手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Compliance を選択してコンプライアンスダッシュボードを開きます。
2. コンプライアンスダッシュボードで、クラスター別の合格基準 ウィジェットを探します。
3. このウィジェットで、標準をクリックすると、その標準に関連するすべてのコントロールに関する情報が表示されます。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Compliance を選択してコンプライアンスダッシュボードを開きます。
2. コンプライアンスダッシュボードで、クラスター別の合格基準 ウィジェットを探します。
3. このウィジェットで、標準をクリックすると、その標準に関連するすべてのコントロールに関する情報が表示されます。
4. Controls テーブルから、コントロールをクリックします。右側にサイドパネルが開きます。
5. サイドパネルでコントロールの名前をクリックし、その詳細を表示します。

手順

1. RHACS ポータルで、ナビゲーションメニューから Risk を選択します。
2. デフォルトの Risk ビューのデプロイメント一覧からデプロイメントを選択します。デプロイメントの詳細が、右側のパネルで開きます。
3. Deployment details パネルで、Process Discovery タブを選択します。
4. プロセスベースラインは Spec Container Baselines セクションに表示されます。

手順

1. RHACS ポータルで、ナビゲーションメニューから Risk を選択します。
2. デフォルトの Risk ビューのデプロイメント一覧からデプロイメントを選択します。デプロイメントの詳細が、右側のパネルで開きます。
3. Deployment details パネルで、Process Discovery タブを選択します。
4. Running Processes セクションで、プロセスベースラインに追加するプロセスの Add アイコンをクリックします。

手順

1. RHACS ポータルで、ナビゲーションメニューから Risk を選択します。
2. デフォルトの Risk ビューのデプロイメント一覧からデプロイメントを選択します。デプロイメントの詳細が、右側のパネルで開きます。
3. Deployment details パネルで、Process Discovery タブを選択します。
4. Spec Container baselines セクションで、プロセスベースラインから削除するプロセスの Remove アイコンをクリックします。

手順

1. RHACS ポータルで、ナビゲーションメニューから Risk を選択します。
2. デフォルトの Risk ビューのデプロイメント一覧からデプロイメントを選択します。デプロイメントの詳細が、右側のパネルで開きます。
3. Deployment details パネルで、Process Discovery タブを選択します。

4. Spec Container baselines セクションで、以下を実行します。

   • ベースラインにないプロセスの違反をトリガーするには、Lock アイコンをクリックします。
   • Unlock アイコンをクリックして、ベースラインにないプロセスの違反のトリガーを停止します。

手順

1. RHACS ポータルで、Platform Configuration → Policies に移動します。

2. デフォルトのポリシーで適用を無効にします。

   • ポリシービューでスクロールダウンし、Kubernetes Actions: Exec into Pod ポリシーの横にある電源アイコンを選択して、そのポリシーを無効にします。
   • ポリシービューでスクロールダウンし、Kubernetes Actions: Port Forward to Pod ポリシーの横にある電源アイコンを選択して、そのポリシーを無効にします。
3. デフォルトの Kubernetes Actions: Port Forward to Pod および Kubernetes Actions: Exec into Pod の実行ポリシーの基準を使用して作成した他のカスタムポリシーの適用を無効にします。

手順

1. RHACS ポータルで、Platform Configuration → Clusters に移動します。
2. 一覧から既存のクラスターを選択します。
3. Static Configuration セクションで、Enable Admission Controller Webhook to listen on exec and port-forward events トグルをオフにします。
4. Next を選択して、Sensor の設定を続行します。
5. Download YAML File and Keys クリックします。

6. 監視対象クラスターにアクセスできるシステムから、Sensor スクリプトを展開して実行します。

   $ unzip -d sensor sensor-<cluster_name>.zip

   $ ./sensor/sensor.sh

   注記

   Sensor をデプロイするために必要な権限がないという警告が表示された場合は、画面の指示に従うか、クラスター管理者に連絡して支援を求めてください。

   Sensor はデプロイされた後、Central に接続し、クラスター情報を提供します。

7. RHACS ポータルに戻り、デプロイメントが成功したかどうかを確認します。成功すると、セクション #2 の下に緑色のチェックマークが表示されます。緑色のチェックマークが表示されない場合は、次のコマンドを使用して問題を確認してください。

   • OpenShift Container Platform

     $ oc get pod -n stackrox -w

   • Kubernetes の場合:

     $ kubectl get pod -n stackrox -w

8. Finish を選択します。

手順

1. RHACS ポータルで、Platform Configuration → Policies に移動します。
2. Create policy をクリックします。

3. Policy details セクションに、ポリシーに関する以下の情報を入力します。

   • ポリシーの Name を入力します。

   • オプション: Attach notifiers セクションの下にある利用可能な Notifier から選択して、通知機能 をポリシーに割り当てることもできます。

     注記

     アラートを転送する前に、Red Hat Advanced Cluster Security for Kubernetes を通知プロバイダー (Webhook、Jira、PagerDuty、Splunk など) と統合する必要があります。

   • このポリシーの 重大度 レベルを選択します (Critical、High、Medium、または Low のいずれか)。
   • このポリシーに適用するポリシーの Categories を選択します。
   • Description ボックスに、ポリシーの詳細を入力します。
   • Rationale ボックスにポリシーが存在する理由についての説明を入力します。
   • Guidance ボックスでこのポリシーの違反を解決するための手順を入力します。

   • オプション: MITRE ATT&CK セクションで、ポリシーに指定する tactics and the techniques を選択します。

     1. Add tactic をクリックし、ドロップダウンリストから調整を選択します。
     2. Add technique をクリックして、選択した戦略の手法を追加します。戦略には、複数の手法を指定できます。
4. Next をクリックします。

5. Policy behavior セクションで、ポリシーの Lifecycle stages および Event sources(Runtime lifecycle only) を選択します。

   • Build、Deploy、または Runtimeポリシーを適用する Lifecycle Stages を選択します。複数のステージを選択できます。

     • ビルド時ポリシーは、CVE や Dockerfile 手順などのイメージフィールドに適用されます。
     • デプロイ時のポリシーにはすべてのビルドタイムポリシー条件を含めることができますが、特権モードで実行したり、Docker ソケットをマウントするなど、クラスター設定からのデータを含めることもできます。
     • ランタイムポリシーには、すべてのビルド時およびデプロイ時のポリシー条件を含めることができますが、ランタイム時のプロセス実行に関するデータを含めることもできます。

6. Response method には、以下のいずれかを選択します。

   1. Inform (違反の一覧に違反を追加する)。

   2. または Inform and enforce (アクションを適用する) を選択します。

      • ポリシーの適用動作を選択します。Lifecycle Stages の設定時に選択したステージでのみ使用できます。ON (有効化) を選択してポリシーを適用して違反を報告し、OFF (disable) を選択して違反を報告します。適用の振る舞いは、ライフサイクルの各ステージで異なります。

        • Build: Red Hat Advanced Cluster Security for Kubernetes は、イメージがポリシーの条件に一致すると、継続的インテグレーション (CI) ビルドに失敗します。
        • Deploy: Red Hat Advanced Cluster Security for Kubernetes は、ポリシーの条件に一致するデプロイの作成をブロックします。アドミッションコントローラーが適用されているクラスターでは、Kubernetes または OpenShift Container Platform サーバーがすべての非準拠のデプロイメントをブロックします。他のクラスターでは、Red Hat Advanced Cluster Security for Kubernetes が非準拠のデプロイメントを編集して、Pod がスケジュールされないようにします。

        • runtime: Red Hat Advanced Cluster Security for Kubernetes は、ポリシーの条件に一致するすべての Pod を強制終了するか、または Pod で実行されたアクションをブロックします。

          警告

          ポリシーの適用は、実行中のアプリケーションまたは開発プロセスに影響を与える可能性があります。適用オプションを有効にする前に、すべての利害関係者に通知し、自動適用アクションに対応する方法を計画してください。

7. Next をクリックします。
8. Policy criteria セクションで、ポリシーをトリガーする属性を設定します。
9. Next をクリックします。

10. Policy scope セクションで、以下を設定します。

    • Add inclusion scope をクリックして、Restrict to Scope を使用し、特定のクラスター、namespace、またはラベルだけに、このポリシーを有効にします。複数のスコープを追加したり、namespaces とラベルの RE2 Syntax で正規表現を使用したりすることもできます。
    • Add exclusion scope をクリックして Exclude by Scope を使用して、指定するデプロイメント、クラスター、namespace、およびラベルを除外するために、選択したエンティティーに対象のポリシーが適用されないことを意味します。複数のスコープを追加したり、namespaces とラベルの RE2 Syntax で正規表現を使用したりすることもできます。ただし、デプロイメントの選択に正規表現を使用することはできません。

    • Excluded Images (Build Lifecycle only) の場合は、違反をトリガーしないすべてのイメージを選択します。

      注記

      Excluded Images 設定は、build ライフサイクルステージで継続的インテグレーションシステムでイメージを確認する場合にのみ適用されます。このポリシーを使用して、実行中のデプロイメント (Deploy ライフサイクルステージ) またはランタイムアクティビティー (Runtime ライフサイクルステージ) をチェックする場合、効果はありません。

11. Next をクリックします。
12. Review policy セクションで、ポリシー違反をプレビューします。
13. Save をクリックします。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Risk を選択します。
2. ポリシーを作成するローカルページのフィルターリング条件を適用します。
3. New Policy を選択し、必須フィールドに入力して新規ポリシーを作成します。

手順

1. RHACS ポータルで、Platform Configuration → Policies に移動します。
2. Policies ページから、編集するポリシーを選択します。
3. Actions → Export policy to JSON を選択します。

手順

1. RHACS ポータルで、Platform Configuration → Policies に移動します。
2. Import policy をクリックします。
3. Import policy JSON ダイアログで Upload をクリックし、アップロードする JSON ファイルを選択します。
4. Begin import をクリックします。

手順

1. Network Graph ビューで、Configure CIDR Blocks を選択します。

2. Display auto-discovered CIDR blocks in Network Graph をオフにして、自動検出された CIDR ブロックを非表示にします。

   注記

   自動検出された CIDR ブロックを非表示にすると、Network Graph ビューの上部バーで選択されたクラスターだけでなく、すべてのクラスターで自動検出された CIDR ブロックが非表示になります。

3. CIDR Block Name と CIDR Address を追加して、カスタム CIDR アドレスを追加します。複数のを追加するには、Add アイコンを選択します。
4. 設定の更新 をクリックして変更を保存します。

手順

1. 保存した YAML ファイルを使用してポリシーを作成するには、以下のコマンドを使用します。

   $ oc create -f "<generated_file>.yaml" 1

   1

   Kubernetes を使用する場合は、oc の代わりに kubectl と入力します。

2. 生成されたポリシーで問題が発生する場合は、以下のコマンドを実行してそのポリシーを削除できます。

   $ oc delete -f "StackRox Generated.yaml" 1

   1

   Kubernetes を使用する場合は、oc の代わりに kubectl と入力します。

手順

1. RHACS ポータルの左側のナビゲーションメニューから Network Graph を選択します。
2. 正しいクラスター名がまだ選択されていない場合は、上部のバーのメニューからクラスター名を選択します。
3. namespace を 1 つ以上選択します。
4. Network Policy Simulator を選択します。
5. View active YAMLS を選択します。
6. Revert most recently applied YAML アイコンを再度選択します。

手順

1. Network Graph ビューで、namespace を 1 つ以上選択します。
2. デプロイメントを選択します。

3. ネットワークフローの詳細パネルには、異常なフローとベースラインフローの両方が表示されます。このパネルから、以下を行うことができます。

   • ベースラインからネットワークフローに、Mark as Anomalous のどちらかとマークします。
   • Add to Baseline を選択して、異常なフローからネットワークフローをベースラインに追加します。

手順

1. Network Graph ビューでデプロイメントを選択します。
2. ネットワークフローの詳細パネルで Baseline Settings を選択します。

3. Alert on baseline violations トグルをオンにします。

   • ベースライン違反のアラート をオンにすると、異常なネットワークフローが違反をトリガーします。
   • Alert on baseline violations トグルをオフにして、異常なネットワークフローの違反の受信を停止できます。

手順

1. RHACS ポータルに移動し、左側のナビゲーションメニューから Configuration Management をクリックします。
2. Configuration Management ビューのヘッダーから RBAC Visibility and Configuration → Users and Groups を選択します。ユーザーとグループ ビューには、Kubernetes のユーザーとグループのリスト、割り当てられたロール、およびそれぞれに対して cluster-admin ロールが有効になっているかどうかが表示されます。
3. ユーザーまたはグループを選択して、関連付けられたクラスターおよび namespace パーミッションの詳細を表示します。

手順

1. RHACS ポータルに移動し、左側のナビゲーションメニューから Configuration Management をクリックします。
2. Configuration Management ビューのヘッダーから RBAC Visibility and Configuration → Service Accounts を選択します。サービスアカウント ビューには、クラスター全体の Kubernetes サービスアカウントのリスト、割り当てられたロール、cluster-admin ロールが有効になっているかどうか、およびそれらを使用するデプロイが表示されます。
3. 行または下線付きのリンクを選択して、選択したサービスアカウントに付与されているクラスターと namespace のパーミッションなどの詳細を表示します。

手順

1. RHACS ポータルに移動し、左側のナビゲーションメニューから Configuration Management をクリックします。
2. Configuration Management ビューのヘッダーからRBAC Visibility and Configuration → Roles を選択します。Roles ビューには、クラスター全体の Kubernetes ロールの一覧、付与するパーミッション、およびそれらが使用される場所が表示されます。
3. ロールに関する詳細を表示するには、行またはインラインのリンクを選択します。
4. ユーザー、グループ、またはサービスアカウントに付与されていないロールを検索するには、Users & Groups 列ヘッダーを選択します。次に、Shift キーを押しながら サービスアカウント 列ヘッダーを選択します。このリストには、ユーザー、グループ、またはサービスアカウントに付与されていないロールが表示されます。

手順

1. RHACS ポータルで、Vulnerability Management → Dashboard に移動します。
2. Dashboard ビューヘッダーで、Images を選択します。
3. イメージの一覧から、すでに評価したイメージを選択します。
4. アクションを実行する CVE を一覧表示する行を見つけます。
5. 特定した CVE の右側にある をクリックし、Defer CVE をクリックします。
6. CVE を延期する日時を選択します。
7. 選択したイメージタグの CVE またはこのイメージのすべてのタグを延期するかどうかを選択します。
8. 延期の理由を入力します。
9. Request approval をクリックします。CVE の右側にある青い情報アイコンを選択し、承認リンクをコピーして組織の延期承認者と共有します。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
2. Vulnerability Management ビューヘッダーで CVE を選択します。
3. CVE ビューで、Env Impact 列ヘッダーを選択し、環境の影響に基づいて CVE を降順 (最も高いもの) に配置します。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
2. Vulnerability Management ビューヘッダーから、Application & Infrastructure → Components の順に選択します。
3. Components ビューで CVEs 列ヘッダーを選択し、CVE 数に基づいてコンポーネントを降順 (一番大きいもの) に配置します。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
2. Top Riskiest Images ウィジェットからイメージを選択します。
3. Image の詳細ビューで、Image Findings セクションの下にある Dockerfile タブを選択します。
4. Image Findings セクションの Dockerfile タブで、展開アイコンを選択して、イメージコンポーネントの概要を表示します。
5. 特定のコンポーネントの展開アイコンを選択して、選択したコンポーネントに影響する CVE の詳細を取得します。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
2. Vulnerability Management ビューヘッダーから、Filter CVEs → Fixable の順に選択します。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
2. Vulnerability Management ビューヘッダーから Images を選択します。
3. Image OS 列の下に、すべてのイメージのベースオペレーティングシステム (OS) および OS バージョンを表示します。
4. イメージを選択して、その詳細を表示します。ベースオペレーティングシステムは、Image Summary → Details and Metadata セクションでも利用できます。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。

2. Top Risky ウィジェットヘッダーを選択して、リスクイメージ、デプロイメント、クラスター、および namespace の中から選択します。

   グラフの小さな円は、選択したオブジェクト (イメージ、デプロイメント、クラスター、namespace) を表します。円にマウスをかざし、その円が表すオブジェクトの概要を確認します。円を選択して、選択したオブジェクト、その関連エンティティー、およびエンティティー間の接続に関する詳細情報を表示します。

   たとえば、Top Risky Deployments by CVE Count and CVSS score を表示する場合には、グラフの各円はデプロイメントを表します。

   • デプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターと namespace の名前、重大度、リスクの優先度、CVSS、および CVE カウント (修正可能を含む) が含まれます。
   • デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
3. ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Risky Deployments by CVE Count and CVSS score を選択した場合には、View All を選択して、インフラストラクチャー内のすべてのデプロイメントに関する詳細情報を表示できます。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。

2. Top Riskiest Images ウィジェットヘッダーを選択して、リスクイメージとコンポーネントを選択します。Top Riskiest Images を表示する場合は、以下を実行します。

   • リスト内のイメージにカーソルを合わせると、イメージの概要が表示されます。これには、イメージ名、スキャン時間、CVE の数、重大度 (クリティカル、高、中、低) が含まれます。
   • イメージを選択すると、選択したイメージの Image ビューが開きます。Image ビューには、イメージの詳細が表示され、CVSS スコア別の CVE、最もリスクの高いコンポーネント、修正可能な CVE、およびイメージの Dockerfile に関する情報が含まれます。
3. ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Riskiest Components を選択した場合は、View All を選んでインフラストラクチャー内のすべてのコンポーネントに関する詳細情報を表示できます。

手順

1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
2. Top Riskiest Images ウィジェットからイメージを選択します。
3. Image の詳細ビューで、Image Findings セクションの下にある Dockerfile タブを選択します。

手順

1. RHACS ポータルで、Platform Configuration → Integrations に移動します。
2. Image Integrations セクションで StackRox Scanner を選択します。
3. スキャナーの一覧から StackRox スキャナーを選択して詳細を表示します。
4. Types から Node Scanner オプションを削除します。
5. Save を選択します。

手順

1. Vulnerability Management ビューヘッダーで Images を選択し、すべてのイメージの一覧を表示します。
2. Images ビューヘッダーで、Watch Images を選択します。
3. Manage Inactive Images ダイアログで、有効化する (イメージ ID ではなく) アクティブではないイメージの名前を入力します。
4. Add Image を選択します。次に、Red Hat Advanced Cluster Security for Kubernetes はイメージをスキャンし、エラーまたは成功のメッセージが表示されます。
5. Return to Image list を選択して、Images ビューを表示します。

手順

1. Vulnerability Management ビューヘッダーから CVE をクリックします。
2. 1 つ以上の CVE のチェックボックスを選択し、Add selected CVEs to Policy (add アイコン) をクリックします。または、リストの CVE にマウスを移動して、右側の Add アイコンを選択します。

3. Policy Name の場合:

   • 既存のポリシーに CVE を追加するには、ドロップダウンリストから既存のポリシーを選択します。
   • 新規ポリシーを作成するには、新規ポリシーの名前を入力し、Create <policy_name> を選択します。
4. Severity の値を選択します (Critical、High、Medium、または Low のいずれか)。
5. ポリシーを適用する Lifecycle Stage を、Build または Deploy から選択します。また、ライフサイクルステージの両方を選択することもできます。
6. Description ボックスに、ポリシーの詳細を入力します。
7. ポリシーを作成して後で有効にする場合は、Enable Policy トグルをオフにします。Enable Policy トグルはデフォルトでオンになっています。
8. このポリシーに含まれる CVE を確認してください。
9. Save Policy をクリックします。

手順

1. 一覧からクラスターの 1 つをクリックして、クラスターの詳細を表示します。Cluster ビューには以下が含まれます。

   • Cluster Details セクションには、クラスターの詳細とメタデータ、最もリスクの高いオブジェクト (デプロイメント、名前空間、およびイメージ)、最近検出された脆弱性、最もリスクの高いイメージ、および最も重大なポリシー違反のあるデプロイメントが表示されます。
   • Cluster Findings セクション。これには、失敗したポリシーの一覧および修正可能な CVE の一覧が含まれます。
   • Related Entities セクション。クラスターに含まれる namespace、デプロイメント、ポリシー、イメージ、コンポーネント、CVE の数が表示されます。これらのエンティティーを選択して、詳細情報を表示できます。
2. ウィジェットヘッダーの View All をクリックして、すべてのクラスターの一覧を表示します。

手順

1. Vulnerability Management ビューヘッダーで Nodes を選択し、ノードに影響するすべての CVE の一覧を表示します。

2. 一覧からノードを選択し、そのノードに影響するすべての CVE の詳細を表示します。

   1. ノードを選択すると、選択したノードの Node の詳細パネルが開きます。Node ビューには、ノードの詳細が表示され、CVSS スコア別の CVE およびそのノードの修正可能な CVE に関する情報が含まれます。
   2. 選択したノードのすべての CVE のリストを表示するには、CVEs by CVSS score で、View All を選択します。CVE の一覧をフィルターリングすることもできます。
   3. 修正可能な CVE を CSV ファイルとしてエクスポートするには、Node Findings セクションで Export as CSV を選択します。

手順

1. Okta ポータルで、メニューバーから Applications を選択します。
2. Add Application をクリックし、Create New App を選択します。
3. Create a New Application Integration ダイアログボックスで、プラットフォームを Web のままにし、ユーザーにサインインするプロトコルに SAML 2.0 を選択します。
4. Create をクリックします。
5. General Settings ページで、App name フィールドにアプリの名前を入力します。
6. Next をクリックします。

7. SAML Settings ページで、次のフィールドに値を設定します。

   1. シングルサインオン URL

      • https://<RHACS_portal_hostname>/sso/providers/saml/acs を指定します。
      • Use this for Recipient URL and Destination URL オプションをオンのままにします。
      • RHACS ポータルにさまざまな URL でアクセスできる場合は、Allow this app to request other SSO URLs オプションをオンにして、指定した形式を使用して代替 URL を追加することでそれらを追加できます。

   2. オーディエンス URI (SP エンティティー ID)

      • 値を RHACS または任意の別の値に設定します。
      • 選択した値を覚えておいてください。Red Hat Advanced Cluster Security for Kubernetes を設定するときに、この値が必要になります。

   3. 属性ステートメント

      • 少なくとも 1 つの属性ステートメントを追加する必要があります。

      • Red Hat は、email 属性の使用を推奨しています。

        • 名前: 電子メール
        • フォーマット: 指定なし
        • 値: user.email
8. 続行する前に、少なくとも 1 つの Attribute Statement が設定されていることを確認してください。
9. Next をクリックします。
10. Feedback ページで、該当するオプションを選択します。
11. 適切な アプリの種類 を選択します。
12. Finish をクリックします。

手順

1. RHACS ポータルで、Platform Configuration → Access Control に移動します。
2. Add an Auth Provider メニューを開き、SAML 2.0 を選択します。

3. 以下の詳細を記入してください。

   • 統合名: この認証プロバイダーを識別するための名前 (Okta や Google など)。統合名は、ユーザーが適切なサインインオプションを選択できるように、ログインページに表示されます。
   • ServiceProvider Issuer: Okta で Audience URI または SP Entity ID として使用している値、または他のプロバイダーで同様の値。
   • IdP Metadata URL: ID プロバイダーコンソールから利用可能な Identity Provider metadata の URL を使用します。IdP Metadata URL を使用しない場合は、代わりに、Okta コンソールの View Setup Instructions リンク、または他のプロバイダーの同様の場所から、必要な静的フィールドをコピーできます。

4. 選択した ID プロバイダーを使用して Red Hat Advanced Cluster Security for Kubernetes にアクセスするユーザーの 最小アクセスルール を選択します。

   ヒント

   セットアップの完了時に、最小アクセスルール を 管理者 に設定します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。

5. Save をクリックします。

検証

1. RHACS ポータルで、Platform Configuration → Access Control に移動します。
2. Auth Provider Rules タブを選択します。
3. Auth Providers セクションで、設定を確認する認証プロバイダーを選択します。
4. Auth Provider セクションのヘッダーから Test Login を選択します。新しいブラウザータブで、Test Login ページが開きます。

5. 認証情報を使用してログインします。

   • 成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した User ID および User Attributes を表示します。
   • 失敗すると、Red Hat Advanced Cluster Security for Kubernetes は、ID プロバイダーの応答を処理できなかった理由を説明するメッセージを表示します。

6. Test Login ブラウザータブを閉じます。

   注記

   応答が認証の成功を示している場合でも、ID プロバイダーからのユーザーメタデータに基づいて追加のアクセスルールを作成しないといけない場合があります。

手順

1. 新しい Google Cloud Platform (GCP) プロジェクトを作成します。プロジェクトの作成および管理 に関する Google ドキュメントのトピックをご覧ください。
2. プロジェクトを作成したら、Google API コンソールで Credentials ページを開きます。
3. ロゴの近くの左上隅に一覧表示されているプロジェクト名を確認して、正しいプロジェクトを使用していることを確認します。
4. 新しい認証情報を作成するには、Create Credentials → OAuth client ID に移動します。
5. Application type で Web application を選択します。
6. Name ボックスに、アプリケーションの名前 (RHACS など) を入力します。

7. Authorized redirect URIs ボックスに、https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback と入力します。

   • <stackrox_hostname> を、Central インスタンスを公開するホスト名に置き換えます。
   • <port_number> を、Central を公開するポート番号に置き換えます。標準の HTTPS ポート 443 を使用している場合は、ポート番号を省略できます。
8. Create をクリックします。これにより、アプリケーションと認証情報が作成され、認証情報ページにリダイレクトされます。
9. 情報ボックスが開き、新しく作成されたアプリケーションの詳細が表示されます。情報ボックスを閉じます。
10. .apps.googleusercontent.com で終わる クライアント ID をコピーして保存します。このクライアント ID は、Google API コンソールを使用して確認できます。

11. 左側のナビゲーションメニューから OAuth consent screen を選択します。

    注記

    OAuth 同意画面の設定は、前の手順で作成したアプリケーションだけでなく、GCP プロジェクト全体で有効です。このプロジェクトですでに OAuth 同意画面が設定されていて、Red Hat Advanced Cluster Security for Kubernetes ログインに別の設定を適用する場合は、新しい GCP プロジェクトを作成します。

12. OAuth 同意画面ページで、以下を行います。

    1. Application type に Internal を選択します。Public を選択すると、Google アカウントを持っている人なら誰でもログインできます。
    2. わかりやすい アプリケーション名 を入力します。この名前は、ユーザーがサインインするときに同意画面に表示されます。たとえば、RHACS または <organization_name> SSO for Red Hat Advanced Cluster Security for Kubernetes を使用します。
    3. Scopes for Google APIs に、email、profile、openid スコープのみがリストされていることを確認します。シングルサインオンには、これらのスコープのみが必要です。追加のスコープを付与すると、機密データが公開されるリスクが高まります。

手順

1. RHACS ポータルで、Platform Configuration → Access Control に移動します。
2. Add an Auth Provider メニューを開き、OpenID Connect を選択します。

3. 以下の詳細を記入してください。

   • 統合名: 認証プロバイダーを識別するための名前。たとえば、Auth0 または Google Workspace です。統合名は、ユーザーが適切なサインインオプションを選択できるように、ログインページに表示されます。
   • コールバックモード: HTTP POST (デフォルト) を選択します。シングルページアプリケーション (SPA) の制限に基づいて設計された、フラグメント と呼ばれる代替モードも利用できます。Red Hat は、レガシー統合の フラグメント モードのみをサポートしており、新しい統合にフラグメントモードを使用することは推奨していません。

   • 発行者: ID プロバイダーのルート URL。たとえば、Google Workspace の場合は https://accounts.google.com です。詳細については、ID プロバイダーのドキュメントを参照してください。

     注記

     Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.49 以降を使用している場合、発行者 は次のことができます。

     • ルート URL の前に https+insecure:// を付けて、TLS 検証を飛ばします。この設定は安全ではなく、Red Hat は推奨していません。テスト目的でのみ使用してください。
     • ルート URL とともに ?key1=value1&key2=value2 などのクエリー文字列を指定します。Red Hat Advanced Cluster Security for Kubernetes は、発行者 の値をそのまま認証エンドポイントに追加します。これを使用して、プロバイダーのログイン画面をカスタマイズできます。たとえば、hd パラメーター を使用して Google Workspace のログイン画面を特定のホストドメインに最適化したり、pfidpadapterid パラメーター を使用して PingFederate で認証方法を事前に選択したりできます。
   • クライアント ID: 設定されたプロジェクトの OIDC クライアント ID。

4. 選択した ID プロバイダーを使用して Red Hat Advanced Cluster Security for Kubernetes にアクセスするユーザーの 最小アクセスルール を選択します。

   ヒント

   セットアップの完了時に、最小アクセスルール を 管理者 に設定します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。

5. Save をクリックします。

検証

1. RHACS ポータルで、Platform Configuration → Access Control に移動します。
2. Auth Provider Rules タブを選択します。
3. Auth Providers セクションで、設定を確認する認証プロバイダーを選択します。
4. Auth Provider セクションのヘッダーから Test Login を選択します。新しいブラウザータブで、Test Login ページが開きます。

5. 認証情報を使用してログインします。

   • 成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した User ID および User Attributes を表示します。
   • 失敗すると、Red Hat Advanced Cluster Security for Kubernetes は、ID プロバイダーの応答を処理できなかった理由を説明するメッセージを表示します。
6. Test Login ブラウザータブを閉じます。

手順

1. RHACS ポータルで、Platform Configuration → Access Control に移動します。
2. Add an Auth Provider メニューを開き、OpenShift Auth を選択します。
3. Name フィールドに認証プロバイダーの名前を入力します。

4. 選択した ID プロバイダーを使用して RHACS にアクセスするユーザーの 最小アクセスルール を選択します。

   ヒント

   セキュリティーのため、セットアップの完了時に、Minimum access role を None に設定する事を Red Hat は推奨します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。

5. オプション: RHACS にアクセスするユーザーとグループのアクセスルールを追加するには、Rules セクションで Add new rule をクリックし、ルール情報を入力して Save をクリックします。アクセスを設定するには、ユーザーまたはグループの属性が必要です。

   ヒント

   グループは通常、チームまたはアクセス許可セットに関連付けられており、ユーザーよりも頻繁に変更する必要がないため、グループマッピングはより堅牢です。

   OpenShift Container Platform でユーザー情報を取得するには、以下のいずれかの方法を使用できます。

   • User Management → Users → <username> → YAML をクリックします。
   • k8s/cluster/user.openshift.io~v1~User/<username>/yaml ファイルにアクセスし、name、uid (RHACS のuserid)、および groups の値を書き留めます。
   • OpenShift Container Platform API リファレンス で説明されているように、OpenShift Container Platform API を使用します。

   次の設定例では、次の属性を持つ Admin ロールのルールを設定する方法について説明します。

   • name: administrator
   • groups: ["system:authenticated", "system:authenticated:oauth", "myAdministratorsGroup"]
   • uid: 12345-00aa-1234-123b-123fcdef1234

   次のいずれかの手順を使用して、この管理者ロールのルールを追加できます。

   • 名前のルールを設定するには、Key ドロップダウンリストから name を選択し、Value フィールドに administrator と入力して、Role で Administrator を選択します。
   • グループのルールを設定するには、Key ドロップダウンリストから groups を選択し、Value フィールドに myAdministratorsGroup と入力して、Role で Admin を選択します。
   • ユーザー名のルールを設定するには、Key ドロップダウンリストから userid を選択し、Value フィールドに 12345-00aa-1234-123b-123fcdef1234 を入力して、Role で Admin を選択します。