問題を報告する
古いプラグインバージョンのドキュメントを閲覧しています。
構成
このプラグインはDBレスモードに対応しています。
互換性のあるプロトコル
OpenID Connectプラグインは以下のプロトコルに対応しています:
grpc, grpcs, http, https
パラメータ
このプラグインの設定で使用できるすべてのパラメータのリストは次のとおりです。
-
name or plugin
string requiredプラグイン名。この場合は
openid-connect。- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
nameです。 - Kubernetes で KongPlugin オブジェクトを使用する場合、フィールドは
pluginです。
- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
-
instance_name
stringプラグインのインスタンスを識別するための任意のカスタム名 (例:
openid-connect_my-service。インスタンス名はKong ManagerとKonnectに表示されるので、 例えば複数のサービスで同じプラグインを複数のコンテキストで実行する場合に便利です。また、Kong Admin API経由で特定のプラグインインスタンスに アクセスするためにも使用できます。
インスタンス名は、次のコンテキスト内で一意である必要があります。
- Kong Gateway Enterpriseのワークスペース内
- Konnectのコントロールプレーン(CP)またはコントロールプレーン(CP)グループ内
- Kong Gateway (OSS)の全世界
-
service.name or service.id
stringプラグインが対象とするサービス名または ID。最上位の
/pluginsエンドポイント. からプラグインをサービスに追加する場合は、これらのパラメータのいずれかを設定してください/services/{serviceName|Id}/pluginsを使用する場合は必要ありません。 -
route.name or route.id
stringプラグインがターゲットとするルート名または ID。最上位の
/pluginsエンドポイント. を通るルートにプラグインを追加する場合は、これらのパラメータのいずれかを設定してください/routes/{routeName|Id}/pluginsを使用する場合は必要ありません。 -
enabled
boolean default:trueこのプラグインが適用されるかどうか。
-
config
record required-
issuer
string required検出エンドポイント(または発行者識別子)。検出エンドポイントがない場合は、
config.using_pseudo_issuer=trueも構成してください。
-
using_pseudo_issuer
boolean default:falseプラグインが擬似発行者を使用している場合。trueに設定すると、プラグインは
config.issuerで指定された発行者URLから構成を検出しません。
-
discovery_headers_names
array of typestring検出エンドポイントに渡される追加のヘッダー名。
-
discovery_headers_values
array of typestring検出エンドポイントに渡される追加のヘッダー値。
-
extra_jwks_uris
set of typestring(検出で見つかった鍵に加えて)公開鍵の信頼性が高いJWKS URI。
-
rediscovery_lifetime
number default:30プラグインが検出の試行中に待機する時間(秒単位)を指定します。検出は、必要に応じてトリガーされます。
-
auth_methods
array of typestringdefault:password, client_credentials, authorization_code, bearer, introspection, userinfo, kong_oauth2, refresh_token, sessionMust be one of:password,client_credentials,authorization_code,bearer,introspection,userinfo,kong_oauth2,refresh_token,session有効にする認証情報/グラントコマンドの種類。
-
client_id
array of typestringreferenceable encryptedプラグインがIDプロバイダ上の認証済みエンドポイントを呼び出すときに使用するクライアントID。
-
client_secret
array of typestringreferenceable encryptedクライアントシークレット。
-
client_auth
array of typestringMust be one of:client_secret_basic,client_secret_post,client_secret_jwt,private_key_jwt,tls_client_auth,self_signed_tls_client_auth,noneデフォルトのOpenID Connectクライアント認証方法は、’client_secret_basic’(’Authorization: Basic’ ヘッダーを使用)、’client_secret_post’(本文内の認証情報)、’client_secret_jwt’(本文内の署名付きクライアントアサーション), ‘private_key_jwt’(プライベート鍵で署名されたアサーション)、’tls_client_auth’(クライアント証明書)、 ‘self_signed_tls_client_auth’(自己署名済みクライアント証明書)、および’none’(認証なし)です。
-
client_jwk
array of typerecordprivate_key_jwt認証に使用されるJWK。
-
issuer
string
-
kty
string
-
use
string
-
key_ops
array of typestring
-
alg
string
-
kid
string
-
x5u
string
-
x5c
array of typestring
-
x5t
string
-
x5t#S256
string
-
k
string referenceable encrypted
-
x
string
-
y
string
-
crv
string
-
n
string
-
e
string
-
d
string referenceable encrypted
-
p
string referenceable encrypted
-
q
string referenceable encrypted
-
dp
string referenceable encrypted
-
dq
string referenceable encrypted
-
qi
string referenceable encrypted
-
oth
string referenceable encrypted
-
r
string referenceable encrypted
-
t
string referenceable encrypted
-
-
client_alg
array of typestringMust be one of:HS256,HS384,HS512,RS256,RS384,RS512,ES256,ES384,ES512,PS256,PS384,PS512,EdDSAclient_secret_jwt(HS***のみ)またはprivate_key_jwt認証に使用するアルゴリズム。
-
client_arg
string default:client_idこのリクエストに使用するクライアント(選択は同じ名前のリクエストパラメータで行われます)。
-
redirect_uri
array of typestring認可とトークンのエンドポイントに渡されるリダイレクトURI。
-
login_redirect_uri
array of typestringreferenceablelogin_actionがredirectに設定されている場合のクライアントのリダイレクト先。
-
logout_redirect_uri
array of typestringreferenceableログアウト後のクライアントのリダイレクト先。
-
forbidden_redirect_uri
array of typestring禁止されているリクエストでのクライアントのリダイレクト先。
-
forbidden_error_message
string default:Forbidden禁止されているリクエストに対するエラーメッセージ(リダイレクトを使用していない場合)。
-
forbidden_destroy_session
boolean default:true禁止されているリクエストに対してアクティブなセッションがあれば破棄します。
-
unauthorized_destroy_session
boolean default:true不正なリクエストに対してアクティブなセッションがあれば破棄します。
-
unauthorized_redirect_uri
array of typestring不正なリクエストでのクライアントのリダイレクト先。
-
unauthorized_error_message
string default:Unauthorized不正なリクエストに対するエラーメッセージ(リダイレクトを使用していない場合)。
-
unexpected_redirect_uri
array of typestringリクエストで予期しないエラーが発生した場合のクライアントのリダイレクト先。
-
response_mode
string default:queryMust be one of:query,form_post,fragment,query.jwt,form_post.jwt,fragment.jwt,jwt認可エンドポイントに渡される応答モード: -
query: クエリ文字列のパラメーター用 -form_post: リクエスト本文のパラメーター用 -fragment: URIフラグメント内のパラメーター用(プラグイン自体が読み取れないため、めったに役に立たない)-query.jwt、form_post.jwt、fragment.jwt:query、form_post、fragmentに似ていますが、パラメータはJWTでエンコードされます -jwt: 要求された応答タイプに対してデフォルトのエンコードを示すショートカット。
-
response_type
array of typestringdefault:code認可エンドポイントに渡される応答のタイプ。
-
scopes
array of typestringreferenceable default:openid認可とトークンのエンドポイントに渡されるリダイレクトURI。
-
audience
array of typestring認可エンドポイントに渡されるオーディエンス。
-
issuers_allowed
array of typestringトークン内に存在することを許可された発行者(
issクレーム)。
-
scopes_required
array of typestring認可を成功させるには、アクセストークン(またはイントロスペクション結果)にスコープ(
scopes_claimクレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
scopes_claim
array of typestringdefault:scopeスコープを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
audience_required
array of typestring認可を成功させるには、アクセストークン(またはイントロスペクション結果)にオーディエンス(
audience_claimクレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
audience_claim
array of typestringdefault:audオーディエンスを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
groups_required
array of typestring認可を成功させるには、アクセストークン(またはイントロスペクション結果)にグループ(
groups_claimクレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
groups_claim
array of typestringdefault:groupsグループを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
roles_required
array of typestring認可を成功させるには、アクセストークン(またはイントロスペクション結果)にロール(
roles_claimクレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
roles_claim
array of typestringdefault:rolesロールを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
domains
array of typestring‘hd’クレームに使用できる値。
-
max_age
numberauth_timeクレームと比較した最大経過時間(秒単位)。
-
authenticated_groups_claim
array of typestring認証済みのグループを含んでいるクレーム。この設定はACLプラグインと一緒に使用できますが、他のアプリケーションやインテグレーションでIdP管理グループを有効にすることもできるようになります。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
pushed_authorization_request_endpoint
stringプッシュされた認可エンドポイント。設定されている場合、検出エンドポイントによって返される
pushed_authorization_request_endpointの値が上書きされます。
-
pushed_authorization_request_endpoint_auth_method
string Must be one of:client_secret_basic,client_secret_post,client_secret_jwt,private_key_jwt,tls_client_auth,self_signed_tls_client_auth,noneプッシュされた認可リクエストのエンドポイント認証方法:
client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、tls_client_auth、self_signed_tls_client_auth、またはnone: 認証しないでください
-
require_pushed_authorization_requests
booleanプッシュされた認可リクエストを強制的に有効または無効にします。設定されていない場合、値は
require_pushed_authorization_requestsの値(デフォルトはfalse)を使用して検出によって決定されます。
-
require_proof_key_for_code_exchange
booleanコード交換用のプルーフキーを強制的に有効または無効にします。設定されていない場合、値は
code_challenge_method_supportedの値を使用して検出によって決定され、自動的に有効になります(code_challenge_methods_supportedが見つからない場合、PKCEは有効になりません)。
-
require_signed_request_object
boolean認可エンドポイントまたはプッシュされた認可エンドポイントでの署名付きリクエストオブジェクトの使用を強制的に有効または無効にします。設定されていない場合、値は
require_signed_request_objectの値を使用して検出され、自動的に有効になります(require_signed_request_objectが見つからない場合、この機能は有効になりません)。
-
authorization_endpoint
string認可エンドポイント。設定されている場合、検出エンドポイントによって返される
authorization_endpointの値が上書きされます。
-
authorization_query_args_names
array of typestring認可エンドポイントに渡される追加のクエリ引数名。
-
authorization_query_args_values
array of typestring認可エンドポイントに渡される追加のクエリ引数値。
-
authorization_query_args_client
array of typestringクライアントから認可エンドポイントに渡される追加のクエリ引数。
-
authorization_rolling_timeout
number default:600認可コードフローに使用されるセッションを使用できる時間(更新が必要になるまで)を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
authorization_cookie_name
string default:authorization認可Cookieの名前。
-
authorization_cookie_path
string default:/starts_with:/認可CookieのPathフラグ。
-
authorization_cookie_domain
string認可CookieのDomainフラグ。
-
authorization_cookie_same_site
string default:DefaultMust be one of:Strict,Lax,None,Defaultクロス・オリジン・リクエストでCookieを送信するかどうかを制御し、クロスサイト・リクエスト・フォージェリに対する保護を提供します。
-
authorization_cookie_http_only
boolean default:trueJavaScriptが、たとえば
Document.cookieプロパティを通じてCookieにアクセスすることを禁止します。
-
authorization_cookie_secure
booleanCookieは、リクエストがhttps: スキーム(localhostを除く)で行われた場合にのみサーバーに送信されるため、中間者攻撃に対する耐性が高まります。
-
preserve_query_args
boolean default:falseこのパラメータを使用すると、認可コードフローを実行しているときでもリクエストクエリの引数を保持できます。
-
token_endpoint
stringトークンエンドポイント。設定されている場合、検出エンドポイントによって返される
token_endpointの値が上書きされます。
-
token_endpoint_auth_method
string Must be one of:client_secret_basic,client_secret_post,client_secret_jwt,private_key_jwt,tls_client_auth,self_signed_tls_client_auth,noneトークンエンドポイント認証方法:
client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、tls_client_auth、self_signed_tls_client_auth、またはnone: 認証しないでください
-
token_headers_names
array of typestringトークンエンドポイントに渡される追加のヘッダー名。
-
token_headers_values
array of typestringトークンエンドポイントに渡される追加のヘッダー値。
-
token_headers_client
array of typestringクライアントからトークンエンドポイントに渡される追加ヘッダー。
-
token_headers_replay
array of typestringダウンストリームクライアントに転送するトークンエンドポイント応答ヘッダーの名前。
-
token_headers_prefix
stringダウンストリームのクライアントに転送する前に、トークンエンドポイントの応答ヘッダーにプレフィックス(接頭辞)を追加してください。
-
token_headers_grants
array of typestringMust be one of:password,client_credentials,authorization_code,refresh_token特定のグラントでのみ、トークンエンドポイントの応答ヘッダーの送信を有効にします。-
password: OAuthパスワードグラント -client_credentials: OAuthクライアント認証情報グラント -authorization_code: 認証コードフロー -refresh_token: トークン更新のグラント。
-
token_post_args_names
array of typestringトークンエンドポイントに渡される追加のpost引数名。
-
token_post_args_values
array of typestringトークンエンドポイントに渡される追加のpost引数値。
-
token_post_args_client
array of typestringクライアントからOpenID-Connectプラグインに追加の引数を渡します。引数が存在する場合、クライアントは以下を使って引数を渡すことができます: - クエリパラメータ - リクエスト本文 - リクエストヘッダー このパラメータは次のように
scope値と一緒に使うことができます:config.token_post_args_client=scopeこの場合、トークンはクエリパラメータ、リクエスト本文、またはヘッダーからscope値を取得して、トークンのエンドポイントに送信します。
-
introspection_endpoint
stringイントロスペクション・エンドポイント。設定されている場合、検出エンドポイントによって返される
introspection_endpointの値が上書きされます。
-
introspection_endpoint_auth_method
string Must be one of:client_secret_basic,client_secret_post,client_secret_jwt,private_key_jwt,tls_client_auth,self_signed_tls_client_auth,noneイントロスぺクションエンドポイント認証方法:
client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、tls_client_auth、self_signed_tls_client_auth、またはnone: 認証しないでください
-
introspection_hint
string default:access_tokenイントロスペクションエンドポイントに渡されるイントロスペクションヒントパラメータ値。
-
introspection_check_active
boolean default:trueイントロスペクションの応答に、値が
trueのactiveクレームがあることを確認してください。
-
introspection_accept
string default:application/jsonMust be one of:application/json,application/token-introspection+jwt,application/jwtイントロスペクション要求の
Acceptヘッダーの値: -application/json: JSONとしてのイントロスペクション応答 -application/token-introspection+jwt: JWTとしてのイントロスペクション応答(現在のIETFドラフトドキュメントから)-application/jwt: JWTとしてのイントロスペクション応答(古いIETFドラフトドキュメントから)。
-
introspection_headers_names
array of typestringイントロスペクションエンドポイントに渡される追加のヘッダー名。
-
introspection_headers_values
array of typestringreferenceable encryptedイントロスペクションエンドポイントに渡される追加のヘッダー値。
-
introspection_headers_client
array of typestringクライアントからイントロスペクションエンドポイントに渡される追加ヘッダー。
-
introspection_post_args_names
array of typestringイントロスペクションエンドポイントに渡される追加post引数名。
-
introspection_post_args_values
array of typestringイントロスペクションエンドポイントに渡される追加post引数値。
-
introspection_post_args_client
array of typestringクライアントからイントロスペクションエンドポイントに渡される追加post引数。
-
introspect_jwt_tokens
boolean default:falseJWTアクセストークンをイントロスペクトするかどうかを指定します(取り消しの確認に使用できます)。
-
revocation_endpoint
string失効エンドポイント。設定されている場合、検出エンドポイントによって返される
revocation_endpointの値が上書きされます。
-
revocation_endpoint_auth_method
string Must be one of:client_secret_basic,client_secret_post,client_secret_jwt,private_key_jwt,tls_client_auth,self_signed_tls_client_auth,none失効エンドポイント認証方法:
client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、tls_client_auth、self_signed_tls_client_auth、またはnone: 認証しないでください
-
end_session_endpoint
stringセッション終了エンドポイント。設定されている場合、検出エンドポイントによって返される
end_session_endpointの値が上書きされます。
-
userinfo_endpoint
stringユーザー情報エンドポイント。設定されている場合、検出エンドポイントによって返される
userinfo_endpointの値が上書きされます。
-
userinfo_accept
string default:application/jsonMust be one of:application/json,application/jwtユーザー情報リクエストの
Acceptヘッダーの値: -application/json: JSONとしてのユーザー情報応答 -application/jwt: JWT としてのユーザー情報応答(廃止されたIETFドラフトドキュメントから)。
-
userinfo_headers_names
array of typestringユーザー情報エンドポイントに渡される追加のヘッダー名。
-
userinfo_headers_values
array of typestringユーザー情報エンドポイントに渡される追加のヘッダー値。
-
userinfo_headers_client
array of typestringクライアントからユーザー情報エンドポイントに渡される追加ヘッダー。
-
userinfo_query_args_names
array of typestringユーザー情報エンドポイントに渡される追加のクエリ引数名。
-
userinfo_query_args_values
array of typestringユーザー情報エンドポイントに渡される追加のクエリ引数値。
-
userinfo_query_args_client
array of typestringクライアントからユーザー情報エンドポイントに渡される追加のクエリ引数。
-
token_exchange_endpoint
stringトークン交換エンドポイント。
-
session_secret
string referenceable encryptedセッションシークレット。
-
session_audience
string default:defaultセッションのオーディエンス(意図されたターゲットアプリケーション)。たとえば、
"my-application"など。
-
session_cookie_name
string default:sessionセッションCookieの名前。
-
session_remember
boolean default:false永続セッションを有効または無効にします。
-
session_remember_cookie_name
string default:remember永続セッションCookieの名前。
remember構成パラメータと一緒に使用します。
-
session_remember_rolling_timeout
number default:604800永続セッションが有効とみなされる時間を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
session_remember_absolute_timeout
number default:2592000再認証が必要になるまで、永続セッションを更新できる時間を秒単位で制限します。0を指定すると、チェックが無効になります。
-
session_idling_timeout
number default:900セッションが無効とみなされるまでの非アクティブ期間を秒単位で指定します。0を指定すると、チェックとタッチングが無効になります。
-
session_rolling_timeout
number default:3600セッションの更新が必要になるまでのセッション使用可能時間を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
session_absolute_timeout
number default:86400再認証が必要になるまで、セッションを更新できる時間を秒単位で制限します。0を指定すると、チェックが無効になります。
-
session_cookie_path
string default:/starts_with:/セッションCookieのPathフラグ。
-
session_cookie_domain
stringセッションCookieのDomainフラグ。
-
session_cookie_same_site
string default:LaxMust be one of:Strict,Lax,None,Defaultクロス・オリジン・リクエストでCookieを送信するかどうかを制御し、クロスサイト・リクエスト・フォージェリに対する保護を提供します。
-
session_cookie_http_only
boolean default:trueJavaScriptが、たとえば
Document.cookieプロパティを通じてCookieにアクセスすることを禁止します。
-
session_cookie_secure
booleanCookieは、リクエストがhttps: スキーム(localhostを除く)で行われた場合にのみサーバーに送信されるため、中間者攻撃に対する耐性が高まります。
-
session_request_headers
set of typestringMust be one of:id,audience,subject,timeout,idling-timeout,rolling-timeout,absolute-timeoutアップストリーム、ユーザーID、オーディエンス、件名、タイムアウト、アイドリングタイムアウト、ローリングタイムアウト、絶対的タイムアウトに送信するヘッダーのセット。たとえば、
[ "id", "timeout" ]は、Session-IdおよびSession-Timeoutのリクエストヘッダーを設定します。
-
session_response_headers
set of typestringMust be one of:id,audience,subject,timeout,idling-timeout,rolling-timeout,absolute-timeoutダウンストリーム、ユーザーID、オーディエンス、件名、タイムアウト、アイドリングタイムアウト、ローリングタイムアウト、絶対的タイムアウトに送信するヘッダーのセット。たとえば、
[ "id", "timeout" ]は、Session-IdおよびSession-Timeoutの応答ヘッダーを設定します。
-
session_storage
string default:cookieMust be one of:cookie,memcache,memcached,redisセッションデータ用のセッションストレージ: -
cookie: セッションデータをセッションCookieとともに保存します(セッションシークレットを変更せずにセッションを無効化または取り消すことはできませんが、セッションはステートレスでありデータベースを必要としません)-memcache: セッションデータをmemcachedに保存します -redis: セッションデータをRedisに保存します。
-
session_store_metadata
boolean default:falseセッションメタデータを保存するかどうかを構成します。このメタデータには、特定のテーマに属する特定のオーディエンスのアクティブなセッションに関する情報が含まれています。
-
session_enforce_same_subject
boolean default:falsetrueに設定すると、オーディエンスは同じsubjectを共有するよう強制されます。
-
session_hash_subject
boolean default:falsetrueに設定すると、subjectの値は保存される前にハッシュ化されます。session_store_metadataが有効な場合にのみ適用されます。
-
session_hash_storage_key
boolean default:falsetrueに設定すると、セキュリティを強化するためにストレージキー(セッションID)がハッシュ化されます。ストレージキーをハッシュ化するということは、Cookieなしではストレージからデータを復号化できないということです。
-
session_memcached_prefix
stringmemcachedセッションキー接頭辞。
-
session_memcached_socket
stringmemcached unixソケットパス。
-
session_memcached_host
string default:127.0.0.1memcachedホスト。
-
session_memcached_port
integer default:11211between:065535memcachedポート。
-
session_redis_prefix
stringRedisセッションキー接頭辞。
-
session_redis_socket
stringRedis unixソケットパス。
-
session_redis_host
string default:127.0.0.1Redisホスト。
-
session_redis_port
integer default:6379between:065535Redisポート。
-
session_redis_username
string referenceableredisセッションストレージが定義され、ACL認証が必要な場合に、Redis接続に使用するユーザー名。未定義の場合、ACL認証は実行されません。これにはRedis v6.0.0+が必要です。Redis v5.xyとの互換性を持たせるには、defaultに設定できます。
-
session_redis_password
string referenceable encryptedredisセッションストレージが定義されている場合にRedis接続に使用するパスワード。定義されていない場合、AUTHコマンドはRedisに送信されません。
-
session_redis_connect_timeout
integerSession redis接続タイムアウト(ミリ秒単位)。
-
session_redis_read_timeout
integerSession redis読み取りタイムアウト(ミリ秒単位)。
-
session_redis_send_timeout
integerSession Redis送信タイムアウト (ミリ秒単位)。
-
session_redis_ssl
boolean default:falseRedis接続にはSSL/TLSを使用します。
-
session_redis_ssl_verify
boolean default:falseIDプロバイダーサーバー証明書を確認します。
-
session_redis_server_name
stringRedisサーバの接続に使用されるSNI。
-
session_redis_cluster_nodes
array of typerecordRedisクラスタノードホスト。
ipまたはhost、およびport値を持つホストレコードの配列を受け取ります。-
ip
string required default:127.0.0.1ホスト名を表す文字列 (example.com など)。
-
port
integer default:6379between:0655350 から 65535 (両端入れ) までのポート番号を表す整数。
-
-
session_redis_cluster_max_redirections
integerRedisクラスタの最大リダイレクト数。
-
reverify
boolean default:falseセッションに保存されているトークンを常に検証するかどうかを指定します。
-
jwt_session_claim
string default:sidJWTセッションcookieと照合するクレーム。
-
jwt_session_cookie
stringJWTセッションcookieの名前。
-
bearer_token_param_type
array of typestringdefault:header, query, bodyMust be one of:header,cookie,query,bodybearerトークンを探す場所: -
header: HTTPヘッダーを検索します -query: URLのクエリ文字列を検索します -body: HTTPリクエスト本文を検索します -cookie:config.bearer_token_cookie_nameで指定されたHTTPリクエストcookieを検索します。
-
bearer_token_cookie_name
stringbearerトークンが渡されるcookieの名前。
-
client_credentials_param_type
array of typestringdefault:header, query, bodyMust be one of:header,query,bodyクライアント認証情報を探す場所: -
header: HTTPヘッダーを検索します -query: URLのクエリ文字列を検索します -body: HTTPリクエスト本文から検索します。
-
password_param_type
array of typestringdefault:header, query, bodyMust be one of:header,query,bodyユーザー名とパスワードを探す場所: -
header: HTTPへッダーを検索します -query: URLのクエリ文字列を検索します -body: HTTPリクエスト本文を検索します。
-
id_token_param_type
array of typestringdefault:header, query, bodyMust be one of:header,query,bodyidトークンを探す場所: -
header: HTTPヘッダーを検索します -query: URLのクエリ文字列を検索します -body: HTTPリクエスト本文を検索します。
-
id_token_param_name
stringidトークンを渡すために使用されるパラメータの名前。
-
refresh_token_param_type
array of typestringdefault:header, query, bodyMust be one of:header,query,bodyリフレッシュトークンを探す場所: -
header: HTTPヘッダーを検索します -query: URLのクエリ文字列を検索します -body: HTTPリクエスト本文を検索します。
-
refresh_token_param_name
stringリフレッシュトークンを渡すために使用されるパラメータの名前。
-
refresh_tokens
boolean default:trueプラグインに
refresh_tokenがある場合に、期限切れのアクセストークンのリフレッシュを試みるかどうかを指定します。
-
upstream_headers_claims
array of typestringアップストリームヘッダーのクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
upstream_headers_names
array of typestringクレーム値のアップストリームヘッダー名。
-
upstream_access_token_header
string default:authorization:bearerアップストリームアクセストークンヘッダー。
-
upstream_access_token_jwk_header
stringアップストリームアクセストークンJWKヘッダー。
-
upstream_id_token_header
stringアップストリームidトークンヘッダー。
-
upstream_id_token_jwk_header
stringアップストリームidトークンJWKヘッダー。
-
upstream_refresh_token_header
stringアップストリームリフレッシュトークンヘッダー。
-
upstream_user_info_header
stringアップストリームユーザー情報ヘッダー。
-
upstream_user_info_jwt_header
stringアップストリームユーザー情報JWTヘッダー(ユーザー情報がJWT応答を返す場合)。
-
upstream_introspection_header
stringアップストリームイントロスペクションヘッダー。
-
upstream_introspection_jwt_header
stringアップストリームイントロスペクションJWTヘッダー。
-
upstream_session_id_header
stringアップストリームセッションidヘッダー。
-
downstream_headers_claims
array of typestringダウンストリームヘッダークレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
downstream_headers_names
array of typestringクレーム値のダウンストリームヘッダー名。
-
downstream_access_token_header
stringダウンストリームアクセストークンヘッダー。
-
downstream_access_token_jwk_header
stringダウンストリームアクセストークンJWKヘッダー。
-
downstream_id_token_header
stringダウンストリームIDトークンヘッダー。
-
downstream_id_token_jwk_header
stringダウンストリームIDトークンJWKヘッダー。
-
downstream_refresh_token_header
stringダウンストリームリフレッシュトークンヘッダー。
-
downstream_user_info_header
stringダウンストリームユーザー情報ヘッダー。
-
downstream_user_info_jwt_header
stringダウンストリームユーザー情報JWTヘッダー(ユーザー情報がJWT応答を返す場合)。
-
downstream_introspection_header
stringダウンストリームイントロスペクションヘッダー。
-
downstream_introspection_jwt_header
stringダウンストリームイントロスペクションJWTヘッダー。
-
downstream_session_id_header
stringダウンストリームセッションIDヘッダー。
-
login_methods
array of typestringdefault:authorization_codeMust be one of:password,client_credentials,authorization_code,bearer,introspection,userinfo,kong_oauth2,refresh_token,session特定のグラントでログイン機能を有効にします。
-
login_action
string default:upstreamMust be one of:upstream,response,redirectログイン成功後の処理: -
upstream: リクエストをアップストリームサービスにプロキシします -response: レスポンスでリクエストを終了します -redirect: 別の場所にリダイレクトします。
-
login_tokens
array of typestringdefault:id_tokenMust be one of:id_token,access_token,refresh_token,tokens,introspectionresponse本文またはredirectクエリ文字列またはフラグメントに含めるトークン: -id_token: IDトークンを含めます -access_token: アクセストークンを含めます -refresh_token: リフレッシュトークンを含めます -tokens: 完全なトークンエンドポイントレスポンスを含めます -introspection: イントロスペクションレスポンスを含めます。
-
login_redirect_mode
string default:fragmentMust be one of:query,fragmentredirectlogin_actionを使用するときにlogin_tokensを配置する場所:-query: トークンをクエリ文字列に配置します -fragment: トークンをURLフラグメントに配置します(サーバーでは読み取り不可)。
-
logout_query_arg
stringログアウトをアクティブ化するリクエストクエリ引数。
-
logout_post_arg
stringログアウトをアクティブ化するリクエスト本文の引数。
-
logout_uri_suffix
stringログアウトをアクティブ化するリクエストURIサフィックス。
-
logout_methods
array of typestringdefault:POST, DELETEMust be one of:POST,GET,DELETEログアウトをアクティブ化できるリクエストメソッド: -
POST: HTTP POSTメソッド -GET: HTTP GETメソッド -DELETE: HTTP DELETEメソッド。
-
logout_revoke
boolean default:falseログアウトの一部としてトークンを取り消します。
より詳細にトークンの取り消しを行うには、
logout_revoke_access_tokenとlogout_revoke_refresh_tokenパラメータを調整します。
-
logout_revoke_access_token
boolean default:trueログアウトの一環としてアクセストークンを取り消します。
logout_revokeをtrueに設定する必要があります。
-
logout_revoke_refresh_token
boolean default:trueログアウトの一環としてリフレッシュトークンを取り消します。
logout_revokeをtrueに設定する必要があります。
-
consumer_claim
array of typestringコンシューママッピングに使用されるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
consumer_by
array of typestringdefault:username, custom_idMust be one of:id,username,custom_idマッピングに使用されるコンシューマフィールド: -
id:idで一致するコンシューマを探します -username:usernameで一致するコンシューマを探します -custom_id:custom_idで一致するコンシューマを探します。
-
consumer_optional
boolean default:falseコンシューママッピングが失敗した場合でも、リクエストを終了しないでください。
-
credential_claim
array of typestringdefault:subコンシューママッピングが使用されていない場合に備えて、仮想認証情報を取得するために使用されるクレーム(レート制限プラグインによって使用されるなど)。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
anonymous
string認証に失敗した場合に「匿名」コンシューマとして機能するオプションの文字列(消費者のUUIDまたはユーザー名)の値。空の場合(デフォルトは null)、認証に失敗したリクエストは
4xxHTTP ステータス コードを返します。この値はコンシューマのcustom_idではなく、idまたはusername属性を参照している必要があります。
-
run_on_preflight
boolean default:trueこのプラグインをプリフライト(
OPTIONS)リクエストで実行するかどうかを指定します。
-
leeway
number default:0auth_time、exp、iat、およびnbfクレームの余裕時間(秒単位)を定義します。
-
verify_parameters
boolean default:false検出に対してプラグイン構成を確認します。
-
verify_nonce
boolean default:true認可コードフローでnonceを確認します。
-
verify_claims
boolean default:true標準クレームのトークンを確認します。
-
verify_signature
boolean default:trueトークンの署名を確認します。
-
ignore_signature
array of typestringMust be one of:password,client_credentials,authorization_code,refresh_token,session,introspection,userinfo特定の付与に対するトークン署名検証をスキップします: -
password: OAuthパスワードグラント -client_credentials: OAuthクライアント資格情報グラント -authorization_code: 認証コードフロー -refresh_token: OAuthトークン更新グラント -session: セッションCookie認証 -introspection: OAuthイントロスペクション -userinfo: OpenID Connectユーザー情報エンドポイント認証。
-
enable_hs_signatures
boolean default:false共有シークレット(例:HS256など)署名を有効にします (無効にすると受け入れられなくなります)。
-
disable_session
array of typestringMust be one of:password,client_credentials,authorization_code,bearer,introspection,userinfo,kong_oauth2,refresh_token,session指定されたグラントでのセッションCookieの発行を無効にします。
-
cache_ttl
number default:3600キャッシュされたオブジェクトが有効期限を指定していない場合に使用されるデフォルトのキャッシュTTL(秒単位)。
-
cache_ttl_max
number秒単位での最大キャッシュTTL(適用済み)。
-
cache_ttl_min
number秒単位での最小キャッシュTTL(適用済み)。
-
cache_ttl_neg
number秒単位でのネガティブキャッシュTTL。
-
cache_ttl_resurrect
number秒単位での復活TTL。
-
cache_tokens
boolean default:trueトークンエンドポイントリクエストをキャッシュします。
-
cache_tokens_salt
stringトークンエンドポイントリクエストのキャッシュに使用されるキャッシュキーを生成するために使用されるソルト。
-
cache_introspection
boolean default:trueイントロスペクションエンドポイントリクエストをキャッシュします。
-
cache_token_exchange
boolean default:trueトークン交換エンドポイントリクエストをキャッシュします。
-
cache_user_info
boolean default:trueユーザー情報リクエストをキャッシュします。
-
search_user_info
boolean default:falseユーザー情報エンドポイントを使用して、コンシューママッピング、認証情報マッピング、認証グループ、上流と下流のヘッダーに関する追加のクレームを取得するかどうかを指定します。
-
hide_credentials
boolean default:false認証に使われた認証情報をリクエストから削除します。同じリクエストで複数の認証情報が送信された場合、認証の成功に使用された認証情報がこのプラグインによって削除されます。
-
http_version
number default:1.1このプラグインによるリクエストに使用されるHTTPバージョン: -
1.1: HTTP 1.1(デフォルト)-1.0: HTTP 1.0。
-
http_proxy
stringHTTPプロキシ。
-
http_proxy_authorization
stringHTTPプロキシ認証。
-
https_proxy
stringHTTPSプロキシ。
-
https_proxy_authorization
stringHTTPSプロキシ認証。
-
no_proxy
stringこれらのホストではプロキシを使用しないでください。
-
keepalive
boolean default:trueHTTPクライアントでkeepaliveを使用します。
-
ssl_verify
boolean default:falseIDプロバイダーサーバー証明書を確認します。
trueに設定すると、プラグインはkong.confで設定されたCA証明書を使用します。 設定パラメータlua_ssl_trusted_certificate。
-
timeout
number default:10000ネットワークIOタイムアウト(ミリ秒単位)。
-
display_errors
boolean default:false失敗応答のエラーを表示します。
-
by_username_ignore_case
boolean default:falseconsumer_byがusernameに設定されている場合、usernameが大文字と小文字を区別せずにコンシューマと照合できるかどうかを指定します。
-
resolve_distributed_claims
boolean default:false分散クレームは、クレームを含むJSONオブジェクトの
_claim_namesと_claim_sourcesメンバーによって表されます。このパラメータがtrueに設定されている場合、プラグインはこれらの分散クレームを明示的に解決します。
-
expose_error_code
boolean default:trueRFC 6750で定義されているエラーコードヘッダーを公開するかどうかを指定します。認可リクエストが失敗した場合、このヘッダーが応答で送信されます。無効にするには’false’に設定します。
-
token_cache_key_include_scope
boolean default:falseトークンのキャッシュキーにスコープを含めます。これにより、スコープの異なるトークンは別のトークンとみなされます。
-
introspection_token_param_name
string default:tokenイントロスペクション用のトークンのパラメータ名を指定します。
-
revocation_token_param_name
string default:tokenトークンのパラメータ名を取り消し用に指定します。
-
proof_of_possession_mtls
string default:offMust be one of:off,strict,optionalmtlsの所持証明を有効にします。strictに設定すると、すべてのトークン(サポートされているauth_methodsから: bearer、introspection、およびbearerまたはintrospectionで許可されたセッション)が検証されます。optionalに設定すると、証明書ハッシュ要求を含むトークンのみが検証されます。検証に失敗した場合、リクエストは401で拒否されます。
-
proof_of_possession_auth_methods_validation
boolean default:truetrueに設定すると、所持証明(PoP)が有効な場合に、PoPと互換性のあるauth_methodsのみを構成できます。falseに設定すると、すべてのauth_methodsが構成可能になり、PoPと互換性のないauth_methodsについてはPoPチェックがスキップされます。
-
tls_client_auth_cert_id
stringKongと認証サーバー間の接続のmTLSクライアント認証に使用するクライアント証明書を表す証明書エンティティのID。
-
tls_client_auth_ssl_verify
boolean default:truemTLSクライアント認証中にIDプロバイダーサーバー証明書を検証します。
-
mtls_token_endpoint
stringmTLSクライアント認証に使用されるトークンエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliasesの値が上書きされます。
-
mtls_introspection_endpoint
stringmTLSクライアント認証に使用されるイントロスペクションエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliasesの値が上書きされます。
-
mtls_revocation_endpoint
stringmTLSクライアント認証に使用されるイントロスペクションエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliasesの値が上書きされます。
-
proof_of_possession_dpop
string default:offMust be one of:off,strict,optional所持証明(DPoP)を有効にします。strictに設定すると、DPoPキークレーム(cnf.jkt)が存在するかどうかにかかわらず、すべてのリクエストが検証されます。optionalに設定した場合、DPoPのキーにバインドされたトークンのみが証明で検証されます。
-
dpop_use_nonce
boolean default:falseDPoP証明のためにnonce値を使用してクライアントにチャレンジするかどうかを指定します。有効にすると、DPoP証明の有効期間の計算にも使用されます。
-
dpop_proof_lifetime
number default:300DPoP証明の有効期間を秒単位で指定します。これにより、作成後に同じ証明を使用できる期間が決定されます。作成時間は、nonceが使用されている場合はnonce作成時間、それ以外の場合はiatクレームによって決まります。
-
-
authorization_cookie_lifetime
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
authorization_cookie_samesite
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
authorization_cookie_httponly
booleanDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_lifetime
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_idletime
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_samesite
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_httponly
booleanDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_prefix
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_socket
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_host
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_port
integerDeprecation notice: This field is planned to be removed in version 4.0.
-
session_redis_cluster_maxredirections
integerDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_renew
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_maxsize
integerDeprecation notice: This field is planned to be removed in version 4.0.
-
session_strategy
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_compressor
stringDeprecation notice: This field is planned to be removed in version 4.0.