13.2.3. Red Hat Advanced Cluster Security for Kubernetes における OIDC ID プロバイダーの設定
OpenID Connect (OIDC) ID プロバイダーを使用するように Red Hat Advanced Cluster Security for Kubernetes を設定できます。
前提条件
- Google Workspace などの ID プロバイダーでアプリケーションを設定している。
- Red Hat Advanced Cluster Security for Kubernetes で ID プロバイダーを設定するためのアクセス許可が必要です。
手順
- RHACS ポータルで、Platform Configuration → Access Control に移動します。
- Add an Auth Provider メニューを開き、OpenID Connect を選択します。
以下の詳細を記入してください。
- 統合名: 認証プロバイダーを識別するための名前。たとえば、Auth0 または Google Workspace です。統合名は、ユーザーが適切なサインインオプションを選択できるように、ログインページに表示されます。
- コールバックモード: HTTP POST (デフォルト) を選択します。シングルページアプリケーション (SPA) の制限に基づいて設計された、フラグメント と呼ばれる代替モードも利用できます。Red Hat は、レガシー統合の フラグメント モードのみをサポートしており、新しい統合にフラグメントモードを使用することは推奨していません。
発行者: ID プロバイダーのルート URL。たとえば、Google Workspace の場合は
https://accounts.google.comです。詳細については、ID プロバイダーのドキュメントを参照してください。注記Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.49 以降を使用している場合、発行者 は次のことができます。
-
ルート URL の前に
https+insecure://を付けて、TLS 検証を飛ばします。この設定は安全ではなく、Red Hat は推奨していません。テスト目的でのみ使用してください。 -
ルート URL とともに
?key1=value1&key2=value2などのクエリー文字列を指定します。Red Hat Advanced Cluster Security for Kubernetes は、発行者 の値をそのまま認証エンドポイントに追加します。これを使用して、プロバイダーのログイン画面をカスタマイズできます。たとえば、hdパラメーター を使用して Google Workspace のログイン画面を特定のホストドメインに最適化したり、pfidpadapteridパラメーター を使用して PingFederate で認証方法を事前に選択したりできます。
-
ルート URL の前に
- クライアント ID: 設定されたプロジェクトの OIDC クライアント ID。
選択した ID プロバイダーを使用して Red Hat Advanced Cluster Security for Kubernetes にアクセスするユーザーの 最小アクセスルール を選択します。
ヒントセットアップの完了時に、最小アクセスルール を 管理者 に設定します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。
- Save をクリックします。
検証
- RHACS ポータルで、Platform Configuration → Access Control に移動します。
- Auth Provider Rules タブを選択します。
- Auth Providers セクションで、設定を確認する認証プロバイダーを選択します。
- Auth Provider セクションのヘッダーから Test Login を選択します。新しいブラウザータブで、Test Login ページが開きます。
認証情報を使用してログインします。
-
成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した
User IDおよびUser Attributesを表示します。 - 失敗すると、Red Hat Advanced Cluster Security for Kubernetes は、ID プロバイダーの応答を処理できなかった理由を説明するメッセージを表示します。
-
成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した
- Test Login ブラウザータブを閉じます。