ID トークンの署名に RSA-SHA256 アルゴリズムを使用するための OpenID Connect プロバイダーの構成

ID トークンの署名に RS256 アルゴリズムを使用するように OpenID Connect プロバイダーを構成することができます。

このタスクについて

signatureAlgorithm に RS256 を設定し、署名に使用される秘密鍵で鍵ストアを構成することによって、 ID トークンの署名に RSA-SHA256 署名アルゴリズムを使用するように OpenID Connect プロバイダーを構成することができます。

手順

  1. OpenID Connect プロバイダーの signatureAlgorithm 属性を RS256 に設定します。
  2. 物理的な鍵ストア内にある X509 証明書を使用して ID トークンに署名するように、または自己生成される RSA 鍵ペア (定期的に再生成され、公開鍵が jwks_uri にある JWK ロケーションにパブリッシュされる) を使用して ID トークンに署名するように、Liberty OP を構成できます。
    1. オプション: X509 証明書
      server.xml ファイル内で、RSA-SHA256 署名アルゴリズムを実行できる秘密鍵が含まれている物理的な鍵ストアを参照する、鍵ストア・エレメントを作成します。 以下に例を示します。
      <keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
      keyStoreRef 属性をステップ 1 で使用した鍵ストア・エレメントの ID 値に設定し、keyAliasName を設定して鍵ストア内の秘密鍵を位置指定します。 以下に例を示します。
      <openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
    2. オプション: JWK

      動的に署名鍵ペアを生成し、公開鍵を JWK にパブリッシュするには、jwkEnabled="true" を追加します。12 時間おきに鍵ペアが再生成されます。この頻度は、jwkRotationTime を構成することで変更できます。

タスクの結果

RSA-SHA256 で ID トークンを署名するための OpenID Connect プロバイダーの構成が完了しました。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Monday, 5 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_config_oidc_rs256
ファイル名: twlp_config_oidc_rs256.html