6.3. セッションおよびトークンのタイムアウト

Default Signature Algorithm

レルムにトークンを割り当てるために使用されるデフォルトのアルゴリズム。

Revoke Refresh Token

ON にすると、Red Hat Single Sign-On はトークンの更新をキャンセルし、クライアントが使用する必要のある別のトークンを発行します。このアクションは、更新トークンフローを実行する OIDC クライアントに適用されます。

SSO Session Idle

この設定は OIDC クライアントのみを対象としています。ユーザーがこのタイムアウトよりも非アクティブである場合は、ユーザーセッションが無効になります。このタイムアウト値は、クライアントが認証を要求するか、更新トークン要求を送信するときにリセットされます。Red Hat Single Sign-On は、セッションの無効化が有効になる前に、アイドルタイムアウトに期間を追加します。このセクションで後述する 注記 を参照してください。

SSO Session Max

ユーザーセッションが期限切れになるまでの最大時間。

SSO Session Idle Remember Me

この設定は標準の SSO セッション ID 設定に似ていますが、Remember Me が有効になっているログインに固有の設定です。ユーザーは、ログイン時に Remember Me をクリックすると、セッションのアイドルタイムアウトが長く指定できます。この設定は任意の設定であり、その値がゼロより大きい場合、SSO Session Idle 設定と同じアイドルタイムアウトを使用します。

SSO Session Max Remember Me

この設定は標準の SSO セッション Max と似ていますが、Remember Me ログインに 固有です。ユーザーは、ログイン時に Remember Me をクリックするとセッションが長く指定できます。この設定は任意の設定であり、その値がゼロより大きい場合、SSO Session Max 設定と同じセッションライフスパンを使用します。

Offline Session Idle

この設定は オフラインアクセス 用です。Red Hat Single Sign-On がオフライントークンを取り消す前にセッションがアイドル状態のままになる時間。Red Hat Single Sign-On は、セッションの無効化が有効になる前に、アイドルタイムアウトに期間を追加します。このセクションで後述する 注記 を参照してください。

Offline Session Max Limited

この設定は オフラインアクセス 用です。このフラグが ON の場合、ユーザーアクティビティーに関係なく、オフラインセッション Max がアクティブな状態のままの最大時間を制御できます。フラグが OFF の場合、オフラインセッションはライフスパンによって期限切れになることはありません。これらのセッションはアイドル状態の場合にのみ期限切れになります。このオプションをアクティブにすると、Offline Session Max (レルムレベルのグローバルオプション) と Client Offline Session Max (詳細 Advanced Settings タブにある特定のクライアントレベルオプション) を設定できます。

Offline Session Max

この設定は オフラインアクセス 用であり、Red Hat Single Sign-On が対応するオフライントークンを取り消すまでの最大時間です。このオプションは、ユーザーアクティビティーに関係なく、オフライントークンがアクティブな状態のままになる最大期間を制御します。

Client Offline Session Idle

この設定は オフラインアクセス 用です。ユーザーがこのタイムアウトよりも非アクティブである場合、オフラインのトークンがアイドル状態のタイムアウトを上げます。この設定は、オフラインセッションアイドルよりもオフライントークンのアイドルタイムアウトを短く指定します。ユーザーは、個別のクライアントに対してこの設定を上書きできます。この設定は任意の設定であり、ゼロに設定すると Offline Session Idle 設定で同じアイドルタイムアウトを使用します。

Client Offline Session Max

この設定は オフラインアクセス 用です。オフライントークンの有効期限が切れるまでの最大時間。この設定は、オフラインセッションタイムアウトよりも短いトークンのタイムアウトを指定しますが、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると Offline Session Max 設定で同じアイドルタイムアウトを使用します。

Client Session Idle

クライアントセッションのアイドルタイムアウト。このタイムアウトよりも長くユーザーの非アクティブ状態が続く場合、クライアントセッションは無効になり、更新トークンの要求に基づきアイドルタイムアウトが増加します。この設定が、固有の一般的な SSO ユーザーセッションに影響することはありません。SSO ユーザーセッションは、ゼロ以上のクライアントセッションの親である点に注意してください。ユーザーがログインするクライアントアプリケーションごとに 1 つのクライアントセッションが作成されます。この値には、SSO Session Idle よりも短いアイドルタイムアウトを指定する必要があります。ユーザーは、Advanced Settings クライアントタブで、個々のクライアントに対してこれをオーバーライドできます。この設定は任意の設定であり、ゼロに設定すると SSO セッション ID 設定で同じアイドルタイムアウトを使用します。

Client Session Max

クライアントセッションの最長時間、および更新トークンの有効期限が切れて無効になるまでの時間。前のオプションと同様に、この設定は SSO ユーザーセッションに影響しません。また、SSO Session Max よりも短い値を指定する必要があります。ユーザーは、Advanced Settings クライアントタブで、個々のクライアントに対してこれをオーバーライドできます。この設定はオプションの設定であり、ゼロに設定すると SSO Session Max の設定と同じアイドルタイムアウトが使用されます。

Access Token Lifespan

Red Hat Single Sign-On が OIDC アクセストークンを作成すると、この値はトークンの有効期間を制御します。

Access Token Lifespan For Implicit Flow

インプリシットフローでは、Red Hat Single Sign-On は更新トークンを提供しません。Implicit Flow によって作成されるアクセストークンに別のタイムアウトが存在します。

Client login timeout

クライアントが OIDC で Authorization Code Flow を終了するまでの最大時間。

Login timeout

ロギングにかかる合計時間。認証にかかる時間よりも長い場合は、ユーザーは認証プロセスを再度開始する必要があります。

Login action timeout

Maximum time ユーザーは、認証プロセス中に 1 つのページで費やすことができます。

User-Initiated Action Lifespan

ユーザーのアクションパーミッションの有効期限が切れるまでの最大時間。ユーザーが通常、自己作成のアクションに迅速に対応するので、この値を短くしてください。

Default Admin-Initiated Action Lifespan

管理者によってユーザーに送信されるアクションパーミッションの最大時間。この値を長く維持して、管理者がオフラインユーザーに電子メールを送信できるようにします。管理者は、トークンを発行する前にデフォルトのタイムアウトを上書きできます。

ユーザーによる開始処理のオーバーライド

各操作ごとに独立したタイムアウトを指定します (たとえば、パスワード、ユーザーアクション、アイデンティティープロバイダーの E-mail Verification など)。デフォルト値は、User-Initiated Action Lifespan で設定される値に設定されます。