3.6. OpenID アイデンティティープロバイダーの設定
OpenID アイデンティティープロバイダーを、Authorization Code Flow を使用して OpenID Connect アイデンティティープロバイダーと統合するように設定します。
OpenShift Dedicated の認証 Operator では、設定済みの OpenID Connect アイデンティティープロバイダーが OpenID Connect Discovery 仕様を実装する必要があります。
要求は、OpenID アイデンティティープロバイダーから返される JWT id_token から読み取られ、指定される場合は Issuer URL によって返される JSON から読み取られます。
1 つ以上の要求をユーザーのアイデンティティーを使用するように設定される必要があります。
また、どの要求をユーザーの推奨ユーザー名、表示名およびメールアドレスとして使用するか指定することができます。複数の要求が指定されている場合は、値が入力されている最初の要求が使用されます。標準の要求は以下の通りです。
| 要求 | 説明 |
|---|---|
|
|
ユーザーのプロビジョニング時に優先されるユーザー名です。 |
|
| メールアドレス。 |
|
| 表示名。 |
詳細は、OpenID claim のドキュメント を参照してください。
前提条件
- OpenID Connect を設定する前に、OpenShift Dedicated クラスターで使用する Red Hat 製品またはサービスのインストール前提条件を確認してください。
手順
- OpenShift Cluster Manager から、Clusters ページに移動し、アイデンティティープロバイダーを設定する必要のあるクラスターを選択します。
- Access control タブをクリックします。
Add identity provider をクリックします。
注記クラスターの作成後に表示される警告メッセージの Add Oauth configuration リンクをクリックして、アイデンティティープロバイダーを設定することもできます。
- ドロップダウンメニューから OpenID を選択します。
アイデンティティープロバイダーの一意の名前を入力します。この名前は後で変更することができません。
OAuth callback URL が指定のフィールドに自動的に生成されます。
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
以下に例を示します。
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/openid
- 認可リクエストを作成する 手順に従って、新しい OpenID Connect クライアントを OpenID ID プロバイダーに登録します。
- OpenShift Dedicated に戻り、ドロップダウンメニューからマッピング方法を選択します。ほとんどの場合は、Claim の使用が推奨されます。
- OpenID から提供される Client ID および Client secret を入力します。
- Issuer URL を入力します。これは、OpenID プロバイダーが発行者 ID としてアサートする URL です。URL クエリーパラメーターまたはフラグメントのない https スキームを使用する必要があります。
- メールアドレスの値として使用する Email 属性を入力します。Add more をクリックして、複数のメール属性を追加します。
- 優先するユーザー名の値として使用する Name 属性を入力します。Add more をクリックして、優先する複数のユーザー名を追加します。
- 表示名の値として使用する Preferred username 属性を入力します。Add more をクリックして、複数の表示名を追加します。
- オプション: Show advanced Options をクリックし、認証局 (CA) ファイルを OpenID アイデンティティープロバイダーに追加します。
-
オプション: 高度なオプションから、追加のスコープ を追加できます。デフォルトでは、
OpenIDの範囲が要求されます。 - Confirm をクリックします。
検証
- 設定されたアイデンティティープロバイダーが Clusters ページの Access control タブに表示されるようになりました。
