第11章 Red Hat Quay の OIDC の設定

Red Hat Quay に OpenID Connect (OIDC) を設定すると、Red Hat Quay デプロイメントにメリットがいくつかあります。たとえば、OIDC を使用すると、ユーザーは Red Hat Single Sign-On、Google、Github、Microsoft などの OIDC プロバイダーからの既存の認証情報を使用して Red Hat Quay に対して認証できるようになります。OIDC のその他の利点には、一元的なユーザー管理、より強固なキュリティー、Single Sign-On (SSO) などがあります。全体として、OIDC 設定はユーザーの認証と管理を簡素化し、セキュリティーを強化して、Red Hat Quay ユーザーにシームレスなユーザーエクスペリエンスを提供します。

次の手順では、Red Hat Single Sign-On と Azure AD を設定する方法を示します。これらの手順には、Red Hat Quay config ツールを使用した Red Hat Quay Operator およびスタンドアロンデプロイメントでの OIDC の設定が含まれます。

注記

これらの手順に従うことで、使用する認証プロバイダーに関係なく、任意の OIDC プロバイダーを Red Hat Quay に追加できるようになります。

11.1. Red Hat Quay の Red Hat Single Sign-On の設定

Keycloak プロジェクトに基づいた Red Hat Single Sign-On (RH-SSO) は、Red Hat が提供するオープンソースのアイデンティティーおよびアクセス管理 (IAM) ソリューションです。RH-SSO を使用すると、組織はユーザー ID を管理し、アプリケーションを保護して、システムとアプリケーション全体にアクセス制御ポリシーを適用できます。また、統合された認証および認可フレームワークも提供します。これにより、ユーザーは一度ログインすることで、再認証することなく複数のアプリケーションやリソースにアクセスできるようになります。詳細は、Red Hat Single Sign-On を参照してください。

Red Hat Quay で Red Hat Single Sign-On を設定すると、Red Hat Quay と OpenShift Container Platform などの他のアプリケーションプラットフォームの間にシームレスな認証インテグレーションを作成できます。

11.1.1. Red Hat Quay Operator の Red Hat Single Sign-On Operator の設定

以下の手順を使用して、OpenShift Container Platform で Red Hat Quay Operator の Red Hat Single Sign-On を設定します。

前提条件

  • Red Hat Quay Operator 用に Red Hat Single Sign-On を設定している。詳細は、Red Hat Single Sign-On Operator を参照してください。
  • Red Hat Quay デプロイメント および Red Hat Single Sign-On 用に TLS/SSL を設定している。
  • 単一の認証局 (CA) を生成し、それを Red Hat Single Sign-On Operator Red Hat Quay 設定にアップロードしている。
  • OpenShift Container Platform クラスターにログインしている。
  • OpenShift CLI (oc) がインストールされている。

手順

  1. Red Hat Single Sign-On 管理コンソール に移動します。

    1. OpenShift Container Platform Web コンソール で、NetworkRoute に移動します。
    2. ドロップダウンリストから Red Hat Single Sign-On プロジェクトを選択します。
    3. Routes テーブルで Red Hat Single Sign-On 管理コンソール を見つけます。
  2. Red Hat Quay の設定に使用するレルムを選択します。
  3. ナビゲーションパネルの Configure セクションで Clients をクリックし、Create ボタンをクリックして Red Hat Quay の新しい OIDC を追加します。
  4. 以下の情報を入力します。

    • Client ID: quay-enterprise
    • Client Protocol: openid-connect
    • Root URL: https://<quay endpoint>/
  5. Save をクリックします。これにより、Clients 設定パネルにリダイレクトされます。
  6. Access Type に移動し、Confidential を選択します。
  7. Valid Redirect URI に移動します。3 つのリダイレクト URI を指定する必要があります。値は、Red Hat Quay レジストリーの完全修飾ドメイン名に /oauth2/redhatsso/callback を付加したものである必要があります。以下に例を示します。

  8. Save をクリックして、新しい Credentials 設定に移動します。
  9. Secret の値をコピーします。

11.1.2. Red Hat Single Sign-On を使用するための Red Hat Quay Operator の設定

Red Hat Quay Operator で Red Hat Single Sign-On を設定するには、次の手順を使用します。

前提条件

  • Red Hat Quay Operator 用に Red Hat Single Sign-On Operator を設定しました。

手順

  1. OperatorsInstalled Operators に移動して、Red Hat Quay config エディターツールに入ります。Red Hat QuayQuay Registry をクリックします。次に、Red Hat Quay レジストリーの名前と、Config Editor Endpoint にリストされている URL をクリックします。
  2. カスタム SSL/TLS 証明書を OpenShift Container Platform デプロイメントにアップロードします。

    1. Red Hat Quay config ツール UI に移動します。
    2. Custom SSL Certificates で、Select file をクリックし、カスタム SSL/TLS 証明書をアップロードします。
    3. Red Hat Quay デプロイメントを再設定します。
  3. External Authorization (OAuth) セクションまで下にスクロールします。
  4. Add OIDC Provider をクリックします。
  5. プロンプトが表示されたら、redhatsso と入力します。
  6. 以下の情報を入力します。

    • OIDC Server: /auth/realms/ とレルム名が付加された Red Hat Single Sign-On インスタンスの完全修飾ドメイン名 (FQDN)。最後にスラッシュを含める必要があります (例: https://sso-redhat.example.com//auth/realms/<keycloak_realm_name>/)。
    • Client ID: 認証プロバイダーで再登録されるアプリケーションのクライアント ID (例: quay-enterprise)。
    • Client Secret: quay-enterprise OIDC クライアント設定の Credentials タブのシークレット。
    • Service Name: Red Hat Quay ログインページに表示される名前 (例: Red Hat Single Sign On)。
    • Verified Email Address Claim: ユーザーの電子メールアドレスを検証するために使用される要求の名前。
    • Login Scopes: ログインフローの実行時に OIDC プロバイダーに送信するスコープ (openid など)。設定後、Add をクリックする必要があります。
  7. 下にスクロールして、Validate Configuration Changes をクリックします。次に、Restart Now をクリックして、OIDC を有効にして Red Hat Quay Operator をデプロイします。