#トークンセキュリティポリシー

ユーザー認証Community Edition+

#はじめに

トークンセキュリティポリシーは、システムのセキュリティとユーザーエクスペリエンスを保護するために設計された機能設定です。これには、主に「セッション有効期間」、「トークン有効期間」、および「期限切れトークン更新期限」の3つの設定項目が含まれています。

#設定の場所

設定は、プラグイン設定 - セキュリティ - トークンポリシーにあります。

#セッション有効期間

定義：

セッション有効期間とは、ユーザーがログインした後、システムがそのユーザーのセッションをアクティブな状態に保つことを許可する最長期間を指します。

機能：

セッション有効期間を超過すると、ユーザーがシステムに再度アクセスした際に401エラー応答を受け取ります。その後、システムはユーザーをログインページにリダイレクトし、再認証を求めます。 例： セッション有効期間が8時間に設定されている場合、ユーザーがログインしてからカウントが始まり、追加の操作がない場合、8時間後にセッションは無効になります。

推奨設定：

• 短期間の操作シナリオ： セキュリティ向上のため、1〜2時間が推奨されます。
• 長時間の作業シナリオ： 業務要件に合わせて8時間に設定できます。

#トークン有効期間

定義：

トークン有効期間とは、システムがユーザーのアクティブなセッション中に発行する各トークンのライフサイクルを指します。

機能：

トークンが期限切れになると、システムはセッションのアクティビティを維持するために新しいトークンを自動的に発行します。 期限切れのトークンは、それぞれ1回のみ更新が許可されます。

推奨設定：

セキュリティ上の理由から、15分から30分の間に設定することが推奨されます。 シナリオの要件に応じて調整できます。例えば： 高セキュリティシナリオ： トークン有効期間は10分以下に短縮できます。 低リスクシナリオ： トークン有効期間は1時間まで適切に延長できます。

#期限切れトークン更新期限

定義：

期限切れトークン更新期限とは、トークンが期限切れになった後、ユーザーが更新操作を通じて新しいトークンを再取得することを許可する最長の時間枠を指します。

特徴：

更新期限を超過した場合、ユーザーは新しいトークンを取得するために再度ログインする必要があります。 更新操作はセッション有効期間を延長せず、トークンを再生成するだけです。

推奨設定：

セキュリティ上の理由から、5分から10分の間に設定することが推奨されます。