ID トークンの署名に RS256 アルゴリズムを使用するように OpenID Connect プロバイダーを構成することができます。
このタスクについて
signatureAlgorithm に RS256 を設定し、署名に使用される秘密鍵で鍵ストアを構成することによって、
ID トークンの署名に RSA-SHA256 署名アルゴリズムを使用するように OpenID Connect プロバイダーを構成することができます。
手順
- server.xml ファイルに、RSA-SHA256 署名アルゴリズムを実行可能な秘密鍵が入った物理鍵ストアを参照する
keystore エレメントを作成します。
以下に例を示します。
<keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
- OpenID Connect プロバイダーの signatureAlgorithm 属性に
RS256 を設定し、keyStoreRef 属性に
ステップ 1 で使用された keystore エレメントの id 値を設定し、
鍵ストアで秘密鍵を見つけるための keyAliasName を設定します。
ステップ 1 で使用された keystore エレメントの id が opKeyStore である場合、
keyStoreRef の設定はオプションです。
以下に例を示します。
<openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
タスクの結果
RSA-SHA256 で ID トークンを署名するための OpenID Connect プロバイダーの構成が完了しました。