第13章 ユーザーアクセスの管理
13.1. Okta Identity Cloud を SAML 2.0 プロバイダーとして設定
Okta は、Red Hat Advanced Cluster Security for Kubernetes (RHACS) のシングルサインオン (SSO) プロバイダーとして使用できます。
13.1.1. Okta アプリの作成
Okta を Red Hat Advanced Cluster Security for Kubernetes の SAML 2.0 プロバイダーとして使用する前に、Okta アプリを作成する必要があります。
Okta の Developer Console はカスタム SAML 2.0 アプリケーションの作成をサポートしていません。Developer Console を使用している場合は、最初に Admin Console (Classic UI) に切り替える必要があります。切り替えるには、ページの左上にある Developer Console をクリックして、Classic UI を選択します。
前提条件
- Okta ポータルの管理者権限を持つアカウントが必要です。
手順
- Okta ポータルで、メニューバーから Applications を選択します。
- Add Application をクリックし、Create New App を選択します。
- Create a New Application Integration ダイアログボックスで、プラットフォームを Web のままにし、ユーザーにサインインするプロトコルに SAML 2.0 を選択します。
- Create をクリックします。
- General Settings ページで、App name フィールドにアプリの名前を入力します。
- Next をクリックします。
SAML Settings ページで、次のフィールドに値を設定します。
シングルサインオン URL
-
https://<RHACS_portal_hostname>/sso/providers/saml/acsを指定します。 - Use this for Recipient URL and Destination URL オプションをオンのままにします。
- RHACS ポータルにさまざまな URL でアクセスできる場合は、Allow this app to request other SSO URLs オプションをオンにして、指定した形式を使用して代替 URL を追加することでそれらを追加できます。
-
オーディエンス URI (SP エンティティー ID)
- 値を RHACS または任意の別の値に設定します。
- 選択した値を覚えておいてください。Red Hat Advanced Cluster Security for Kubernetes を設定するときに、この値が必要になります。
属性ステートメント
- 少なくとも 1 つの属性ステートメントを追加する必要があります。
Red Hat は、email 属性の使用を推奨しています。
- 名前: 電子メール
- フォーマット: 指定なし
- 値: user.email
- 続行する前に、少なくとも 1 つの Attribute Statement が設定されていることを確認してください。
- Next をクリックします。
- Feedback ページで、該当するオプションを選択します。
- 適切な アプリの種類 を選択します。
- Finish をクリックします。
設定が完了すると、新しいアプリの サインオン 設定ページにリダイレクトされます。黄色のボックスには、Red Hat Advanced Cluster Security for Kubernetes を設定するのに必要な情報へのリンクが含まれています。
アプリを作成したら、Okta ユーザーをこのアプリケーションに割り当てます。Assignments タブに移動し、Red Hat Advanced Cluster Security for Kubernetes にアクセスできる個々のユーザーまたはグループのセットを割り当てます。たとえば、グループ Everyone を割り当てて、組織内のすべてのユーザーが Red Hat Advanced Cluster Security for Kubernetes にアクセスできるようにします。
13.1.2. Red Hat Advanced Cluster Security for Kubernetes での SAML 2.0 ID プロバイダーの設定
このセクションの手順を使用して、SAML 2.0 ID プロバイダーを Red Hat Advanced Cluster Security for Kubernetes と統合します。
前提条件
- Red Hat Advanced Cluster Security for Kubernetes で ID プロバイダーを設定するためのアクセス許可が必要です。
- Red Hat Advanced Cluster Security for Kubernetes 用に設定された Okta アプリが必要です。
手順
- RHACS ポータルで、Platform Configuration → Access Control に移動します。
- Add an Auth Provider メニューを開き、SAML 2.0 を選択します。
以下の詳細を記入してください。
- 統合名: この認証プロバイダーを識別するための名前 (Okta や Google など)。統合名は、ユーザーが適切なサインインオプションを選択できるように、ログインページに表示されます。
-
ServiceProvider Issuer: Okta で
Audience URIまたはSP Entity IDとして使用している値、または他のプロバイダーで同様の値。 - IdP Metadata URL: ID プロバイダーコンソールから利用可能な Identity Provider metadata の URL を使用します。IdP Metadata URL を使用しない場合は、代わりに、Okta コンソールの View Setup Instructions リンク、または他のプロバイダーの同様の場所から、必要な静的フィールドをコピーできます。
選択した ID プロバイダーを使用して Red Hat Advanced Cluster Security for Kubernetes にアクセスするユーザーの 最小アクセスルール を選択します。
ヒントセットアップの完了時に、最小アクセスルール を 管理者 に設定します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。
- Save をクリックします。
SAML ID プロバイダーの認証応答の場合:
-
NotValidAfterアサーションを含み、ユーザーセッションはNotValidAfterフィールドで指定された時間が経過するまで有効なままです。有効期限が切れた後、ユーザーは再認証する必要があります。 -
NotValidAfterアサーションが含まれていない場合、ユーザーセッションは 30 日間有効であり、その後、ユーザーは再認証する必要があります。
検証
- RHACS ポータルで、Platform Configuration → Access Control に移動します。
- Auth Provider Rules タブを選択します。
- Auth Providers セクションで、設定を確認する認証プロバイダーを選択します。
- Auth Provider セクションのヘッダーから Test Login を選択します。新しいブラウザータブで、Test Login ページが開きます。
認証情報を使用してログインします。
-
成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した
User IDおよびUser Attributesを表示します。 - 失敗すると、Red Hat Advanced Cluster Security for Kubernetes は、ID プロバイダーの応答を処理できなかった理由を説明するメッセージを表示します。
-
成功すると、Red Hat Advanced Cluster Security for Kubernetes は、ログインに使用した認証情報に対して ID プロバイダーが送信した
Test Login ブラウザータブを閉じます。
注記応答が認証の成功を示している場合でも、ID プロバイダーからのユーザーメタデータに基づいて追加のアクセスルールを作成しないといけない場合があります。
