13.2.3. 在 Red Hat Advanced Cluster Security for Kubernetes 中配置 OIDC 身份提供程序
您可以将 Red Hat Advanced Cluster Security for Kubernetes 配置为使用 OpenID Connect(OIDC)身份提供程序。
先决条件
- 您必须已在身份提供程序中配置了应用程序,如 Google Workspace。
- 您必须具有在 Red Hat Advanced Cluster Security for Kubernetes 中配置身份提供程序的权限。
流程
- 在 RHACS 门户网站中,导航至 Platform Configuration → Access Control。
- 打开 Add a Auth Provider 菜单,然后选择 OpenID Connect。
填写以下详情:
- 集成名称 :用于标识身份验证提供程序的名称。例如: Auth0 或 Google Workspace"。集成名称显示在登录页面中,以帮助用户选择正确的符号选项。
- 回调模式 :选择 HTTP POST (默认)。另外,还提供了名为 Fragment 的替代模式,它围绕单页应用程序(SPA)的限制。红帽只支持旧集成的 Fragment 模式,不建议将其用于新的集成。
issuer :身份提供程序的根 URL,如 Google Workspace
https://accounts.google.com。如需更多信息,请参阅您的身份提供程序文档。注意如果您使用 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.49 及更新版本,您可以发布者:
-
为 root URL 前缀有
https+insecure://以跳过 TLS 验证。这个配置是不安全的,红帽不推荐这样做。仅将其用于测试目的。 -
指定查询字符串,如
?key1=value1&key2=value2和 root URL。Red Hat Advanced Cluster Security for Kubernetes 将 Issuer 的值附加到授权端点中。您可以使用它自定义供应商的登录屏幕。例如,您可以使用hd参数在 PingFederate 中使用pfidpadapterid参数 优化 Google Workspace 登录屏幕。
-
为 root URL 前缀有
- 客户端 ID :您配置的项目的 OIDC 客户端 ID。
使用所选身份提供程序 访问 Red Hat Advanced Cluster Security for Kubernetes 的用户,选择最小访问角色。
提示在完成设置时,将 Minimum access role 设置为 Admin。之后,您可以返回到 Access Control 页面,根据身份提供程序的用户元数据设置更定制的访问规则。
- 点击 Save。
验证
- 在 RHACS 门户网站中,导航至 Platform Configuration → Access Control。
- 选择 Auth Provider Rules 选项卡。
- 在 Auth Providers 部分下,选择您要验证配置的身份验证提供程序。
- 从 Auth Provider 部分标头选择 Test Login。Test Login 页面将在新的浏览器标签页中打开。
使用您的凭据登录。
-
成功后,Red Hat Advanced Cluster Security for Kubernetes 显示您为登录的凭证发送的用户
ID和用户属性。 - 在失败时,Red Hat Advanced Cluster Security for Kubernetes 会显示一条信息来描述身份提供程序无法处理的响应的原因。
-
成功后,Red Hat Advanced Cluster Security for Kubernetes 显示您为登录的凭证发送的用户
- 关闭 Test Login browser 选项卡。