3.11.2. GitLab サーバーでの認証
GitLab システムでの認証の設定は Bitbucket に似ています。
GitLab 認証は、個人アクセストークンの使用をベースとします。各 GitLab ユーザーは、異なる名前、パーミッション、有効期限などを持つ複数の個人アクセストークンを要求できます。これらのトークンを使用して、GitLab REST API 呼び出しに署名し、Git リポジトリー操作を実行することができます。
個人アクセストークンの詳細は、GitLab のドキュメントを参照してください。
CodeReady Workspaces 側で GitLab 認証を許可するには、個人トークンをシークレット形式でユーザーのプロジェクトに保存する必要があります。シークレットは以下のようになります。
例3.10 GitLab 個人アクセストークンシークレット
apiVersion: v1
kind: Secret
metadata:
name: gitlab-personal-access-token-secret
labels:
app.kubernetes.io/part-of: che.eclipse.org
app.kubernetes.io/component: scm-personal-access-token
annotations:
che.eclipse.org/expired-after: '-1'
che.eclipse.org/che-userid: '355d1ce5-990e-401e-9a8c-094bca10b5b3'
che.eclipse.org/scm-userid: '2'
che.eclipse.org/scm-username: 'user-foo'
che.eclipse.org/scm-url: 'https://gitlab.apps.cluster-example.com'
data:
token: Yzh5cEt6cURxUWVCa3FKazhtaHg=シークレットの主な部分は以下のようになります。
| ラベル |
| SCM 個人トークンシークレットであることを示します。 |
| アノテーション |
| トークンが属するユーザーの Red Hat CodeReady Workspaces ID。 |
| アノテーション |
| トークンが属する GitLab ユーザー ID |
| アノテーション |
| トークンが属する GitlLab ユーザー名 |
| アノテーション |
| このトークンが属する GitLab サーバーの URL |
| アノテーション |
| 個人アクセストークンの有効期限 |
| データエントリー |
| 個人アクセストークンの base-64 でエンコードされた値 |
Linux マシンで base64 ツールを使用して文字列を base64 形式にエンコードすると、ソース文字列の最後に改行文字が追加され、値はデコード後の認証ヘッダー値として使用できなくなります。これを回避するには、base64 -w0 を使用します。これにより、新たに追加された行が削除されるか、または 'tr -džn' を使用して改行が明示的に削除されます。
シークレットからユーザー ID を取得するには、GitLab Web UI の ユーザープロファイルページを確認するか、REST API URL を呼び出します。
GitLab の場合:
https://<gitlab-hostname>/api/v4/users?username=<username>
CodeReady Workspaces の場合
\https://codeready-<openshift_deployment_name>.<domain_name>/api/user
- シークレットから取得したトークン認証情報に関して、別のシークレットが自動的に作成され、Git 操作に対する認証が可能になります。このシークレットは Git 認証情報ファイルとしてワークスペースコンテナーにマウントされ、プライベート Git リポジトリーと連携するために追加の設定は不要になります。
- リモート Git リポジトリーが自己署名証明書を使用する場合は、サーバー設定を追加します。参照: 自己署名証明書を使用した Git リポジトリーをサポートする CodeReady Workspaces のデプロイ
