8장. Vault SPI

8.1. Vault 공급자

org.keycloak.vault 패키지에서 vault SPI를 사용하여 Red Hat Single Sign-On의 사용자 지정 확장을 작성하여 임의의 자격 증명 모음 구현에 연결할 수 있습니다.

기본 제공 files-plaintext provider는 이 SPI 구현의 예입니다. 일반적으로 다음 규칙이 적용됩니다.

시크릿이 여러 영역에서 유출되지 않도록 하려면 영역을 통해 검색할 수 있는 시크릿을 격리하거나 제한할 수 있습니다. 이 경우 공급자는 시크릿을 검색할 때 영역 이름을 고려해야 합니다. 예를 들어 영역 이름을 사용하여 항목 접두사를 붙여야 합니다. 예를 들어, ${vault.key} 표현식은 영역 A 또는 영역 B 에서 사용되었는지 여부에 따라 일반적으로 다른 항목 이름으로 평가됩니다. 영역을 구분하기 위해 영역을 KeycloakSession 매개변수에서 사용할 수 있는 VaultProvider Factory.create() 메서드에서 생성된 VaultProvider 인스턴스에 전달해야 합니다.
자격 증명 모음 공급자는 지정된 보안 이름에 VaultRawSecret 을 반환하는 단일 메서드 obtainSecret 을 구현해야 합니다. 해당 클래스에는 byte[] 또는 10.0.0.1 Buffer 로 시크릿의 표현이 있으며 필요에 따라 둘 간에 변환할 수 있습니다. 이 버퍼는 아래에 설명된 대로 사용 후 삭제됩니다.

사용자 지정 공급자를 패키지하고 배포하는 방법에 대한 자세한 내용은 서비스 공급자 인터페이스 장을 참조하십시오.