6.3. 세션 및 토큰 타임아웃
Red Hat Single Sign-On에는 VMDK 설정 메뉴의 토큰 탭을 통해 세션, 쿠키 및 토큰 시간 초과가 포함됩니다.
토큰 탭
| 설정 | 설명 |
|---|---|
| 기본 서명 알고리즘 | 영역에 토큰을 할당하는 데 사용되는 기본 알고리즘입니다.
|
| 새로 고침 토큰 취소 | ON (켜짐)인 경우 Red Hat Single Sign-On은 새로 고침 토큰을 취소하고 클라이언트가 사용해야 하는 다른 토큰을 발행합니다. 이 작업은 새로 고침 토큰 흐름을 수행하는 OIDC 클라이언트에 적용됩니다. |
| SSO 세션 ID | 이 설정은 OIDC 고객에게만 적용됩니다. 사용자가 이 시간 초과보다 오래 비활성 경우 사용자 세션이 무효화됩니다. 이 시간 초과 값은 클라이언트가 인증을 요청하거나 새로 고침 토큰 요청을 보낼 때 재설정됩니다. Red Hat Single Sign-On은 세션 무효화를 적용하기 전에 유휴 타임아웃에 시간을 추가합니다. 이 섹션의 뒷부분에 나오는 참고 사항을 참조하십시오. |
| SSO 세션 최대 | 사용자 세션이 만료되기 전의 최대 시간입니다. |
| SSO 세션 ID를 기억할 수 있습니다. | 이 설정은 표준 SSO 세션 Idle 구성과 유사하지만 Remember Me enabled를 사용한 로그인과 관련이 있습니다. 사용자는 로그인할 때 Remember Me 를 클릭하면 세션 유휴 타임아웃을 더 긴 세션 유휴 상태로 설정할 수 있습니다. 이 설정은 선택적 구성이며 해당 값이 0보다 크면 SSO 세션 Idle 구성과 동일한 유휴 타임아웃을 사용합니다. |
| SSO 세션 최대 메모리 | 이 설정은 표준 SSO 세션 최대값과 유사하지만 내 로그인을 기억하는 것과 관련이 있습니다. 사용자는 로그인할 때 Remember Me 를 클릭하면 더 긴 세션을 지정할 수 있습니다. 이 설정은 선택적 구성이며 해당 값이 0보다 크면 SSO 세션 최대값 구성과 동일한 세션 수명을 사용합니다.
|
| 오프라인 세션 ID | 이 설정은 오프라인 액세스 를 위한 것입니다. Red Hat Single Sign-On이 오프라인 토큰을 취소하기 전에 세션이 유휴 상태로 유지되는 시간입니다. Red Hat Single Sign-On은 세션 무효화를 적용하기 전에 유휴 타임아웃에 시간을 추가합니다. 이 섹션의 뒷부분에 나오는 참고 사항을 참조하십시오.
|
| 오프라인 세션 최대 제한 | 이 설정은 오프라인 액세스 를 위한 것입니다. 이 플래그가 ON 이면 offline Session Max는 사용자 활동에 관계없이 오프라인 토큰이 활성 상태로 유지되는 최대 시간을 제어할 수 있습니다. 플래그가 OFF 이면 오프라인 세션은 lifespan에 의해 만료되지 않습니다. 이 세션은 유휴 상태일 때만 만료됩니다. 이 옵션이 활성화되면 오프라인 세션 최대 ( 영역 수준에서 글로벌 옵션) 및 클라이언트 오프라인 세션 최대 ( 고급 설정 탭의 특정 클라이언트 수준 옵션)를 구성할 수 있습니다.
|
| 오프라인 세션 최대 | 이 설정은 오프라인 액세스 를 위한 것이며 Red Hat Single Sign-On이 해당 오프라인 토큰을 취소하기 전 최대 시간입니다. 이 옵션은 사용자 활동에 관계없이 오프라인 토큰이 활성 상태로 유지되는 최대 시간을 제어합니다. |
| 클라이언트 오프라인 세션 ID | 이 설정은 오프라인 액세스 를 위한 것입니다. 사용자가 이 시간 초과보다 오래 비활성 경우 오프라인 토큰 요청이 유휴 타임아웃을 충돌합니다. 이 설정은 오프라인 세션 유휴 상태보다 오프라인 토큰의 더 짧은 유휴 타임아웃을 지정합니다. 사용자는 개별 클라이언트에 대해 이 설정을 덮어쓸 수 있습니다. 이 설정은 선택적 구성이며 0으로 설정하면 오프라인 세션 Idle 구성에서 동일한 유휴 타임아웃을 사용합니다. |
| 클라이언트 오프라인 세션 최대 | 이 설정은 오프라인 액세스 를 위한 것입니다. 오프라인 토큰이 만료되고 무효화되기 전 최대 시간입니다. 이 설정은 오프라인 세션 시간 초과보다 짧은 토큰 타임아웃을 지정하지만 사용자는 개별 클라이언트에 대해 이를 재정의할 수 있습니다. 이 설정은 선택적 구성이며 0으로 설정하면 오프라인 세션 최대 구성에서 동일한 유휴 타임아웃을 사용합니다. |
| 클라이언트 세션 ID | 클라이언트 세션에 대한 유휴 시간 제한입니다. 사용자가 이 시간 초과보다 오래 동안 비활성 상태인 경우 클라이언트 세션이 무효화되고 새로 고침 토큰 요청에서 유휴 시간 초과가 발생합니다. 이 설정은 고유한 일반 SSO 사용자 세션에는 영향을 미치지 않습니다. SSO 사용자 세션은 0개 이상의 클라이언트 세션의 상위 세션임을 확인합니다. 사용자가 로그인한 각 클라이언트 앱에 대해 하나의 클라이언트 세션이 생성됩니다. 이 값은 SSO 세션 ID 보다 짧은 유휴 시간 초과를 지정해야 합니다. 고급 설정 클라이언트 탭에서 개별 클라이언트에 대해 사용자가 재정의할 수 있습니다. 이 설정은 선택적 구성이며 0으로 설정하면 SSO 세션 Idle 구성에서 동일한 유휴 타임아웃을 사용합니다. |
| 클라이언트 세션 최대 | 클라이언트 세션 및 새로 고침 토큰이 만료되기 전의 최대 시간입니다. 이전 옵션과 마찬가지로 이 설정은 SSO 사용자 세션에 영향을 미치지 않으며 SSO 세션 최대값보다 짧은 값을 지정해야 합니다. 고급 설정 클라이언트 탭에서 개별 클라이언트에 대해 사용자가 재정의할 수 있습니다. 이 설정은 선택적 구성이며 0으로 설정하면 SSO 세션 최대 구성에서 동일한 최대 시간 초과를 사용합니다. |
| 액세스 토큰 수명 | Red Hat Single Sign-On이 OIDC 액세스 토큰을 생성하면 이 값은 토큰의 수명을 제어합니다. |
| Implicit Flow를 위한 액세스 토큰 수명 | Implicit Flow를 사용하면 Red Hat Single Sign-On에서 새로 고침 토큰을 제공하지 않습니다. Implicit Flow에서 생성한 액세스 토큰에 대해 별도의 제한 시간이 있습니다. |
| 클라이언트 로그인 시간 초과 | 클라이언트가 OIDC에서 인증 코드 흐름을 완료해야 하는 최대 시간입니다. |
| login timeout | 로그인해야 하는 총 시간입니다. 인증이 이 시간보다 오래 걸리는 경우 사용자는 인증 프로세스를 다시 시작해야 합니다. |
| 로그인 작업 타임아웃 | 최대 시간은 사용자가 인증 프로세스 중 하나의 페이지에 보낼 수 있습니다. |
| 사용자 시작 동작 수명 (User-Initiated Action Lifespan) | 사용자의 작업 권한이 만료되기 전의 최대 시간입니다. 일반적으로 사용자가 자체 생성된 작업에 신속하게 대응하므로 이 값을 짧게 유지합니다. |
| Default Admin-Initiated Action Lifespan | 관리자가 사용자에게 보내는 작업 권한이 만료되기 전 최대 시간입니다. 관리자가 이메일을 오프라인 사용자에게 보낼 수 있도록 이 값을 길게 유지합니다. 관리자는 토큰을 실행하기 전에 기본 시간 초과를 덮어쓸 수 있습니다. |
| 사용자 시작 작업 수명 재정의 | 개별 작업별로 독립 시간 초과를 지정합니다(예: 이메일 확인, 암호, 사용자 작업 및 ID 공급자 확인). 이 값은 기본적으로 User-Initiated Action Lifespan 에 구성된 값으로 설정됩니다. |
유휴 상태의 타임아웃의 경우 세션이 활성화되는 2 분의 시간이 있습니다. 예를 들어 시간 초과를 30분으로 설정하면 세션이 만료되기까지 32분입니다.
이 작업은 클러스터의 일부 시나리오와 토큰이 만료되기 전에 한 클러스터 노드에서 잠시 새로 고침되고 다른 클러스터 노드는 새로 고침 노드에서 성공적인 새로 고침에 대한 메시지를 아직 수신하지 못했기 때문에 세션을 만료로 잘못 간주하는 경우 필요합니다.
