2.3. アイデンティティープロバイダーの設定

OpenShift Dedicated のインストール後に、アイデンティティープロバイダーを使用するようにクラスターを設定する必要があります。その後、メンバーをアイデンティティープロバイダーに追加して、クラスターへのアクセス権限を付与できます。

OpenShift Dedicated クラスターに異なるアイデンティティープロバイダータイプを設定できます。サポート対象のタイプには、GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect、htpasswd アイデンティティープロバイダーが含まれます。

重要

htpasswd ID プロバイダーオプションは、単一の静的管理ユーザーの作成を可能にする目的で含まれています。htpasswd は、OpenShift Dedicated の汎用アイデンティティープロバイダーとしてはサポートされていません。

以下の手順では、例として GitHub アイデンティティープロバイダーを設定します。

警告

GitHub 認証を設定することによって、ユーザーは GitHub 認証情報を使用して OpenShift Dedicated にログインできます。GitHub ユーザー ID を持つすべてのユーザーが OpenShift Dedicated クラスターにログインできないようにする場合、アクセスを特定の GitHub 組織またはチームのユーザーに制限する必要があります。

前提条件

  • OpenShift Cluster Manager にログインしている。
  • OpenShift Dedicated クラスターを作成している。
  • GitHub ユーザーアカウントがある。
  • GitHub アカウントに GitHub 組織を作成している。詳細は、GitHub ドキュメントの Creating a new organization from scratch を参照してください。
  • GitHub チームへのユーザーアクセスを制限する場合は、GitHub 組織にチームを作成している。詳細は、GitHub ドキュメントの Creating a team を参照してください。

手順

  1. OpenShift Cluster Manager に移動し、クラスターを選択します。
  2. Access controlIdentity providers の順に選択します。
  3. Add identity provider ドロップダウンメニューから GitHub アイデンティティープロバイダータイプを選択します。
  4. アイデンティティープロバイダーの一意の名前を入力します。この名前は後で変更できません。

  5. GitHub ドキュメント の手順に従って、GitHub 組織に OAuth アプリケーションを登録します。

    注記

    GitHub 組織で OAuth アプリケーションを登録する必要があります。クラスターユーザーまたはチームを含む組織が所有しない OAuth アプリケーションを登録すると、クラスターに対するユーザー認証は成功しません。

    • GitHub OAuth アプリケーション設定のホームページ URL については、OpenShift Cluster Manager の Add a GitHub identity provider ページに自動生成される OAuth コールバック URLhttps://oauth-openshift.apps<cluster_name>.<cluster_domain> の部分を指定します。

      以下は、GitHub アイデンティティープロバイダーのホームページ URL の例です。 

      https://oauth-openshift.apps.openshift-cluster.example.com

    • GitHub OAuth アプリケーション設定の承認コールバック URL については、OpenShift Cluster Manager の Add a GitHub identity provider ページに自動生成される完全な OAuth コールバック URL を指定します。完全な URL の構文は以下のとおりです。 

      https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
  6. OpenShift Cluster ManagerEdit identity provider: GitHub ダイアログに戻り、Mapping method ドロップダウンメニューから Claim を選択します。
  7. GitHub OAuth アプリケーションの Client ID および Client secret を入力します。OAuth アプリケーションの GitHub ページには、ID およびシークレットがあります。

  8. オプション: ホスト名 を入力します。

    注記

    GitHub Enterprise のホストされたインスタンスを使用する場合は、ホスト名を入力する必要があります。

  9. 任意手順: 認証局 (CA) ファイルを使用して、設定された GitHub Enterprise URL のサーバー証明書を検証できます。Browse をクリックして CA ファイル を見つけ、これをアイデンティティープロバイダーに割り当てます。
  10. Use organizations または Use teams を選択して、組織内の GitHub 組織または GitHub チームへのアクセスを制限します。

  11. アクセスを制限する組織またはチームの名前を入力します。Add more をクリックして、複数の組織またはチームを指定します。

    注記

    前述の手順で登録された OAuth アプリケーションを所有する組織を指定する必要があります。チームを指定する場合は、前述の手順を使用して登録された OAuth アプリケーションを所有する組織内に存在するチームを指定する必要があります。

  12. Add をクリックしてアイデンティティープロバイダーの設定を適用します。

    注記

    アイデンティティープロバイダー設定がアクティブになるまでに、約 2 分かかる場合があります。

検証

  • 設定がアクティブになると、アイデンティティープロバイダーはクラスターの OpenShift Cluster Manager ページの Access controlIdentity providers にリスト表示されます。

関連情報