JSON Web キーキャッシュを管理する
HTTP サーバータスクのスレッドは、JSON Web キー (JWK) を管理し、構成されている OIDC プロバイダーからそれらのキーを取得して更新します。これらの信頼する JWK は、HTTP ベアラー認証と OIDC ベースの SSO に使用される JWT を暗号的に検証するために使用されます。
このタスクについて
JWK キャッシュ管理スレッドは、HTTP タスクの開始時と再開時に、構成済みの各 OIDC プロバイダーの jwks_uri エンドポイントから JWK をロードすることに加えて、プロバイダーが cache-control 応答ヘッダーで返した JWK の有効期限を追跡し、有効期限が切れる前にプロバイダーの JWK を更新します。cache-control ヘッダーを返さないプロバイダーは、デフォルトで 15 分ごとに更新されます。
また、JWK キャッシュ管理スレッドは、有効期限が既に切れている JWK がないかキャッシュをチェックし、キャッシュが増えて制御できなくなるのを防ぐためにそれらの JWK を削除します。
手順
次の表のアクションのタイミングを変更する場合は、その NOTES.INI 設定を編集します。
設定 | 説明 |
---|---|
OIDC_PROVIDER_CACHE_POLLING_INTERVAL=30 | スレッドで 30 秒ごとにアクションをポーリングする |
OIDC_PROVIDER_CACHE_ADVANCE_RENEWAL=60 | スレッドで有効期限の 60 秒前にプロバイダーを更新する |
OIDC_PROVIDER_CACHE_DEFAULT_EXPIRATION=15*60 | Max-age がないプロバイダーをデフォルトで 15 分ごとに更新する |
OIDC_JWK_CACHE_PURGE_INTERVAL=12*60*60 | 有効期限が既に切れている JWK をデフォルトで 12 時間ごとにパージする |
OIDC_JWK_CACHE_PURGE_EXPIRED_SEC=24*60*60 | 24 時間以上前に期限切れになった JWK のみをパージする |