古いプラグインバージョンのドキュメントを閲覧しています。
構成
このプラグインはDBレスモードに対応しています。
互換性のあるプロトコル
OpenID Connectプラグインは以下のプロトコルに対応しています:
grpc
, grpcs
, http
, https
パラメータ
このプラグインの設定で使用できるすべてのパラメータのリストは次のとおりです。
-
string required
プラグイン名。この場合は
openid-connect
。- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
name
です。 - Kubernetes で KongPlugin オブジェクトを使用する場合、フィールドは
plugin
です。
- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
-
string
プラグインのインスタンスを識別するための任意のカスタム名 (例:
openid-connect_my-service
。インスタンス名はKong ManagerとKonnectに表示されるので、 例えば複数のサービスで同じプラグインを複数のコンテキストで実行する場合に便利です。また、Kong Admin API経由で特定のプラグインインスタンスに アクセスするためにも使用できます。
インスタンス名は、次のコンテキスト内で一意である必要があります。
- Kong Gateway Enterpriseのワークスペース内
- Konnectのコントロールプレーン(CP)またはコントロールプレーン(CP)グループ内
- Kong Gateway (OSS)の全世界
-
string
プラグインが対象とするサービス名または ID。最上位の
/plugins
エンドポイント. からプラグインをサービスに追加する場合は、これらのパラメータのいずれかを設定してください/services/{serviceName|Id}/plugins
を使用する場合は必要ありません。 -
string
プラグインがターゲットとするルート名または ID。最上位の
/plugins
エンドポイント. を通るルートにプラグインを追加する場合は、これらのパラメータのいずれかを設定してください/routes/{routeName|Id}/plugins
を使用する場合は必要ありません。 -
boolean default:
true
このプラグインが適用されるかどうか。
-
record required
-
string required
検出エンドポイント(または発行者識別子)。検出エンドポイントがない場合は、
config.using_pseudo_issuer=true
も構成してください。
-
boolean default:
false
プラグインが擬似発行者を使用している場合。trueに設定すると、プラグインは
config.issuer
で指定された発行者URLから構成を検出しません。
-
array of type
string
検出エンドポイントに渡される追加のヘッダー名。
-
array of type
string
検出エンドポイントに渡される追加のヘッダー値。
-
set of type
string
(検出で見つかった鍵に加えて)公開鍵の信頼性が高いJWKS URI。
-
number default:
30
プラグインが検出の試行中に待機する時間(秒単位)を指定します。検出は、必要に応じてトリガーされます。
-
array of type
string
default:password, client_credentials, authorization_code, bearer, introspection, userinfo, kong_oauth2, refresh_token, session
Must be one of:password
,client_credentials
,authorization_code
,bearer
,introspection
,userinfo
,kong_oauth2
,refresh_token
,session
有効にする認証情報/グラントコマンドの種類。
-
array of type
string
referenceable encryptedプラグインがIDプロバイダ上の認証済みエンドポイントを呼び出すときに使用するクライアントID。
-
array of type
string
referenceable encryptedクライアントシークレット。
-
array of type
string
Must be one of:client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
デフォルトのOpenID Connectクライアント認証方法は、’client_secret_basic’(’Authorization: Basic’ ヘッダーを使用)、’client_secret_post’(本文内の認証情報)、’client_secret_jwt’(本文内の署名付きクライアントアサーション), ‘private_key_jwt’(プライベート鍵で署名されたアサーション)、’tls_client_auth’(クライアント証明書)、 ‘self_signed_tls_client_auth’(自己署名済みクライアント証明書)、および’none’(認証なし)です。
-
array of type
record
private_key_jwt認証に使用されるJWK。
-
string
-
string
-
string
-
array of type
string
-
string
-
string
-
string
-
array of type
string
-
string
-
string
-
string referenceable encrypted
-
string
-
string
-
string
-
string
-
string
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
string referenceable encrypted
-
-
array of type
string
Must be one of:HS256
,HS384
,HS512
,RS256
,RS384
,RS512
,ES256
,ES384
,ES512
,PS256
,PS384
,PS512
,EdDSA
client_secret_jwt(HS***のみ)またはprivate_key_jwt認証に使用するアルゴリズム。
-
string default:
client_id
このリクエストに使用するクライアント(選択は同じ名前のリクエストパラメータで行われます)。
-
array of type
string
認可とトークンのエンドポイントに渡されるリダイレクトURI。
-
array of type
string
referenceablelogin_action
がredirect
に設定されている場合のクライアントのリダイレクト先。
-
array of type
string
referenceableログアウト後のクライアントのリダイレクト先。
-
array of type
string
禁止されているリクエストでのクライアントのリダイレクト先。
-
string default:
Forbidden
禁止されているリクエストに対するエラーメッセージ(リダイレクトを使用していない場合)。
-
boolean default:
true
禁止されているリクエストに対してアクティブなセッションがあれば破棄します。
-
boolean default:
true
不正なリクエストに対してアクティブなセッションがあれば破棄します。
-
array of type
string
不正なリクエストでのクライアントのリダイレクト先。
-
string default:
Unauthorized
不正なリクエストに対するエラーメッセージ(リダイレクトを使用していない場合)。
-
array of type
string
リクエストで予期しないエラーが発生した場合のクライアントのリダイレクト先。
-
string default:
query
Must be one of:query
,form_post
,fragment
,query.jwt
,form_post.jwt
,fragment.jwt
,jwt
認可エンドポイントに渡される応答モード: -
query
: クエリ文字列のパラメーター用 -form_post
: リクエスト本文のパラメーター用 -fragment
: URIフラグメント内のパラメーター用(プラグイン自体が読み取れないため、めったに役に立たない)-query.jwt
、form_post.jwt
、fragment.jwt
:query
、form_post
、fragment
に似ていますが、パラメータはJWTでエンコードされます -jwt
: 要求された応答タイプに対してデフォルトのエンコードを示すショートカット。
-
array of type
string
default:code
認可エンドポイントに渡される応答のタイプ。
-
array of type
string
referenceable default:openid
認可とトークンのエンドポイントに渡されるリダイレクトURI。
-
array of type
string
認可エンドポイントに渡されるオーディエンス。
-
array of type
string
トークン内に存在することを許可された発行者(
iss
クレーム)。
-
array of type
string
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にスコープ(
scopes_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
array of type
string
default:scope
スコープを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にオーディエンス(
audience_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
array of type
string
default:aud
オーディエンスを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にグループ(
groups_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
array of type
string
default:groups
グループを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にロール(
roles_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
array of type
string
default:roles
ロールを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
‘hd’クレームに使用できる値。
-
number
auth_time
クレームと比較した最大経過時間(秒単位)。
-
array of type
string
認証済みのグループを含んでいるクレーム。この設定はACLプラグインと一緒に使用できますが、他のアプリケーションやインテグレーションでIdP管理グループを有効にすることもできるようになります。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
string
プッシュされた認可エンドポイント。設定されている場合、検出エンドポイントによって返される
pushed_authorization_request_endpoint
の値が上書きされます。
-
string Must be one of:
client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
プッシュされた認可リクエストのエンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
boolean
プッシュされた認可リクエストを強制的に有効または無効にします。設定されていない場合、値は
require_pushed_authorization_requests
の値(デフォルトはfalse
)を使用して検出によって決定されます。
-
boolean
コード交換用のプルーフキーを強制的に有効または無効にします。設定されていない場合、値は
code_challenge_method_supported
の値を使用して検出によって決定され、自動的に有効になります(code_challenge_methods_supported
が見つからない場合、PKCEは有効になりません)。
-
boolean
認可エンドポイントまたはプッシュされた認可エンドポイントでの署名付きリクエストオブジェクトの使用を強制的に有効または無効にします。設定されていない場合、値は
require_signed_request_object
の値を使用して検出され、自動的に有効になります(require_signed_request_object
が見つからない場合、この機能は有効になりません)。
-
string
認可エンドポイント。設定されている場合、検出エンドポイントによって返される
authorization_endpoint
の値が上書きされます。
-
array of type
string
認可エンドポイントに渡される追加のクエリ引数名。
-
array of type
string
認可エンドポイントに渡される追加のクエリ引数値。
-
array of type
string
クライアントから認可エンドポイントに渡される追加のクエリ引数。
-
number default:
600
認可コードフローに使用されるセッションを使用できる時間(更新が必要になるまで)を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
string default:
authorization
認可Cookieの名前。
-
string default:
/
starts_with:/
認可CookieのPathフラグ。
-
string
認可CookieのDomainフラグ。
-
string default:
Default
Must be one of:Strict
,Lax
,None
,Default
クロス・オリジン・リクエストでCookieを送信するかどうかを制御し、クロスサイト・リクエスト・フォージェリに対する保護を提供します。
-
boolean default:
true
JavaScriptが、たとえば
Document.cookie
プロパティを通じてCookieにアクセスすることを禁止します。
-
boolean
Cookieは、リクエストがhttps: スキーム(localhostを除く)で行われた場合にのみサーバーに送信されるため、中間者攻撃に対する耐性が高まります。
-
boolean default:
false
このパラメータを使用すると、認可コードフローを実行しているときでもリクエストクエリの引数を保持できます。
-
string
トークンエンドポイント。設定されている場合、検出エンドポイントによって返される
token_endpoint
の値が上書きされます。
-
string Must be one of:
client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
トークンエンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
array of type
string
トークンエンドポイントに渡される追加のヘッダー名。
-
array of type
string
トークンエンドポイントに渡される追加のヘッダー値。
-
array of type
string
クライアントからトークンエンドポイントに渡される追加ヘッダー。
-
array of type
string
ダウンストリームクライアントに転送するトークンエンドポイント応答ヘッダーの名前。
-
string
ダウンストリームのクライアントに転送する前に、トークンエンドポイントの応答ヘッダーにプレフィックス(接頭辞)を追加してください。
-
array of type
string
Must be one of:password
,client_credentials
,authorization_code
,refresh_token
特定のグラントでのみ、トークンエンドポイントの応答ヘッダーの送信を有効にします。-
password
: OAuthパスワードグラント -client_credentials
: OAuthクライアント認証情報グラント -authorization_code
: 認証コードフロー -refresh_token
: トークン更新のグラント。
-
array of type
string
トークンエンドポイントに渡される追加のpost引数名。
-
array of type
string
トークンエンドポイントに渡される追加のpost引数値。
-
array of type
string
クライアントからOpenID-Connectプラグインに追加の引数を渡します。引数が存在する場合、クライアントは以下を使って引数を渡すことができます: - クエリパラメータ - リクエスト本文 - リクエストヘッダー このパラメータは次のように
scope
値と一緒に使うことができます:config.token_post_args_client=scope
この場合、トークンはクエリパラメータ、リクエスト本文、またはヘッダーからscope
値を取得して、トークンのエンドポイントに送信します。
-
string
イントロスペクション・エンドポイント。設定されている場合、検出エンドポイントによって返される
introspection_endpoint
の値が上書きされます。
-
string Must be one of:
client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
イントロスぺクションエンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
string default:
access_token
イントロスペクションエンドポイントに渡されるイントロスペクションヒントパラメータ値。
-
boolean default:
true
イントロスペクションの応答に、値が
true
のactive
クレームがあることを確認してください。
-
string default:
application/json
Must be one of:application/json
,application/token-introspection+jwt
,application/jwt
イントロスペクション要求の
Accept
ヘッダーの値: -application/json
: JSONとしてのイントロスペクション応答 -application/token-introspection+jwt
: JWTとしてのイントロスペクション応答(現在のIETFドラフトドキュメントから)-application/jwt
: JWTとしてのイントロスペクション応答(古いIETFドラフトドキュメントから)。
-
array of type
string
イントロスペクションエンドポイントに渡される追加のヘッダー名。
-
array of type
string
referenceable encryptedイントロスペクションエンドポイントに渡される追加のヘッダー値。
-
array of type
string
クライアントからイントロスペクションエンドポイントに渡される追加ヘッダー。
-
array of type
string
イントロスペクションエンドポイントに渡される追加post引数名。
-
array of type
string
イントロスペクションエンドポイントに渡される追加post引数値。
-
array of type
string
クライアントからイントロスペクションエンドポイントに渡される追加post引数。
-
boolean default:
false
JWTアクセストークンをイントロスペクトするかどうかを指定します(取り消しの確認に使用できます)。
-
string
失効エンドポイント。設定されている場合、検出エンドポイントによって返される
revocation_endpoint
の値が上書きされます。
-
string Must be one of:
client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
失効エンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
string
セッション終了エンドポイント。設定されている場合、検出エンドポイントによって返される
end_session_endpoint
の値が上書きされます。
-
string
ユーザー情報エンドポイント。設定されている場合、検出エンドポイントによって返される
userinfo_endpoint
の値が上書きされます。
-
string default:
application/json
Must be one of:application/json
,application/jwt
ユーザー情報リクエストの
Accept
ヘッダーの値: -application/json
: JSONとしてのユーザー情報応答 -application/jwt
: JWT としてのユーザー情報応答(廃止されたIETFドラフトドキュメントから)。
-
array of type
string
ユーザー情報エンドポイントに渡される追加のヘッダー名。
-
array of type
string
ユーザー情報エンドポイントに渡される追加のヘッダー値。
-
array of type
string
クライアントからユーザー情報エンドポイントに渡される追加ヘッダー。
-
array of type
string
ユーザー情報エンドポイントに渡される追加のクエリ引数名。
-
array of type
string
ユーザー情報エンドポイントに渡される追加のクエリ引数値。
-
array of type
string
クライアントからユーザー情報エンドポイントに渡される追加のクエリ引数。
-
string
トークン交換エンドポイント。
-
string referenceable encrypted
セッションシークレット。
-
string default:
default
セッションのオーディエンス(意図されたターゲットアプリケーション)。たとえば、
"my-application"
など。
-
string default:
session
セッションCookieの名前。
-
boolean default:
false
永続セッションを有効または無効にします。
-
string default:
remember
永続セッションCookieの名前。
remember
構成パラメータと一緒に使用します。
-
number default:
604800
永続セッションが有効とみなされる時間を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
number default:
2592000
再認証が必要になるまで、永続セッションを更新できる時間を秒単位で制限します。0を指定すると、チェックが無効になります。
-
number default:
900
セッションが無効とみなされるまでの非アクティブ期間を秒単位で指定します。0を指定すると、チェックとタッチングが無効になります。
-
number default:
3600
セッションの更新が必要になるまでのセッション使用可能時間を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
number default:
86400
再認証が必要になるまで、セッションを更新できる時間を秒単位で制限します。0を指定すると、チェックが無効になります。
-
string default:
/
starts_with:/
セッションCookieのPathフラグ。
-
string
セッションCookieのDomainフラグ。
-
string default:
Lax
Must be one of:Strict
,Lax
,None
,Default
クロス・オリジン・リクエストでCookieを送信するかどうかを制御し、クロスサイト・リクエスト・フォージェリに対する保護を提供します。
-
boolean default:
true
JavaScriptが、たとえば
Document.cookie
プロパティを通じてCookieにアクセスすることを禁止します。
-
boolean
Cookieは、リクエストがhttps: スキーム(localhostを除く)で行われた場合にのみサーバーに送信されるため、中間者攻撃に対する耐性が高まります。
-
set of type
string
Must be one of:id
,audience
,subject
,timeout
,idling-timeout
,rolling-timeout
,absolute-timeout
アップストリーム、ユーザーID、オーディエンス、件名、タイムアウト、アイドリングタイムアウト、ローリングタイムアウト、絶対的タイムアウトに送信するヘッダーのセット。たとえば、
[ "id", "timeout" ]
は、Session-IdおよびSession-Timeoutのリクエストヘッダーを設定します。
-
set of type
string
Must be one of:id
,audience
,subject
,timeout
,idling-timeout
,rolling-timeout
,absolute-timeout
ダウンストリーム、ユーザーID、オーディエンス、件名、タイムアウト、アイドリングタイムアウト、ローリングタイムアウト、絶対的タイムアウトに送信するヘッダーのセット。たとえば、
[ "id", "timeout" ]
は、Session-IdおよびSession-Timeoutの応答ヘッダーを設定します。
-
string default:
cookie
Must be one of:cookie
,memcache
,memcached
,redis
セッションデータ用のセッションストレージ: -
cookie
: セッションデータをセッションCookieとともに保存します(セッションシークレットを変更せずにセッションを無効化または取り消すことはできませんが、セッションはステートレスでありデータベースを必要としません)-memcache
: セッションデータをmemcachedに保存します -redis
: セッションデータをRedisに保存します。
-
boolean default:
false
セッションメタデータを保存するかどうかを構成します。このメタデータには、特定のテーマに属する特定のオーディエンスのアクティブなセッションに関する情報が含まれています。
-
boolean default:
false
true
に設定すると、オーディエンスは同じsubjectを共有するよう強制されます。
-
boolean default:
false
true
に設定すると、subjectの値は保存される前にハッシュ化されます。session_store_metadata
が有効な場合にのみ適用されます。
-
boolean default:
false
true
に設定すると、セキュリティを強化するためにストレージキー(セッションID)がハッシュ化されます。ストレージキーをハッシュ化するということは、Cookieなしではストレージからデータを復号化できないということです。
-
string
memcachedセッションキー接頭辞。
-
string
memcached unixソケットパス。
-
string default:
127.0.0.1
memcachedホスト。
-
integer default:
11211
between:0
65535
memcachedポート。
-
string
Redisセッションキー接頭辞。
-
string
Redis unixソケットパス。
-
string default:
127.0.0.1
Redisホスト。
-
integer default:
6379
between:0
65535
Redisポート。
-
string referenceable
redis
セッションストレージが定義され、ACL認証が必要な場合に、Redis接続に使用するユーザー名。未定義の場合、ACL認証は実行されません。これにはRedis v6.0.0+が必要です。Redis v5.xyとの互換性を持たせるには、default
に設定できます。
-
string referenceable encrypted
redis
セッションストレージが定義されている場合にRedis接続に使用するパスワード。定義されていない場合、AUTHコマンドはRedisに送信されません。
-
integer
Session redis接続タイムアウト(ミリ秒単位)。
-
integer
Session redis読み取りタイムアウト(ミリ秒単位)。
-
integer
Session Redis送信タイムアウト (ミリ秒単位)。
-
boolean default:
false
Redis接続にはSSL/TLSを使用します。
-
boolean default:
false
IDプロバイダーサーバー証明書を確認します。
-
string
Redisサーバの接続に使用されるSNI。
-
array of type
record
-
integer
Redisクラスタの最大リダイレクト数。
-
boolean default:
false
セッションに保存されているトークンを常に検証するかどうかを指定します。
-
string default:
sid
JWTセッションcookieと照合するクレーム。
-
string
JWTセッションcookieの名前。
-
array of type
string
default:header, query, body
Must be one of:header
,cookie
,query
,body
bearerトークンを探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します -cookie
:config.bearer_token_cookie_name
で指定されたHTTPリクエストcookieを検索します。
-
string
bearerトークンが渡されるcookieの名前。
-
array of type
string
default:header, query, body
Must be one of:header
,query
,body
クライアント認証情報を探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文から検索します。
-
array of type
string
default:header, query, body
Must be one of:header
,query
,body
ユーザー名とパスワードを探す場所: -
header
: HTTPへッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します。
-
array of type
string
default:header, query, body
Must be one of:header
,query
,body
idトークンを探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します。
-
string
idトークンを渡すために使用されるパラメータの名前。
-
array of type
string
default:header, query, body
Must be one of:header
,query
,body
リフレッシュトークンを探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します。
-
string
リフレッシュトークンを渡すために使用されるパラメータの名前。
-
boolean default:
true
プラグインに
refresh_token
がある場合に、期限切れのアクセストークンのリフレッシュを試みるかどうかを指定します。
-
array of type
string
アップストリームヘッダーのクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
クレーム値のアップストリームヘッダー名。
-
string default:
authorization:bearer
アップストリームアクセストークンヘッダー。
-
string
アップストリームアクセストークンJWKヘッダー。
-
string
アップストリームidトークンヘッダー。
-
string
アップストリームidトークンJWKヘッダー。
-
string
アップストリームリフレッシュトークンヘッダー。
-
string
アップストリームユーザー情報ヘッダー。
-
string
アップストリームユーザー情報JWTヘッダー(ユーザー情報がJWT応答を返す場合)。
-
string
アップストリームイントロスペクションヘッダー。
-
string
アップストリームイントロスペクションJWTヘッダー。
-
string
アップストリームセッションidヘッダー。
-
array of type
string
ダウンストリームヘッダークレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
クレーム値のダウンストリームヘッダー名。
-
string
ダウンストリームアクセストークンヘッダー。
-
string
ダウンストリームアクセストークンJWKヘッダー。
-
string
ダウンストリームIDトークンヘッダー。
-
string
ダウンストリームIDトークンJWKヘッダー。
-
string
ダウンストリームリフレッシュトークンヘッダー。
-
string
ダウンストリームユーザー情報ヘッダー。
-
string
ダウンストリームユーザー情報JWTヘッダー(ユーザー情報がJWT応答を返す場合)。
-
string
ダウンストリームイントロスペクションヘッダー。
-
string
ダウンストリームイントロスペクションJWTヘッダー。
-
string
ダウンストリームセッションIDヘッダー。
-
array of type
string
default:authorization_code
Must be one of:password
,client_credentials
,authorization_code
,bearer
,introspection
,userinfo
,kong_oauth2
,refresh_token
,session
特定のグラントでログイン機能を有効にします。
-
string default:
upstream
Must be one of:upstream
,response
,redirect
ログイン成功後の処理: -
upstream
: リクエストをアップストリームサービスにプロキシします -response
: レスポンスでリクエストを終了します -redirect
: 別の場所にリダイレクトします。
-
array of type
string
default:id_token
Must be one of:id_token
,access_token
,refresh_token
,tokens
,introspection
response
本文またはredirect
クエリ文字列またはフラグメントに含めるトークン: -id_token
: IDトークンを含めます -access_token
: アクセストークンを含めます -refresh_token
: リフレッシュトークンを含めます -tokens
: 完全なトークンエンドポイントレスポンスを含めます -introspection
: イントロスペクションレスポンスを含めます。
-
string default:
fragment
Must be one of:query
,fragment
redirect
login_action
を使用するときにlogin_tokens
を配置する場所:-query
: トークンをクエリ文字列に配置します -fragment
: トークンをURLフラグメントに配置します(サーバーでは読み取り不可)。
-
string
ログアウトをアクティブ化するリクエストクエリ引数。
-
string
ログアウトをアクティブ化するリクエスト本文の引数。
-
string
ログアウトをアクティブ化するリクエストURIサフィックス。
-
array of type
string
default:POST, DELETE
Must be one of:POST
,GET
,DELETE
ログアウトをアクティブ化できるリクエストメソッド: -
POST
: HTTP POSTメソッド -GET
: HTTP GETメソッド -DELETE
: HTTP DELETEメソッド。
-
boolean default:
false
ログアウトの一部としてトークンを取り消します。
より詳細にトークンの取り消しを行うには、
logout_revoke_access_token
とlogout_revoke_refresh_token
パラメータを調整します。
-
boolean default:
true
ログアウトの一環としてアクセストークンを取り消します。
logout_revoke
をtrue
に設定する必要があります。
-
boolean default:
true
ログアウトの一環としてリフレッシュトークンを取り消します。
logout_revoke
をtrue
に設定する必要があります。
-
array of type
string
コンシューママッピングに使用されるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
array of type
string
default:username, custom_id
Must be one of:id
,username
,custom_id
マッピングに使用されるコンシューマフィールド: -
id
:id
で一致するコンシューマを探します -username
:username
で一致するコンシューマを探します -custom_id
:custom_id
で一致するコンシューマを探します。
-
boolean default:
false
コンシューママッピングが失敗した場合でも、リクエストを終了しないでください。
-
array of type
string
default:sub
コンシューママッピングが使用されていない場合に備えて、仮想認証情報を取得するために使用されるクレーム(レート制限プラグインによって使用されるなど)。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
string
認証に失敗した場合に「匿名」コンシューマとして機能するオプションの文字列(消費者のUUIDまたはユーザー名)の値。空の場合(デフォルトは null)、認証に失敗したリクエストは
4xx
HTTP ステータス コードを返します。この値はコンシューマのcustom_id
ではなく、id
またはusername
属性を参照している必要があります。
-
boolean default:
true
このプラグインをプリフライト(
OPTIONS
)リクエストで実行するかどうかを指定します。
-
number default:
0
auth_time
、exp
、iat
、およびnbf
クレームの余裕時間(秒単位)を定義します。
-
boolean default:
false
検出に対してプラグイン構成を確認します。
-
boolean default:
true
認可コードフローでnonceを確認します。
-
boolean default:
true
標準クレームのトークンを確認します。
-
boolean default:
true
トークンの署名を確認します。
-
array of type
string
Must be one of:password
,client_credentials
,authorization_code
,refresh_token
,session
,introspection
,userinfo
特定の付与に対するトークン署名検証をスキップします: -
password
: OAuthパスワードグラント -client_credentials
: OAuthクライアント資格情報グラント -authorization_code
: 認証コードフロー -refresh_token
: OAuthトークン更新グラント -session
: セッションCookie認証 -introspection
: OAuthイントロスペクション -userinfo
: OpenID Connectユーザー情報エンドポイント認証。
-
boolean default:
false
共有シークレット(例:HS256など)署名を有効にします (無効にすると受け入れられなくなります)。
-
array of type
string
Must be one of:password
,client_credentials
,authorization_code
,bearer
,introspection
,userinfo
,kong_oauth2
,refresh_token
,session
指定されたグラントでのセッションCookieの発行を無効にします。
-
number default:
3600
キャッシュされたオブジェクトが有効期限を指定していない場合に使用されるデフォルトのキャッシュTTL(秒単位)。
-
number
秒単位での最大キャッシュTTL(適用済み)。
-
number
秒単位での最小キャッシュTTL(適用済み)。
-
number
秒単位でのネガティブキャッシュTTL。
-
number
秒単位での復活TTL。
-
boolean default:
true
トークンエンドポイントリクエストをキャッシュします。
-
string
トークンエンドポイントリクエストのキャッシュに使用されるキャッシュキーを生成するために使用されるソルト。
-
boolean default:
true
イントロスペクションエンドポイントリクエストをキャッシュします。
-
boolean default:
true
トークン交換エンドポイントリクエストをキャッシュします。
-
boolean default:
true
ユーザー情報リクエストをキャッシュします。
-
boolean default:
false
ユーザー情報エンドポイントを使用して、コンシューママッピング、認証情報マッピング、認証グループ、上流と下流のヘッダーに関する追加のクレームを取得するかどうかを指定します。
-
boolean default:
false
認証に使われた認証情報をリクエストから削除します。同じリクエストで複数の認証情報が送信された場合、認証の成功に使用された認証情報がこのプラグインによって削除されます。
-
number default:
1.1
このプラグインによるリクエストに使用されるHTTPバージョン: -
1.1
: HTTP 1.1(デフォルト)-1.0
: HTTP 1.0。
-
string
HTTPプロキシ。
-
string
HTTPプロキシ認証。
-
string
HTTPSプロキシ。
-
string
HTTPSプロキシ認証。
-
string
これらのホストではプロキシを使用しないでください。
-
boolean default:
true
HTTPクライアントでkeepaliveを使用します。
-
boolean default:
false
IDプロバイダーサーバー証明書を確認します。
true
に設定すると、プラグインはkong.conf
で設定されたCA証明書を使用します。 設定パラメータlua_ssl_trusted_certificate
。
-
number default:
10000
ネットワークIOタイムアウト(ミリ秒単位)。
-
boolean default:
false
失敗応答のエラーを表示します。
-
boolean default:
false
consumer_by
がusername
に設定されている場合、username
が大文字と小文字を区別せずにコンシューマと照合できるかどうかを指定します。
-
boolean default:
false
分散クレームは、クレームを含むJSONオブジェクトの
_claim_names
と_claim_sources
メンバーによって表されます。このパラメータがtrue
に設定されている場合、プラグインはこれらの分散クレームを明示的に解決します。
-
boolean default:
true
RFC 6750で定義されているエラーコードヘッダーを公開するかどうかを指定します。認可リクエストが失敗した場合、このヘッダーが応答で送信されます。無効にするには’false’に設定します。
-
boolean default:
false
トークンのキャッシュキーにスコープを含めます。これにより、スコープの異なるトークンは別のトークンとみなされます。
-
string default:
token
イントロスペクション用のトークンのパラメータ名を指定します。
-
string default:
token
トークンのパラメータ名を取り消し用に指定します。
-
string default:
off
Must be one of:off
,strict
,optional
mtlsの所持証明を有効にします。strictに設定すると、すべてのトークン(サポートされているauth_methodsから: bearer、introspection、およびbearerまたはintrospectionで許可されたセッション)が検証されます。optionalに設定すると、証明書ハッシュ要求を含むトークンのみが検証されます。検証に失敗した場合、リクエストは401で拒否されます。
-
boolean default:
true
trueに設定すると、所持証明(PoP)が有効な場合に、PoPと互換性のあるauth_methodsのみを構成できます。falseに設定すると、すべてのauth_methodsが構成可能になり、PoPと互換性のないauth_methodsについてはPoPチェックがスキップされます。
-
string
Kongと認証サーバー間の接続のmTLSクライアント認証に使用するクライアント証明書を表す証明書エンティティのID。
-
boolean default:
true
mTLSクライアント認証中にIDプロバイダーサーバー証明書を検証します。
-
string
mTLSクライアント認証に使用されるトークンエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliases
の値が上書きされます。
-
string
mTLSクライアント認証に使用されるイントロスペクションエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliases
の値が上書きされます。
-
string
mTLSクライアント認証に使用されるイントロスペクションエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliases
の値が上書きされます。
-
string default:
off
Must be one of:off
,strict
,optional
所持証明(DPoP)を有効にします。strictに設定すると、DPoPキークレーム(cnf.jkt)が存在するかどうかにかかわらず、すべてのリクエストが検証されます。optionalに設定した場合、DPoPのキーにバインドされたトークンのみが証明で検証されます。
-
boolean default:
false
DPoP証明のためにnonce値を使用してクライアントにチャレンジするかどうかを指定します。有効にすると、DPoP証明の有効期間の計算にも使用されます。
-
number default:
300
DPoP証明の有効期間を秒単位で指定します。これにより、作成後に同じ証明を使用できる期間が決定されます。作成時間は、nonceが使用されている場合はnonce作成時間、それ以外の場合はiatクレームによって決まります。
-
-
number
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.
-
boolean
Deprecation notice: This field is planned to be removed in version 4.0.
-
number
Deprecation notice: This field is planned to be removed in version 4.0.
-
number
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.
-
boolean
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.
-
integer
Deprecation notice: This field is planned to be removed in version 4.0.
-
integer
Deprecation notice: This field is planned to be removed in version 4.0.
-
number
Deprecation notice: This field is planned to be removed in version 4.0.
-
integer
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.
-
string
Deprecation notice: This field is planned to be removed in version 4.0.