6.4. 오프라인 액세스
오프라인 액세스 로그인 중에 클라이언트 애플리케이션은 새로 고침 토큰 대신 오프라인 토큰을 요청합니다. 클라이언트 애플리케이션은 이 오프라인 토큰을 저장하고 사용자가 로그아웃하는 경우 나중에 로그인할 때 사용할 수 있습니다. 이 작업은 사용자가 온라인 상태가 아닌 경우에도 애플리케이션이 사용자를 대신하여 오프라인 작업을 수행해야 하는 경우에 유용합니다. 예를 들어 일반 데이터 백업입니다.
클라이언트 애플리케이션은 오프라인 토큰을 스토리지에 보관한 다음 이를 사용하여 Red Hat Single Sign-On 서버에서 새 액세스 토큰을 검색할 책임이 있습니다.
새로 고침 토큰과 오프라인 토큰의 차이점은 오프라인 토큰이 만료되지 않으며 SSO 세션 Idle 타임아웃 및 수명의 영향을 받지 않는다는 것입니다. 오프라인 토큰은 사용자 로그아웃 또는 서버를 다시 시작한 후 유효합니다. 새로 고침 토큰 동작에 대해 30일 또는 오프라인 세션 Idle 값에 대해 오프라인 토큰 작업을 사용해야 합니다.
SSO 세션 최대
오프라인 세션 Max Limited 를 활성화하면 새로 고침 토큰 작업에 오프라인 토큰을 사용하는 경우에도 오프라인 토큰은 60일 후에 만료됩니다. Admin Console에서 이 값을 오프라인 세션 최대로 변경할 수 있습니다.
오프라인 액세스를 사용하는 경우 클라이언트 유휴 및 최대 시간 초과를 클라이언트 수준에서 재정의할 수 있습니다. 클라이언트 고급 설정 탭에서 클라이언트 오프라인 세션 ID 및 클라이언트 오프라인 세션 최대 옵션을 사용하면 특정 애플리케이션에 대한 오프라인 시간 초과가 더 짧아질 수 있습니다. 클라이언트 세션 값도 새로 고침 토큰 만료를 제어하지만 전역 오프라인 사용자 SSO 세션에는 영향을 미치지 않습니다. 클라이언트 오프라인 세션 최대 옵션은 영역 수준에서 오프라인 세션 Max Limited 가 활성화된 경우에만 클라이언트에서 평가됩니다.
Revoke Refresh Token 옵션을 활성화하면 각 오프라인 토큰을 한 번만 사용할 수 있습니다. 새로 고침 후 이전 버전 대신 새로 고침 응답에서 새 오프라인 토큰을 저장해야 합니다.
사용자는 Red Hat Single Sign-On에서 사용자 계정 콘솔에서 부여하는 오프라인 토큰을 보고 취소할 수 있습니다. 관리자는 Consents 탭의 Admin Console에서 개별 사용자의 오프라인 토큰을 취소할 수 있습니다. 관리자는 각 클라이언트의 오프라인 액세스 탭에서 발행된 모든 오프라인 토큰을 볼 수 있습니다. 관리자는 취소 정책을 설정하여 오프라인 토큰을 취소할 수 있습니다.
오프라인 토큰을 발행하려면 사용자에게 realm-level offline_access 역할에 대한 역할 매핑이 있어야 합니다. 또한 클라이언트는 해당 범위에서 해당 역할을 수행해야 합니다. 클라이언트는 기본적으로 오프라인_access 클라이언트 범위를 역할에 선택적 클라이언트 범위로 추가해야 합니다.
클라이언트는 권한 부여 요청을 Red Hat Single Sign-On으로 보낼 때 매개 변수 scope=offline_access 를 추가하여 오프라인 토큰을 요청할 수 있습니다. Red Hat Single Sign-On OIDC 클라이언트 어댑터는 애플리케이션 보안 URL(예: http://localhost:8080/customer-portal/secured?scope=offline_access)에 액세스하는 데 사용할 때 이 매개변수를 자동으로 추가합니다. 인증 요청 본문에 scope=offline_access 를 포함하는 경우 직접 액세스 권한 부여 및 서비스 계정에서 오프라인 토큰을 지원합니다.
