13.3. 将 OpenShift Container Platform OAuth 服务器配置为身份提供程序

OpenShift Container Platform 包含一个内置 OAuth 服务器,您可以用作 Red Hat Advanced Cluster Security for Kubernetes(RHACS)的身份验证供应商。

13.3.1. 将 OpenShift Container Platform OAuth 服务器配置为 Red Hat Advanced Cluster Security for Kubernetes 中的身份提供程序

要将内置的 OpenShift Container Platform OAuth 服务器集成为 Red Hat Advanced Cluster Security for Kubernetes(RHACS)的身份供应商,请使用本节中的说明。

先决条件

  • 您必须具有 AuthProvider 权限才能在 RHACS 中配置身份提供程序。
  • 您必须已通过身份提供程序在 OpenShift Container Platform OAuth 服务器中配置了用户和组。有关身份提供程序要求的详情,请参阅 了解身份提供程序配置
注意

以下流程只为 OpenShift Container Platform OAuth 服务器配置一个名为 central 的主路由。

流程

  1. 在 RHACS 门户网站中,导航至 Platform ConfigurationAccess Control
  2. 打开 Add a Auth Provider 菜单,然后选择 OpenShift Auth
  3. Name 字段中输入身份验证提供程序的名称。
  4. 使用所选身份提供程序为访问 RHACS 的用户选择 最小访问权限角色

    提示

    为安全起见,红帽建议在完成设置 时将最低访问角色 设置为 None。之后,您可以返回到 Access Control 页面,根据身份提供程序的用户元数据设置更定制的访问规则。

  5. 要添加访问 RHACS 的用户和组的访问规则,请使用 Rules 部分。例如:

    1. 要为名为 administrator 的用户提供 Admin 角色,您可以使用以下键值对来创建访问规则:

      Name

      管理员

      角色

      Admin

    2. 如果您使用 HTPasswd 身份提供程序,其用户名 UserA 是组 GroupA 的一部分,您可以使用以下键值对来创建访问规则:

      Name

      UserA

      GroupA

      UserID

      <UUID>

  6. 点击 Save
重要
  • 如果您将自定义 TLS 证书用于 OpenShift Container Platform OAuth 服务器,您必须将 CA 的 root 证书添加到 Red Hat Advanced Cluster Security for Kubernetes 中作为可信 root CA。否则,Central 无法连接到 OpenShift Container Platform OAuth 服务器。
  • 在使用 roxctl CLI 安装 Red Hat Advanced Cluster Security for Kubernetes 时启用 OpenShift Container Platform OAuth 服务器集成,在 Central 中将 ROX_ENABLE_OPENSHIFT_AUTH 环境变量设置为 true

    $ oc -n stackrox set env deploy/central ROX_ENABLE_OPENSHIFT_AUTH=true
  • 要访问规则,您应该使用键 Name 来引用 OpenShift Container Platform OAuth 服务器返回的用户名。
  • 对于访问规则,OpenShift Container Platform OAuth 服务器不会返回密钥 电子邮件