順

  1. メニューで Realm Settings をクリックします。
  2. Login タブをクリックします。

  3. Remember MeON に切り替えます。

    ログインタブ

    login tab

この設定を保存すると、レルムのログインページに remember me チェックボックスが表示されます。

Remember Me

remember me

3.8.3. ACR から認証レベル (LoA) へのマッピング

レルムのログイン設定では、どの Authentication Context Class Reference (ACR) 値をどの Level of Authentication (LoA) マップするかを定義できます。ACR には任意の値を指定できますが、LA は数値でなければなりません。acr 要求は、OIDC 要求で送信される claim または acr_values パラメーターで要求でき、アクセストークンおよび ID トークンにも含めることができます。マッピングされた番号は、認証フロー条件で使用されます。

特定のクライアントがレルムとは異なる値を使用する必要がある場合は、マッピングをクライアントレベルで指定することもできます。ただし、レルムマッピングを行うのがベストプラクティスです。

ACR to LoA mapping

詳細については、ステップアップ認証公式の OIDC 仕様 を参照してください。

3.8.3.1. 電子メールワークフローの更新 (UpdateEmail)

このワークフローでは、ユーザーは UPDATE_EMAIL アクションを使用して独自のメールアドレスを変更する必要があります。

アクションは、単一のメール入力フォームに関連付けられます。レルムの電子メール検証が無効な場合は、この動作により、検証なしに電子メールを更新できます。レルムで電子メールの検証が有効になっている場合は、アカウントメールを変更せずにアクションが新しいメールアドレスにメール更新アクショントークンを送信します。トリガーされるアクショントークンのみがメールの更新を完了します。

アプリケーションは UPDATE_EMAIL を AIA (Application Initiated Action) として利用することで、ユーザーをメール更新フォームに送信できます。

注記

UpdateEmail は テクノロジープレビュー であるため、完全にサポートされていません。デフォルトでは無効になっています。

-Dkeycloak.profile=preview または -Dkeycloak.profile.feature.update_email=enabled でサーバーの起動を有効にするには、以下を行います、詳細は、Profiles を参照してください。

注記

この機能を有効にして、以前のバージョンから移行する場合は、レルムで 電子メールの更新に必要なアクションを有効にします。そうでない場合は、メールアドレスを更新できません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.