13.2. Google Workspace を OIDC ID プロバイダーとして設定する
Google Workspace は、Red Hat Advanced Cluster Security for Kubernetes のシングルサインオン (SSO) プロバイダーとして使用できます。
13.2.1. GCP プロジェクトの OAuth 2.0 認証情報の設定
Google Workspace を Red Hat Advanced Cluster Security for Kubernetes の ID プロバイダーとして設定するには、最初に GCP プロジェクトの OAuth 2.0 認証情報を設定する必要があります。
前提条件
- 新しいプロジェクトを作成するには、組織の Google Workspace アカウントへの管理者レベルのアクセス権、または既存のプロジェクトの OAuth 2.0 認証情報を作成および設定するためのパーミッションが必要です。Red Hat は、Red Hat Advanced Cluster Security for Kubernetes へのアクセスを管理する新しいプロジェクトを作成することを推奨します。
手順
- 新しい Google Cloud Platform (GCP) プロジェクトを作成します。プロジェクトの作成および管理 に関する Google ドキュメントのトピックをご覧ください。
- プロジェクトを作成したら、Google API コンソールで Credentials ページを開きます。
- ロゴの近くの左上隅に一覧表示されているプロジェクト名を確認して、正しいプロジェクトを使用していることを確認します。
- 新しい認証情報を作成するには、Create Credentials → OAuth client ID に移動します。
- Application type で Web application を選択します。
- Name ボックスに、アプリケーションの名前 (RHACS など) を入力します。
Authorized redirect URIs ボックスに、
https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callbackと入力します。-
<stackrox_hostname>を、Central インスタンスを公開するホスト名に置き換えます。 -
<port_number>を、Central を公開するポート番号に置き換えます。標準の HTTPS ポート443を使用している場合は、ポート番号を省略できます。
-
- Create をクリックします。これにより、アプリケーションと認証情報が作成され、認証情報ページにリダイレクトされます。
- 情報ボックスが開き、新しく作成されたアプリケーションの詳細が表示されます。情報ボックスを閉じます。
-
.apps.googleusercontent.comで終わる クライアント ID をコピーして保存します。このクライアント ID は、Google API コンソールを使用して確認できます。 左側のナビゲーションメニューから OAuth consent screen を選択します。
注記OAuth 同意画面の設定は、前の手順で作成したアプリケーションだけでなく、GCP プロジェクト全体で有効です。このプロジェクトですでに OAuth 同意画面が設定されていて、Red Hat Advanced Cluster Security for Kubernetes ログインに別の設定を適用する場合は、新しい GCP プロジェクトを作成します。
OAuth 同意画面ページで、以下を行います。
- Application type に Internal を選択します。Public を選択すると、Google アカウントを持っている人なら誰でもログインできます。
- わかりやすい アプリケーション名 を入力します。この名前は、ユーザーがサインインするときに同意画面に表示されます。たとえば、RHACS または <organization_name> SSO for Red Hat Advanced Cluster Security for Kubernetes を使用します。
- Scopes for Google APIs に、email、profile、openid スコープのみがリストされていることを確認します。シングルサインオンには、これらのスコープのみが必要です。追加のスコープを付与すると、機密データが公開されるリスクが高まります。