13.3. OpenShift Container Platform OAuth サーバーをアイデンティティープロバイダーとして設定

OpenShift Container Platform には、Red Hat Advanced Cluster Security for Kubernetes (RHACS) の認証プロバイダーとして使用できる組み込みの OAuth サーバーが含まれています。

13.3.1. OpenShift Container Platform OAuth サーバーを Red Hat Advanced Cluster Security for Kubernetes の ID プロバイダーとして設定

組み込みの OpenShift Container Platform OAuth サーバーを Red Hat Advanced Cluster Security for Kubernetes (RHACS) の ID プロバイダーとして統合するには、このセクションの手順を使用します。

前提条件

  • RHACS で ID プロバイダーを設定するには、AuthProvider 権限が必要である。
  • ID プロバイダーを介して OpenShift Container Platform OAuth サーバーでユーザーおよびグループをすでに設定しておく必要がある。ID プロバイダーの要件は、ID プロバイダーの設定の概要 を参照すること。
注記

以下の手順では、OpenShift Container Platform OAuth サーバー用に central という名前のメインルートを 1 つだけ設定します。

手順

  1. RHACS ポータルで、Platform ConfigurationAccess Control に移動します。
  2. Add an Auth Provider メニューを開き、OpenShift Auth を選択します。
  3. Name フィールドに認証プロバイダーの名前を入力します。
  4. 選択した ID プロバイダーを使用して RHACS にアクセスするユーザーの 最小アクセスルール を選択します。

    ヒント

    セキュリティーのため、セットアップの完了時に、Minimum access roleNone に設定する事を Red Hat は推奨します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。

  5. RHACS にアクセスするユーザーおよびグループのアクセスルールを追加するには、Rules セクションを使用します。以下に例を示します。

    1. 管理者 と呼ばれるユーザーに Admin のロールを与える場合は、次のキーと値のペアを使用してアクセスルールを作成できます。

      キー

      Name

      administrator

      Role

      Admin

    2. GroupA グループの一部であるユーザー名 UserAHTPasswd ID プロバイダー を使用している場合は、次のキーと値のペアを使用してアクセスルールを作成できます。

      キー

      Name

      UserA

      グループ

      GroupA

      UserID

      <UUID>

  6. Save をクリックします。
重要
  • OpenShift Container Platform OAuth サーバーにカスタム TLS 証明書を使用する場合は、CA のルート証明書を信頼されたルート CA として Red Hat Advanced Cluster Security for Kubernetes に追加する必要があります。そうしないと、Central は OpenShift Container Platform OAuth サーバーに接続できません。
  • roxctl CLI を使用して Red Hat Advanced Cluster Security for Kubernetes をインストールするときに OpenShift Container Platform OAuth サーバー統合を有効にするには、Central で ROX_ENABLE_OPENSHIFT_AUTH 環境変数を true に設定します。

    $ oc -n stackrox set env deploy/central ROX_ENABLE_OPENSHIFT_AUTH=true
  • アクセスルールについては、キー Name を使用して、OpenShift Container Platform OAuth サーバーが返すユーザー名を参照する必要があります。
  • アクセスルールの場合、OpenShift Container Platform OAuth サーバーはキー Email を返しません。