3.2.3. 環境のセキュリティー設定の構成
Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本的な設定を行ったら、必要に応じて環境の認証 (セキュリティー) を設定できます。
前提条件
- 「環境の基本設定の構成」 の説明に従って、インストーラーウィザードで Business Automation Operator を使用して Red Hat Process Automation Manager 環境の基本設定を行っている。
-
認証に RH-SSO または LDAP を使用する必要がある場合には、認証システムに適切なロールを持つユーザーを作成していること。
kie-server,rest-all,admin
ロールを持つ少なくとも 1 人の管理ユーザー (たとえば、adminUser
) を作成する必要があります。このユーザーには、Installation タブで設定したユーザー名とパスワードが必要です。 - RH-SSO 認証を使用する必要がある場合は、環境のすべてのコンポーネントの RH-SSO システムでクライアントを作成しており、正しい URL を指定している。この動作により、最大限の制御が確保されます。他の方法として、デプロイメントでクライアントを作成できます。
手順
- Installation タブが開いている場合は、Next をクリックして Security タブを表示します。
Authentication mode 一覧で、以下のモードのいずれかを選択します。
-
Internal
: 環境のデプロイ時に初期ユーザーを設定します。このユーザーは Business Central を使用して他のユーザーを随時セットアップできます。 -
RH-SSO
: Red Hat Process Automation Manager は認証に Red Hat Single Sign-On を使用します。 -
LDAP
: Red Hat Process Automation Manager は認証に LDAP を使用します。
-
選択した Authentication mode に基づいてセキュリティー設定を完了します。
RH-SSO
を選択してい場合は、RH-SSO 認証を設定します。- RH-SSO URL フィールドに、RH-SSO URL を入力します。
- Realm フィールドに、RH-SSO レルム名を入力します。
- 環境のコンポーネントに RH-SSO クライアントを作成していない場合は、SSO admin user フィールドおよび SSO admin password フィールドに、RH-SSO システムの管理者ユーザーの認証情報を入力します。
- RH-SSO システムに適切な署名済みの SSL 証明書がない場合は、Disable SSL cert validation ボックスを選択します。
- Principal attribute フィールドで、ユーザー名に使用される RH-SSO プリンシパル属性を変更する必要がある場合は、新規属性の名前を入力します。
LDAP
を選択した場合は、LDAP 認証を設定します。- LDAP URL フィールドに、LDAP URL を入力します。
- Red Hat JBoss EAP の LdapExtended ログインモジュールの設定に対応する LDAP パラメーターを設定します。これらの設定に関する説明は、「 LdapExtended ログインモジュール」 を参照してください。
RH-SSO
またはLDAP
を選択した場合、RH-SSO または LDAP システムがデプロイメントに必要なすべてのロールを定義していない場合、認証システムのロールを Red Hat Process Automation Manager のロールにマップできます。ロールマッピングを有効にするには、プロジェクト namespace の OpenShift 設定マップまたはシークレットオブジェクトにロールマッピング設定ファイルを指定する必要があります。ファイルには、次の形式のエントリーが含まれている必要があります。
ldap_role = product_role1, product_role2...
以下に例を示します。
admins = kie-server,rest-all,admin
このファイルの使用を有効にするには、以下の変更を行います。
-
Roles properties file フィールドの RoleMapper の下に、ルールマッピング設定ファイルの完全修飾パス名を入力します (例:
/opt/eap/standalone/configuration/rolemapping/rolemapping.properties
)。 - 認証システムで定義されているロールをマッピングファイルで定義されているロールに置き換える場合は、Replace roles ボックスを選択します。それ以外の場合は、RH-SSO または LDAP で定義されたロールと設定ファイルで定義されたロールの両方が利用可能です。
-
RoleMapper Configuration object の下のフィールドで、ファイルを提供するオブジェクトの Kind (
ConfigMap
またはSecret
) を選択し、オブジェクトの Name を入力します。このオブジェクトは、ロールマッピング設定ファイルに指定したパスで Business Central および KIE Server Pod に自動的にマウントされます。
-
Roles properties file フィールドの RoleMapper の下に、ルールマッピング設定ファイルの完全修飾パス名を入力します (例:
他のパスワードを設定します (必要な場合)。
- AMQ password および AMQ cluster password は、JMS API を使用した ActiveMQ との対話に使用するパスワードです。
- Keystore password は、HTTPS 通信のシークレットで使用されるキーストアファイルのパスワードです。「KIE Server のシークレットの作成」 または 「Business Central へのシークレットの作成」 の説明にしたがってシークレットを作成した場合は、このパスワードを設定します。
- Database password は、環境の一部であるデータベースサーバー Pod のパスワードです。
次のステップ
すべてのコンポーネントのデフォルト設定で環境をデプロイする必要がある場合は、Finish をクリックしてから Deploy をクリックして環境をデプロイします。それ以外の場合は、引き続き Business Central、KIE Server、および Smart Router の設定パラメーターを設定します。