11.6. OpenID Connect 参考

provider

配置 OpenID Connect 供应商。

secure-deployment

由 OpenID Connect 供应商保护的部署。

realm

配置 Red Hat Single Sign-On 域。这为方便用户提供。您可以在 keycloak 客户端适配器中复制配置，并在此处使用。建议使用 供应商。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要将其设置为生产环境中的 ture。

always-refresh-token

如果设置为 true，JBoss EAP 会在每次 Web 请求上刷新令牌。

auth-server-url

Red Hat Single Sign-On 域授权服务器的基本 URL。如果使用此属性，还必须定义 realm 属性。

您还可以使用 provider-url 属性在单个属性中提供基本 URL 和 realm。

client-id

在 OpenID 提供程序中注册的 JBoss EAP 的客户端 ID。

client-key-password

如果指定了 client-keystore，请在此属性中指定密码。

client-keystore

如果您的应用通过 HTTPS 与 OpenID 提供程序通信，请在此属性中设置客户端密钥存储的路径。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

confidential-port

8443

指定 OpenID 供应商使用的机密端口(SSL/TLS)。

connection-pool-size

指定与 OpenID 供应商通信时使用的连接池大小。

connection-timeout-millis

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L.-1L 表示该值未定义，这是默认值。

connection-ttl-millis

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 CORS，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是 optinal。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。只有在 enable-cors 设为 true 时，此属性才会生效。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-cors

false

启用 Red Hat Single Sign-On Cross-Origin Resource Sharing (CORS)支持。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。这特定于 Red Hat Single Sign-On。

ignore-oauth-query-parameter

false

禁用 access_token 的查询参数解析。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

realm-public-key

指定域的公钥。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到 Red Hat Single Sign-On。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore

指定用于客户端 HTTPS 请求的信任存储。

truststore-password

指定 truststore 密码。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证期间，如果令牌包含此客户端名称(资源)作为受众，则验证。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要将其设置为生产环境中的 ture。

always-refresh-token

如果设置为 true，JBoss EAP 会在每次 Web 请求上刷新令牌。

auth-server-url

Red Hat Single Sign-On 域授权服务器的基本 URL 可以使用 provider-url 属性。

client-id

在 OpenID 提供程序中注册的 JBoss EAP 的客户端 ID。

client-key-password

如果指定了 client-keystore，请在此属性中指定密码。

client-keystore

如果您的应用通过 HTTPS 与 OpenID 提供程序通信，请在此属性中设置客户端密钥存储的路径。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

confidential-port

8443

指定 OpenID 供应商使用的机密端口(SSL/TLS)。

connection-pool-size

指定与 OpenID 供应商通信时使用的连接池大小。

connection-timeout-millis

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

connection-ttl-millis

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L. -1L 表示该值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。此属性仅在 'enable-- 时才生效。

credential

指定用于与 OpenID 供应商通信的凭证。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-cors

false

启用 Red Hat Single Sign-On Cross-Origin Resource Sharing (CORS)支持。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。这特定于 Red Hat Single Sign-On。

ignore-oauth-query-parameter

false

禁用 access_token 的查询参数解析。

min-time-between-jwks-requests

如果适配器识别了由未知公钥签名的令牌，JBoss EAP 会尝试从 elytron-oidc-client 服务器下载新公钥。但是，如果您已经尝试了小于这个值的值，则 JBoss EAP deosn 不会尝试下载新的公钥，以秒为单位。该值可以在 -1L 和 2147483647L 之间。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

provider

指定 OpenID 供应商。

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

public-client

false

如果设置为 true，则在与 OpenID 提供程序通信时不会发送客户端凭证。这是可选的。

realm

在 Red Hat Single Sign-On 中连接的域。

realm-public-key

指定域的公钥。

redirect-rewrite-rule

指定要应用到重定向 URI 的重写规则。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到 Red Hat Single Sign-On。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率。

resource

指定您要使用 OIDC 保护的应用程序名称。或者，您可以指定 client-id。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-minimum-time-to-live

如果当前令牌过期或是在您设定的时间（以秒为单位）内过期，则适配器会刷新令牌。

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore

指定用于适配器客户端 HTTPS 请求的信任存储。

truststore-password

指定 truststore 密码。

turn-off-change-session-id-on-login

false

会话 ID 默认在成功登录时更改。将值设为 true 以将此关闭。

use-resource-role-mappings

false

使用从令牌获取的资源级别权限。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证过程中，适配器会验证令牌是否包含这个客户端名称(资源)作为受众。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要将其设置为生产环境中的 ture。

always-refresh-token

如果设置为 true，JBoss EAP 会在每次 Web 请求上刷新令牌。

auth-server-url

Red Hat Single Sign-On 域授权服务器的基本 URL 可以使用 provider-url 属性。

client-key-password

如果指定了 client-keystore，请在此属性中指定密码。

client-keystore

如果您的应用通过 HTTPS 与 OpenID 提供程序通信，请在此属性中设置客户端密钥存储的路径。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

confidential-port

8443

指定红帽单点登录使用的机密端口(SSL/TLS)。

connection-pool-size

指定与 Red Hat Single Sign-On 通信时使用的连接池大小。

connection-timeout-millis

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

connection-ttl-millis

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。只有在 enable-cors 设为 true 时，此属性才会生效。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-cors

false

启用 {RHProductShortName} Cross-Origin Resource Sharing (CORS)支持。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。

ignore-oauth-query-parameter

false

禁用 access_token 的查询参数解析。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

realm-public-key

指定域的公钥。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到 Red Hat Single Sign-On。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore

指定用于客户端 HTTPS 请求的信任存储。

truststore-password

指定 truststore 密码。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证过程中，适配器会验证令牌是否包含这个客户端名称（资源）作为 audience。