日本語版補章クライアントポリシーによるセキュリティー保護

　アプリケーションをKeycloakと連携するにあたって、管理者の知識不足や設定ミスにより、アプリケーションのセキュリティーが要求されるレベルに達しない状況が起こりえます。このような課題を改善するためにKeycloak 12からクライアントポリシーという機能が導入されました。この機能を利用することで、セキュリティーの専門家が推奨するセキュリティーレベルを満たすことができます。

　本章で取り上げる主なトピックは、以下の通りです。

• クライアントポリシー
• セキュリティープロファイル
• クライアントポリシーによるセキュリティープロファイルの適用

　本章を読み終えると、クライアントポリシーを利用してアプリケーションのセキュリティーを保護する方法を理解できるようになっているでしょう。

15.1　クライアントポリシー

　これまでの章で、アプリケーションのセキュリティーを保護するためにさまざまな設定を行ってきました。もし、これらの設定のうちセキュリティー上重要なものに誤りがあった場合、どうなるでしょうか？ 例えば、Valid Redirect URIsに、任意のサイトにリダイレクト可能なワイルドカードを含むURLが設定されていたらどうなるでしょう？ 悪意のあるユーザーがこの誤り（つまり、オープンリダイレクトの脆弱性）を見つけた場合、アプリケーションのユーザーは悪意のあるユーザーのサイトに誘導され、知らない間にクレデンシャルを盗まれてしまうかもしれません。

　このような脆弱性となりうる設定の誤りは他にもあります。例えば、Proof Key for Code Exchange（PKCE）が必須でなければならないクライアントアプリケーションに ...