古いプラグインバージョンのドキュメントを閲覧しています。
構成
このプラグインはDBレスモードに対応しています。
互換性のあるプロトコル
OpenID Connectプラグインは以下のプロトコルに対応しています:
grpc
, grpcs
, http
, https
パラメータ
このプラグインの設定で使用できるすべてのパラメータのリストは次のとおりです。
-
name or plugin
string requiredプラグイン名。この場合は
openid-connect
。- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
name
です。 - Kubernetes で KongPlugin オブジェクトを使用する場合、フィールドは
plugin
です。
- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
-
instance_name
stringプラグインのインスタンスを識別するための任意のカスタム名 (例:
openid-connect_my-service
。インスタンス名はKong ManagerとKonnectに表示されるので、 例えば複数のサービスで同じプラグインを複数のコンテキストで実行する場合に便利です。また、Kong Admin API経由で特定のプラグインインスタンスに アクセスするためにも使用できます。
インスタンス名は、次のコンテキスト内で一意である必要があります。
- Kong Gateway Enterpriseのワークスペース内
- Konnectのコントロールプレーン(CP)またはコントロールプレーン(CP)グループ内
- Kong Gateway (OSS)の全世界
-
service.name or service.id
stringプラグインが対象とするサービス名または ID。最上位の
/plugins
エンドポイント. からプラグインをサービスに追加する場合は、これらのパラメータのいずれかを設定してください/services/{serviceName|Id}/plugins
を使用する場合は必要ありません。 -
route.name or route.id
stringプラグインがターゲットとするルート名または ID。最上位の
/plugins
エンドポイント. を通るルートにプラグインを追加する場合は、これらのパラメータのいずれかを設定してください/routes/{routeName|Id}/plugins
を使用する場合は必要ありません。 -
enabled
boolean default:true
このプラグインが適用されるかどうか。
-
config
record required-
issuer
string required検出エンドポイント(または発行者識別子)。検出エンドポイントがない場合は、
config.using_pseudo_issuer=true
も構成してください。
-
using_pseudo_issuer
boolean default:false
プラグインが擬似発行者を使用している場合。trueに設定すると、プラグインは
config.issuer
で指定された発行者URLから構成を検出しません。
-
discovery_headers_names
array of typestring
検出エンドポイントに渡される追加のヘッダー名。
-
discovery_headers_values
array of typestring
検出エンドポイントに渡される追加のヘッダー値。
-
extra_jwks_uris
set of typestring
(検出で見つかった鍵に加えて)公開鍵の信頼性が高いJWKS URI。
-
rediscovery_lifetime
number default:30
プラグインが検出の試行中に待機する時間(秒単位)を指定します。検出は、必要に応じてトリガーされます。
-
auth_methods
array of typestring
default:password, client_credentials, authorization_code, bearer, introspection, userinfo, kong_oauth2, refresh_token, session
Must be one of:password
,client_credentials
,authorization_code
,bearer
,introspection
,userinfo
,kong_oauth2
,refresh_token
,session
有効にする認証情報/グラントコマンドの種類。
-
client_id
array of typestring
referenceable encryptedプラグインがIDプロバイダ上の認証済みエンドポイントを呼び出すときに使用するクライアントID。
-
client_secret
array of typestring
referenceable encryptedクライアントシークレット。
-
client_auth
array of typestring
Must be one of:client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
デフォルトのOpenID Connectクライアント認証方法は、’client_secret_basic’(’Authorization: Basic’ ヘッダーを使用)、’client_secret_post’(本文内の認証情報)、’client_secret_jwt’(本文内の署名付きクライアントアサーション), ‘private_key_jwt’(プライベート鍵で署名されたアサーション)、’tls_client_auth’(クライアント証明書)、 ‘self_signed_tls_client_auth’(自己署名済みクライアント証明書)、および’none’(認証なし)です。
-
client_jwk
array of typerecord
private_key_jwt認証に使用されるJWK。
-
issuer
string
-
kty
string
-
use
string
-
key_ops
array of typestring
-
alg
string
-
kid
string
-
x5u
string
-
x5c
array of typestring
-
x5t
string
-
x5t#S256
string
-
k
string referenceable encrypted
-
x
string
-
y
string
-
crv
string
-
n
string
-
e
string
-
d
string referenceable encrypted
-
p
string referenceable encrypted
-
q
string referenceable encrypted
-
dp
string referenceable encrypted
-
dq
string referenceable encrypted
-
qi
string referenceable encrypted
-
oth
string referenceable encrypted
-
r
string referenceable encrypted
-
t
string referenceable encrypted
-
-
client_alg
array of typestring
Must be one of:HS256
,HS384
,HS512
,RS256
,RS384
,RS512
,ES256
,ES384
,ES512
,PS256
,PS384
,PS512
,EdDSA
client_secret_jwt(HS***のみ)またはprivate_key_jwt認証に使用するアルゴリズム。
-
client_arg
string default:client_id
このリクエストに使用するクライアント(選択は同じ名前のリクエストパラメータで行われます)。
-
redirect_uri
array of typestring
認可とトークンのエンドポイントに渡されるリダイレクトURI。
-
login_redirect_uri
array of typestring
referenceablelogin_action
がredirect
に設定されている場合のクライアントのリダイレクト先。
-
logout_redirect_uri
array of typestring
referenceableログアウト後のクライアントのリダイレクト先。
-
forbidden_redirect_uri
array of typestring
禁止されているリクエストでのクライアントのリダイレクト先。
-
forbidden_error_message
string default:Forbidden
禁止されているリクエストに対するエラーメッセージ(リダイレクトを使用していない場合)。
-
forbidden_destroy_session
boolean default:true
禁止されているリクエストに対してアクティブなセッションがあれば破棄します。
-
unauthorized_destroy_session
boolean default:true
不正なリクエストに対してアクティブなセッションがあれば破棄します。
-
unauthorized_redirect_uri
array of typestring
不正なリクエストでのクライアントのリダイレクト先。
-
unauthorized_error_message
string default:Unauthorized
不正なリクエストに対するエラーメッセージ(リダイレクトを使用していない場合)。
-
unexpected_redirect_uri
array of typestring
リクエストで予期しないエラーが発生した場合のクライアントのリダイレクト先。
-
response_mode
string default:query
Must be one of:query
,form_post
,fragment
,query.jwt
,form_post.jwt
,fragment.jwt
,jwt
認可エンドポイントに渡される応答モード: -
query
: クエリ文字列のパラメーター用 -form_post
: リクエスト本文のパラメーター用 -fragment
: URIフラグメント内のパラメーター用(プラグイン自体が読み取れないため、めったに役に立たない)-query.jwt
、form_post.jwt
、fragment.jwt
:query
、form_post
、fragment
に似ていますが、パラメータはJWTでエンコードされます -jwt
: 要求された応答タイプに対してデフォルトのエンコードを示すショートカット。
-
response_type
array of typestring
default:code
認可エンドポイントに渡される応答のタイプ。
-
scopes
array of typestring
referenceable default:openid
認可とトークンのエンドポイントに渡されるリダイレクトURI。
-
audience
array of typestring
認可エンドポイントに渡されるオーディエンス。
-
issuers_allowed
array of typestring
トークン内に存在することを許可された発行者(
iss
クレーム)。
-
scopes_required
array of typestring
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にスコープ(
scopes_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
scopes_claim
array of typestring
default:scope
スコープを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
audience_required
array of typestring
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にオーディエンス(
audience_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
audience_claim
array of typestring
default:aud
オーディエンスを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
groups_required
array of typestring
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にグループ(
groups_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
groups_claim
array of typestring
default:groups
グループを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
roles_required
array of typestring
認可を成功させるには、アクセストークン(またはイントロスペクション結果)にロール(
roles_claim
クレーム)が含まれている必要があります。この構成パラメータは、AND / OR の両方のケースで機能します。
-
roles_claim
array of typestring
default:roles
ロールを含んでいるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
domains
array of typestring
‘hd’クレームに使用できる値。
-
max_age
numberauth_time
クレームと比較した最大経過時間(秒単位)。
-
authenticated_groups_claim
array of typestring
認証済みのグループを含んでいるクレーム。この設定はACLプラグインと一緒に使用できますが、他のアプリケーションやインテグレーションでIdP管理グループを有効にすることもできるようになります。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
pushed_authorization_request_endpoint
stringプッシュされた認可エンドポイント。設定されている場合、検出エンドポイントによって返される
pushed_authorization_request_endpoint
の値が上書きされます。
-
pushed_authorization_request_endpoint_auth_method
string Must be one of:client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
プッシュされた認可リクエストのエンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
require_pushed_authorization_requests
booleanプッシュされた認可リクエストを強制的に有効または無効にします。設定されていない場合、値は
require_pushed_authorization_requests
の値(デフォルトはfalse
)を使用して検出によって決定されます。
-
require_proof_key_for_code_exchange
booleanコード交換用のプルーフキーを強制的に有効または無効にします。設定されていない場合、値は
code_challenge_method_supported
の値を使用して検出によって決定され、自動的に有効になります(code_challenge_methods_supported
が見つからない場合、PKCEは有効になりません)。
-
require_signed_request_object
boolean認可エンドポイントまたはプッシュされた認可エンドポイントでの署名付きリクエストオブジェクトの使用を強制的に有効または無効にします。設定されていない場合、値は
require_signed_request_object
の値を使用して検出され、自動的に有効になります(require_signed_request_object
が見つからない場合、この機能は有効になりません)。
-
authorization_endpoint
string認可エンドポイント。設定されている場合、検出エンドポイントによって返される
authorization_endpoint
の値が上書きされます。
-
authorization_query_args_names
array of typestring
認可エンドポイントに渡される追加のクエリ引数名。
-
authorization_query_args_values
array of typestring
認可エンドポイントに渡される追加のクエリ引数値。
-
authorization_query_args_client
array of typestring
クライアントから認可エンドポイントに渡される追加のクエリ引数。
-
authorization_rolling_timeout
number default:600
認可コードフローに使用されるセッションを使用できる時間(更新が必要になるまで)を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
authorization_cookie_name
string default:authorization
認可Cookieの名前。
-
authorization_cookie_path
string default:/
starts_with:/
認可CookieのPathフラグ。
-
authorization_cookie_domain
string認可CookieのDomainフラグ。
-
authorization_cookie_same_site
string default:Default
Must be one of:Strict
,Lax
,None
,Default
クロス・オリジン・リクエストでCookieを送信するかどうかを制御し、クロスサイト・リクエスト・フォージェリに対する保護を提供します。
-
authorization_cookie_http_only
boolean default:true
JavaScriptが、たとえば
Document.cookie
プロパティを通じてCookieにアクセスすることを禁止します。
-
authorization_cookie_secure
booleanCookieは、リクエストがhttps: スキーム(localhostを除く)で行われた場合にのみサーバーに送信されるため、中間者攻撃に対する耐性が高まります。
-
preserve_query_args
boolean default:false
このパラメータを使用すると、認可コードフローを実行しているときでもリクエストクエリの引数を保持できます。
-
token_endpoint
stringトークンエンドポイント。設定されている場合、検出エンドポイントによって返される
token_endpoint
の値が上書きされます。
-
token_endpoint_auth_method
string Must be one of:client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
トークンエンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
token_headers_names
array of typestring
トークンエンドポイントに渡される追加のヘッダー名。
-
token_headers_values
array of typestring
トークンエンドポイントに渡される追加のヘッダー値。
-
token_headers_client
array of typestring
クライアントからトークンエンドポイントに渡される追加ヘッダー。
-
token_headers_replay
array of typestring
ダウンストリームクライアントに転送するトークンエンドポイント応答ヘッダーの名前。
-
token_headers_prefix
stringダウンストリームのクライアントに転送する前に、トークンエンドポイントの応答ヘッダーにプレフィックス(接頭辞)を追加してください。
-
token_headers_grants
array of typestring
Must be one of:password
,client_credentials
,authorization_code
,refresh_token
特定のグラントでのみ、トークンエンドポイントの応答ヘッダーの送信を有効にします。-
password
: OAuthパスワードグラント -client_credentials
: OAuthクライアント認証情報グラント -authorization_code
: 認証コードフロー -refresh_token
: トークン更新のグラント。
-
token_post_args_names
array of typestring
トークンエンドポイントに渡される追加のpost引数名。
-
token_post_args_values
array of typestring
トークンエンドポイントに渡される追加のpost引数値。
-
token_post_args_client
array of typestring
クライアントからOpenID-Connectプラグインに追加の引数を渡します。引数が存在する場合、クライアントは以下を使って引数を渡すことができます: - クエリパラメータ - リクエスト本文 - リクエストヘッダー このパラメータは次のように
scope
値と一緒に使うことができます:config.token_post_args_client=scope
この場合、トークンはクエリパラメータ、リクエスト本文、またはヘッダーからscope
値を取得して、トークンのエンドポイントに送信します。
-
introspection_endpoint
stringイントロスペクション・エンドポイント。設定されている場合、検出エンドポイントによって返される
introspection_endpoint
の値が上書きされます。
-
introspection_endpoint_auth_method
string Must be one of:client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
イントロスぺクションエンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
introspection_hint
string default:access_token
イントロスペクションエンドポイントに渡されるイントロスペクションヒントパラメータ値。
-
introspection_check_active
boolean default:true
イントロスペクションの応答に、値が
true
のactive
クレームがあることを確認してください。
-
introspection_accept
string default:application/json
Must be one of:application/json
,application/token-introspection+jwt
,application/jwt
イントロスペクション要求の
Accept
ヘッダーの値: -application/json
: JSONとしてのイントロスペクション応答 -application/token-introspection+jwt
: JWTとしてのイントロスペクション応答(現在のIETFドラフトドキュメントから)-application/jwt
: JWTとしてのイントロスペクション応答(古いIETFドラフトドキュメントから)。
-
introspection_headers_names
array of typestring
イントロスペクションエンドポイントに渡される追加のヘッダー名。
-
introspection_headers_values
array of typestring
referenceable encryptedイントロスペクションエンドポイントに渡される追加のヘッダー値。
-
introspection_headers_client
array of typestring
クライアントからイントロスペクションエンドポイントに渡される追加ヘッダー。
-
introspection_post_args_names
array of typestring
イントロスペクションエンドポイントに渡される追加post引数名。
-
introspection_post_args_values
array of typestring
イントロスペクションエンドポイントに渡される追加post引数値。
-
introspection_post_args_client
array of typestring
クライアントからイントロスペクションエンドポイントに渡される追加post引数。
-
introspect_jwt_tokens
boolean default:false
JWTアクセストークンをイントロスペクトするかどうかを指定します(取り消しの確認に使用できます)。
-
revocation_endpoint
string失効エンドポイント。設定されている場合、検出エンドポイントによって返される
revocation_endpoint
の値が上書きされます。
-
revocation_endpoint_auth_method
string Must be one of:client_secret_basic
,client_secret_post
,client_secret_jwt
,private_key_jwt
,tls_client_auth
,self_signed_tls_client_auth
,none
失効エンドポイント認証方法:
client_secret_basic
、client_secret_post
、client_secret_jwt
、private_key_jwt
、tls_client_auth
、self_signed_tls_client_auth
、またはnone
: 認証しないでください
-
end_session_endpoint
stringセッション終了エンドポイント。設定されている場合、検出エンドポイントによって返される
end_session_endpoint
の値が上書きされます。
-
userinfo_endpoint
stringユーザー情報エンドポイント。設定されている場合、検出エンドポイントによって返される
userinfo_endpoint
の値が上書きされます。
-
userinfo_accept
string default:application/json
Must be one of:application/json
,application/jwt
ユーザー情報リクエストの
Accept
ヘッダーの値: -application/json
: JSONとしてのユーザー情報応答 -application/jwt
: JWT としてのユーザー情報応答(廃止されたIETFドラフトドキュメントから)。
-
userinfo_headers_names
array of typestring
ユーザー情報エンドポイントに渡される追加のヘッダー名。
-
userinfo_headers_values
array of typestring
ユーザー情報エンドポイントに渡される追加のヘッダー値。
-
userinfo_headers_client
array of typestring
クライアントからユーザー情報エンドポイントに渡される追加ヘッダー。
-
userinfo_query_args_names
array of typestring
ユーザー情報エンドポイントに渡される追加のクエリ引数名。
-
userinfo_query_args_values
array of typestring
ユーザー情報エンドポイントに渡される追加のクエリ引数値。
-
userinfo_query_args_client
array of typestring
クライアントからユーザー情報エンドポイントに渡される追加のクエリ引数。
-
token_exchange_endpoint
stringトークン交換エンドポイント。
-
session_secret
string referenceable encryptedセッションシークレット。
-
session_audience
string default:default
セッションのオーディエンス(意図されたターゲットアプリケーション)。たとえば、
"my-application"
など。
-
session_cookie_name
string default:session
セッションCookieの名前。
-
session_remember
boolean default:false
永続セッションを有効または無効にします。
-
session_remember_cookie_name
string default:remember
永続セッションCookieの名前。
remember
構成パラメータと一緒に使用します。
-
session_remember_rolling_timeout
number default:604800
永続セッションが有効とみなされる時間を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
session_remember_absolute_timeout
number default:2592000
再認証が必要になるまで、永続セッションを更新できる時間を秒単位で制限します。0を指定すると、チェックが無効になります。
-
session_idling_timeout
number default:900
セッションが無効とみなされるまでの非アクティブ期間を秒単位で指定します。0を指定すると、チェックとタッチングが無効になります。
-
session_rolling_timeout
number default:3600
セッションの更新が必要になるまでのセッション使用可能時間を秒単位で指定します。0を指定すると、チェックとローリングが無効になります。
-
session_absolute_timeout
number default:86400
再認証が必要になるまで、セッションを更新できる時間を秒単位で制限します。0を指定すると、チェックが無効になります。
-
session_cookie_path
string default:/
starts_with:/
セッションCookieのPathフラグ。
-
session_cookie_domain
stringセッションCookieのDomainフラグ。
-
session_cookie_same_site
string default:Lax
Must be one of:Strict
,Lax
,None
,Default
クロス・オリジン・リクエストでCookieを送信するかどうかを制御し、クロスサイト・リクエスト・フォージェリに対する保護を提供します。
-
session_cookie_http_only
boolean default:true
JavaScriptが、たとえば
Document.cookie
プロパティを通じてCookieにアクセスすることを禁止します。
-
session_cookie_secure
booleanCookieは、リクエストがhttps: スキーム(localhostを除く)で行われた場合にのみサーバーに送信されるため、中間者攻撃に対する耐性が高まります。
-
session_request_headers
set of typestring
Must be one of:id
,audience
,subject
,timeout
,idling-timeout
,rolling-timeout
,absolute-timeout
アップストリーム、ユーザーID、オーディエンス、件名、タイムアウト、アイドリングタイムアウト、ローリングタイムアウト、絶対的タイムアウトに送信するヘッダーのセット。たとえば、
[ "id", "timeout" ]
は、Session-IdおよびSession-Timeoutのリクエストヘッダーを設定します。
-
session_response_headers
set of typestring
Must be one of:id
,audience
,subject
,timeout
,idling-timeout
,rolling-timeout
,absolute-timeout
ダウンストリーム、ユーザーID、オーディエンス、件名、タイムアウト、アイドリングタイムアウト、ローリングタイムアウト、絶対的タイムアウトに送信するヘッダーのセット。たとえば、
[ "id", "timeout" ]
は、Session-IdおよびSession-Timeoutの応答ヘッダーを設定します。
-
session_storage
string default:cookie
Must be one of:cookie
,memcache
,memcached
,redis
セッションデータ用のセッションストレージ: -
cookie
: セッションデータをセッションCookieとともに保存します(セッションシークレットを変更せずにセッションを無効化または取り消すことはできませんが、セッションはステートレスでありデータベースを必要としません)-memcache
: セッションデータをmemcachedに保存します -redis
: セッションデータをRedisに保存します。
-
session_store_metadata
boolean default:false
セッションメタデータを保存するかどうかを構成します。このメタデータには、特定のテーマに属する特定のオーディエンスのアクティブなセッションに関する情報が含まれています。
-
session_enforce_same_subject
boolean default:false
true
に設定すると、オーディエンスは同じsubjectを共有するよう強制されます。
-
session_hash_subject
boolean default:false
true
に設定すると、subjectの値は保存される前にハッシュ化されます。session_store_metadata
が有効な場合にのみ適用されます。
-
session_hash_storage_key
boolean default:false
true
に設定すると、セキュリティを強化するためにストレージキー(セッションID)がハッシュ化されます。ストレージキーをハッシュ化するということは、Cookieなしではストレージからデータを復号化できないということです。
-
session_memcached_prefix
stringmemcachedセッションキー接頭辞。
-
session_memcached_socket
stringmemcached unixソケットパス。
-
session_memcached_host
string default:127.0.0.1
memcachedホスト。
-
session_memcached_port
integer default:11211
between:0
65535
memcachedポート。
-
session_redis_prefix
stringRedisセッションキー接頭辞。
-
session_redis_socket
stringRedis unixソケットパス。
-
session_redis_host
string default:127.0.0.1
Redisホスト。
-
session_redis_port
integer default:6379
between:0
65535
Redisポート。
-
session_redis_username
string referenceableredis
セッションストレージが定義され、ACL認証が必要な場合に、Redis接続に使用するユーザー名。未定義の場合、ACL認証は実行されません。これにはRedis v6.0.0+が必要です。Redis v5.xyとの互換性を持たせるには、default
に設定できます。
-
session_redis_password
string referenceable encryptedredis
セッションストレージが定義されている場合にRedis接続に使用するパスワード。定義されていない場合、AUTHコマンドはRedisに送信されません。
-
session_redis_connect_timeout
integerSession redis接続タイムアウト(ミリ秒単位)。
-
session_redis_read_timeout
integerSession redis読み取りタイムアウト(ミリ秒単位)。
-
session_redis_send_timeout
integerSession Redis送信タイムアウト (ミリ秒単位)。
-
session_redis_ssl
boolean default:false
Redis接続にはSSL/TLSを使用します。
-
session_redis_ssl_verify
boolean default:false
IDプロバイダーサーバー証明書を確認します。
-
session_redis_server_name
stringRedisサーバの接続に使用されるSNI。
-
session_redis_cluster_nodes
array of typerecord
Redisクラスタノードホスト。
ip
またはhost
、およびport
値を持つホストレコードの配列を受け取ります。-
ip
string required default:127.0.0.1
ホスト名を表す文字列 (example.com など)。
-
port
integer default:6379
between:0
65535
0 から 65535 (両端入れ) までのポート番号を表す整数。
-
-
session_redis_cluster_max_redirections
integerRedisクラスタの最大リダイレクト数。
-
reverify
boolean default:false
セッションに保存されているトークンを常に検証するかどうかを指定します。
-
jwt_session_claim
string default:sid
JWTセッションcookieと照合するクレーム。
-
jwt_session_cookie
stringJWTセッションcookieの名前。
-
bearer_token_param_type
array of typestring
default:header, query, body
Must be one of:header
,cookie
,query
,body
bearerトークンを探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します -cookie
:config.bearer_token_cookie_name
で指定されたHTTPリクエストcookieを検索します。
-
bearer_token_cookie_name
stringbearerトークンが渡されるcookieの名前。
-
client_credentials_param_type
array of typestring
default:header, query, body
Must be one of:header
,query
,body
クライアント認証情報を探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文から検索します。
-
password_param_type
array of typestring
default:header, query, body
Must be one of:header
,query
,body
ユーザー名とパスワードを探す場所: -
header
: HTTPへッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します。
-
id_token_param_type
array of typestring
default:header, query, body
Must be one of:header
,query
,body
idトークンを探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します。
-
id_token_param_name
stringidトークンを渡すために使用されるパラメータの名前。
-
refresh_token_param_type
array of typestring
default:header, query, body
Must be one of:header
,query
,body
リフレッシュトークンを探す場所: -
header
: HTTPヘッダーを検索します -query
: URLのクエリ文字列を検索します -body
: HTTPリクエスト本文を検索します。
-
refresh_token_param_name
stringリフレッシュトークンを渡すために使用されるパラメータの名前。
-
refresh_tokens
boolean default:true
プラグインに
refresh_token
がある場合に、期限切れのアクセストークンのリフレッシュを試みるかどうかを指定します。
-
upstream_headers_claims
array of typestring
アップストリームヘッダーのクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
upstream_headers_names
array of typestring
クレーム値のアップストリームヘッダー名。
-
upstream_access_token_header
string default:authorization:bearer
アップストリームアクセストークンヘッダー。
-
upstream_access_token_jwk_header
stringアップストリームアクセストークンJWKヘッダー。
-
upstream_id_token_header
stringアップストリームidトークンヘッダー。
-
upstream_id_token_jwk_header
stringアップストリームidトークンJWKヘッダー。
-
upstream_refresh_token_header
stringアップストリームリフレッシュトークンヘッダー。
-
upstream_user_info_header
stringアップストリームユーザー情報ヘッダー。
-
upstream_user_info_jwt_header
stringアップストリームユーザー情報JWTヘッダー(ユーザー情報がJWT応答を返す場合)。
-
upstream_introspection_header
stringアップストリームイントロスペクションヘッダー。
-
upstream_introspection_jwt_header
stringアップストリームイントロスペクションJWTヘッダー。
-
upstream_session_id_header
stringアップストリームセッションidヘッダー。
-
downstream_headers_claims
array of typestring
ダウンストリームヘッダークレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
downstream_headers_names
array of typestring
クレーム値のダウンストリームヘッダー名。
-
downstream_access_token_header
stringダウンストリームアクセストークンヘッダー。
-
downstream_access_token_jwk_header
stringダウンストリームアクセストークンJWKヘッダー。
-
downstream_id_token_header
stringダウンストリームIDトークンヘッダー。
-
downstream_id_token_jwk_header
stringダウンストリームIDトークンJWKヘッダー。
-
downstream_refresh_token_header
stringダウンストリームリフレッシュトークンヘッダー。
-
downstream_user_info_header
stringダウンストリームユーザー情報ヘッダー。
-
downstream_user_info_jwt_header
stringダウンストリームユーザー情報JWTヘッダー(ユーザー情報がJWT応答を返す場合)。
-
downstream_introspection_header
stringダウンストリームイントロスペクションヘッダー。
-
downstream_introspection_jwt_header
stringダウンストリームイントロスペクションJWTヘッダー。
-
downstream_session_id_header
stringダウンストリームセッションIDヘッダー。
-
login_methods
array of typestring
default:authorization_code
Must be one of:password
,client_credentials
,authorization_code
,bearer
,introspection
,userinfo
,kong_oauth2
,refresh_token
,session
特定のグラントでログイン機能を有効にします。
-
login_action
string default:upstream
Must be one of:upstream
,response
,redirect
ログイン成功後の処理: -
upstream
: リクエストをアップストリームサービスにプロキシします -response
: レスポンスでリクエストを終了します -redirect
: 別の場所にリダイレクトします。
-
login_tokens
array of typestring
default:id_token
Must be one of:id_token
,access_token
,refresh_token
,tokens
,introspection
response
本文またはredirect
クエリ文字列またはフラグメントに含めるトークン: -id_token
: IDトークンを含めます -access_token
: アクセストークンを含めます -refresh_token
: リフレッシュトークンを含めます -tokens
: 完全なトークンエンドポイントレスポンスを含めます -introspection
: イントロスペクションレスポンスを含めます。
-
login_redirect_mode
string default:fragment
Must be one of:query
,fragment
redirect
login_action
を使用するときにlogin_tokens
を配置する場所:-query
: トークンをクエリ文字列に配置します -fragment
: トークンをURLフラグメントに配置します(サーバーでは読み取り不可)。
-
logout_query_arg
stringログアウトをアクティブ化するリクエストクエリ引数。
-
logout_post_arg
stringログアウトをアクティブ化するリクエスト本文の引数。
-
logout_uri_suffix
stringログアウトをアクティブ化するリクエストURIサフィックス。
-
logout_methods
array of typestring
default:POST, DELETE
Must be one of:POST
,GET
,DELETE
ログアウトをアクティブ化できるリクエストメソッド: -
POST
: HTTP POSTメソッド -GET
: HTTP GETメソッド -DELETE
: HTTP DELETEメソッド。
-
logout_revoke
boolean default:false
ログアウトの一部としてトークンを取り消します。
より詳細にトークンの取り消しを行うには、
logout_revoke_access_token
とlogout_revoke_refresh_token
パラメータを調整します。
-
logout_revoke_access_token
boolean default:true
ログアウトの一環としてアクセストークンを取り消します。
logout_revoke
をtrue
に設定する必要があります。
-
logout_revoke_refresh_token
boolean default:true
ログアウトの一環としてリフレッシュトークンを取り消します。
logout_revoke
をtrue
に設定する必要があります。
-
consumer_claim
array of typestring
コンシューママッピングに使用されるクレーム。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
consumer_by
array of typestring
default:username, custom_id
Must be one of:id
,username
,custom_id
マッピングに使用されるコンシューマフィールド: -
id
:id
で一致するコンシューマを探します -username
:username
で一致するコンシューマを探します -custom_id
:custom_id
で一致するコンシューマを探します。
-
consumer_optional
boolean default:false
コンシューママッピングが失敗した場合でも、リクエストを終了しないでください。
-
credential_claim
array of typestring
default:sub
コンシューママッピングが使用されていない場合に備えて、仮想認証情報を取得するために使用されるクレーム(レート制限プラグインによって使用されるなど)。複数の値が設定されている場合、クレームはトークンペイロードのネストされたオブジェクト内にあることを意味します。
-
anonymous
string認証に失敗した場合に「匿名」コンシューマとして機能するオプションの文字列(消費者のUUIDまたはユーザー名)の値。空の場合(デフォルトは null)、認証に失敗したリクエストは
4xx
HTTP ステータス コードを返します。この値はコンシューマのcustom_id
ではなく、id
またはusername
属性を参照している必要があります。
-
run_on_preflight
boolean default:true
このプラグインをプリフライト(
OPTIONS
)リクエストで実行するかどうかを指定します。
-
leeway
number default:0
auth_time
、exp
、iat
、およびnbf
クレームの余裕時間(秒単位)を定義します。
-
verify_parameters
boolean default:false
検出に対してプラグイン構成を確認します。
-
verify_nonce
boolean default:true
認可コードフローでnonceを確認します。
-
verify_claims
boolean default:true
標準クレームのトークンを確認します。
-
verify_signature
boolean default:true
トークンの署名を確認します。
-
ignore_signature
array of typestring
Must be one of:password
,client_credentials
,authorization_code
,refresh_token
,session
,introspection
,userinfo
特定の付与に対するトークン署名検証をスキップします: -
password
: OAuthパスワードグラント -client_credentials
: OAuthクライアント資格情報グラント -authorization_code
: 認証コードフロー -refresh_token
: OAuthトークン更新グラント -session
: セッションCookie認証 -introspection
: OAuthイントロスペクション -userinfo
: OpenID Connectユーザー情報エンドポイント認証。
-
enable_hs_signatures
boolean default:false
共有シークレット(例:HS256など)署名を有効にします (無効にすると受け入れられなくなります)。
-
disable_session
array of typestring
Must be one of:password
,client_credentials
,authorization_code
,bearer
,introspection
,userinfo
,kong_oauth2
,refresh_token
,session
指定されたグラントでのセッションCookieの発行を無効にします。
-
cache_ttl
number default:3600
キャッシュされたオブジェクトが有効期限を指定していない場合に使用されるデフォルトのキャッシュTTL(秒単位)。
-
cache_ttl_max
number秒単位での最大キャッシュTTL(適用済み)。
-
cache_ttl_min
number秒単位での最小キャッシュTTL(適用済み)。
-
cache_ttl_neg
number秒単位でのネガティブキャッシュTTL。
-
cache_ttl_resurrect
number秒単位での復活TTL。
-
cache_tokens
boolean default:true
トークンエンドポイントリクエストをキャッシュします。
-
cache_tokens_salt
stringトークンエンドポイントリクエストのキャッシュに使用されるキャッシュキーを生成するために使用されるソルト。
-
cache_introspection
boolean default:true
イントロスペクションエンドポイントリクエストをキャッシュします。
-
cache_token_exchange
boolean default:true
トークン交換エンドポイントリクエストをキャッシュします。
-
cache_user_info
boolean default:true
ユーザー情報リクエストをキャッシュします。
-
search_user_info
boolean default:false
ユーザー情報エンドポイントを使用して、コンシューママッピング、認証情報マッピング、認証グループ、上流と下流のヘッダーに関する追加のクレームを取得するかどうかを指定します。
-
hide_credentials
boolean default:false
認証に使われた認証情報をリクエストから削除します。同じリクエストで複数の認証情報が送信された場合、認証の成功に使用された認証情報がこのプラグインによって削除されます。
-
http_version
number default:1.1
このプラグインによるリクエストに使用されるHTTPバージョン: -
1.1
: HTTP 1.1(デフォルト)-1.0
: HTTP 1.0。
-
http_proxy
stringHTTPプロキシ。
-
http_proxy_authorization
stringHTTPプロキシ認証。
-
https_proxy
stringHTTPSプロキシ。
-
https_proxy_authorization
stringHTTPSプロキシ認証。
-
no_proxy
stringこれらのホストではプロキシを使用しないでください。
-
keepalive
boolean default:true
HTTPクライアントでkeepaliveを使用します。
-
ssl_verify
boolean default:false
IDプロバイダーサーバー証明書を確認します。
true
に設定すると、プラグインはkong.conf
で設定されたCA証明書を使用します。 設定パラメータlua_ssl_trusted_certificate
。
-
timeout
number default:10000
ネットワークIOタイムアウト(ミリ秒単位)。
-
display_errors
boolean default:false
失敗応答のエラーを表示します。
-
by_username_ignore_case
boolean default:false
consumer_by
がusername
に設定されている場合、username
が大文字と小文字を区別せずにコンシューマと照合できるかどうかを指定します。
-
resolve_distributed_claims
boolean default:false
分散クレームは、クレームを含むJSONオブジェクトの
_claim_names
と_claim_sources
メンバーによって表されます。このパラメータがtrue
に設定されている場合、プラグインはこれらの分散クレームを明示的に解決します。
-
expose_error_code
boolean default:true
RFC 6750で定義されているエラーコードヘッダーを公開するかどうかを指定します。認可リクエストが失敗した場合、このヘッダーが応答で送信されます。無効にするには’false’に設定します。
-
token_cache_key_include_scope
boolean default:false
トークンのキャッシュキーにスコープを含めます。これにより、スコープの異なるトークンは別のトークンとみなされます。
-
introspection_token_param_name
string default:token
イントロスペクション用のトークンのパラメータ名を指定します。
-
revocation_token_param_name
string default:token
トークンのパラメータ名を取り消し用に指定します。
-
proof_of_possession_mtls
string default:off
Must be one of:off
,strict
,optional
mtlsの所持証明を有効にします。strictに設定すると、すべてのトークン(サポートされているauth_methodsから: bearer、introspection、およびbearerまたはintrospectionで許可されたセッション)が検証されます。optionalに設定すると、証明書ハッシュ要求を含むトークンのみが検証されます。検証に失敗した場合、リクエストは401で拒否されます。
-
proof_of_possession_auth_methods_validation
boolean default:true
trueに設定すると、所持証明(PoP)が有効な場合に、PoPと互換性のあるauth_methodsのみを構成できます。falseに設定すると、すべてのauth_methodsが構成可能になり、PoPと互換性のないauth_methodsについてはPoPチェックがスキップされます。
-
tls_client_auth_cert_id
stringKongと認証サーバー間の接続のmTLSクライアント認証に使用するクライアント証明書を表す証明書エンティティのID。
-
tls_client_auth_ssl_verify
boolean default:true
mTLSクライアント認証中にIDプロバイダーサーバー証明書を検証します。
-
mtls_token_endpoint
stringmTLSクライアント認証に使用されるトークンエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliases
の値が上書きされます。
-
mtls_introspection_endpoint
stringmTLSクライアント認証に使用されるイントロスペクションエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliases
の値が上書きされます。
-
mtls_revocation_endpoint
stringmTLSクライアント認証に使用されるイントロスペクションエンドポイントのエイリアス。設定されている場合、検出エンドポイントによって返される
mtls_endpoint_aliases
の値が上書きされます。
-
proof_of_possession_dpop
string default:off
Must be one of:off
,strict
,optional
所持証明(DPoP)を有効にします。strictに設定すると、DPoPキークレーム(cnf.jkt)が存在するかどうかにかかわらず、すべてのリクエストが検証されます。optionalに設定した場合、DPoPのキーにバインドされたトークンのみが証明で検証されます。
-
dpop_use_nonce
boolean default:false
DPoP証明のためにnonce値を使用してクライアントにチャレンジするかどうかを指定します。有効にすると、DPoP証明の有効期間の計算にも使用されます。
-
dpop_proof_lifetime
number default:300
DPoP証明の有効期間を秒単位で指定します。これにより、作成後に同じ証明を使用できる期間が決定されます。作成時間は、nonceが使用されている場合はnonce作成時間、それ以外の場合はiatクレームによって決まります。
-
-
authorization_cookie_lifetime
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
authorization_cookie_samesite
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
authorization_cookie_httponly
booleanDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_lifetime
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_idletime
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_samesite
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_httponly
booleanDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_prefix
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_socket
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_host
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_memcache_port
integerDeprecation notice: This field is planned to be removed in version 4.0.
-
session_redis_cluster_maxredirections
integerDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_renew
numberDeprecation notice: This field is planned to be removed in version 4.0.
-
session_cookie_maxsize
integerDeprecation notice: This field is planned to be removed in version 4.0.
-
session_strategy
stringDeprecation notice: This field is planned to be removed in version 4.0.
-
session_compressor
stringDeprecation notice: This field is planned to be removed in version 4.0.