13.2.3. Red Hat Advanced Cluster Security for Kubernetes における OIDC ID プロバイダーの設定

OpenID Connect (OIDC) ID プロバイダーを使用するように Red Hat Advanced Cluster Security for Kubernetes を設定できます。

前提条件

  • Google Workspace などの ID プロバイダーでアプリケーションを設定している。
  • Red Hat Advanced Cluster Security for Kubernetes で ID プロバイダーを設定するためのアクセス許可が必要です。

手順

  1. RHACS ポータルで、Platform ConfigurationAccess Control に移動します。
  2. Add an Auth Provider メニューを開き、OpenID Connect を選択します。
  3. 以下の詳細を記入してください。

    • 統合名: 認証プロバイダーを識別するための名前。たとえば、Auth0 または Google Workspace です。統合名は、ユーザーが適切なサインインオプションを選択できるように、ログインページに表示されます。
    • コールバックモード: HTTP POST (デフォルト) を選択します。シングルページアプリケーション (SPA) の制限に基づいて設計された、フラグメント と呼ばれる代替モードも利用できます。Red Hat は、レガシー統合の フラグメント モードのみをサポートしており、新しい統合にフラグメントモードを使用することは推奨していません。
    • 発行者: ID プロバイダーのルート URL。たとえば、Google Workspace の場合は https://accounts.google.com です。詳細については、ID プロバイダーのドキュメントを参照してください。

      注記

      Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.49 以降を使用している場合、発行者 は次のことができます。

      • ルート URL の前に https+insecure:// を付けて、TLS 検証を飛ばします。この設定は安全ではなく、Red Hat は推奨していません。テスト目的でのみ使用してください。
      • ルート URL とともに ?key1=value1&key2=value2 などのクエリー文字列を指定します。Red Hat Advanced Cluster Security for Kubernetes は、発行者 の値をそのまま認証エンドポイントに追加します。これを使用して、プロバイダーのログイン画面をカスタマイズできます。たとえば、hd パラメーター を使用して Google Workspace のログイン画面を特定のホストドメインに最適化したり、pfidpadapterid パラメーター を使用して PingFederate で認証方法を事前に選択したりできます。
    • クライアント ID: 設定されたプロジェクトの OIDC クライアント ID。
  4. 選択した ID プロバイダーを使用して Red Hat Advanced Cluster Security for Kubernetes にアクセスするユーザーの 最小アクセスルール を選択します。

    ヒント

    セットアップの完了時に、最小アクセスルール管理者 に設定します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。

  5. Save をクリックします。

検証

  1. RHACS ポータルで、Platform ConfigurationAccess Control に移動します。
  2. Auth Provider Rules タブを選択します。
  3. Auth Providers セクションで、設定を確認する認証プロバイダーを選択します。
  4. Auth Provider セクションのヘッダーから Test Login を選択します。新しいブラウザータブで、Test Login ページが開きます。
  5. 認証情報を使用してログインします。

    • 成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した User ID および User Attributes を表示します。
    • 失敗すると、Red Hat Advanced Cluster Security for Kubernetes は、ID プロバイダーの応答を処理できなかった理由を説明するメッセージを表示します。
  6. Test Login ブラウザータブを閉じます。