13.2.3. 在 Red Hat Advanced Cluster Security for Kubernetes 中配置 OIDC 身份提供程序

您可以将 Red Hat Advanced Cluster Security for Kubernetes 配置为使用 OpenID Connect(OIDC)身份提供程序。

先决条件

  • 您必须已在身份提供程序中配置了应用程序,如 Google Workspace。
  • 您必须具有在 Red Hat Advanced Cluster Security for Kubernetes 中配置身份提供程序的权限。

流程

  1. 在 RHACS 门户网站中,导航至 Platform ConfigurationAccess Control
  2. 打开 Add a Auth Provider 菜单,然后选择 OpenID Connect
  3. 填写以下详情:

    • 集成名称 :用于标识身份验证提供程序的名称。例如: Auth0Google Workspace"。集成名称显示在登录页面中,以帮助用户选择正确的符号选项。
    • 回调模式 :选择 HTTP POST (默认)。另外,还提供了名为 Fragment 的替代模式,它围绕单页应用程序(SPA)的限制。红帽只支持旧集成的 Fragment 模式,不建议将其用于新的集成。
    • issuer :身份提供程序的根 URL,如 Google Workspace https://accounts.google.com。如需更多信息,请参阅您的身份提供程序文档。

      注意

      如果您使用 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.49 及更新版本,您可以发布者:

      • 为 root URL 前缀有 https+insecure:// 以跳过 TLS 验证。这个配置是不安全的,红帽不推荐这样做。仅将其用于测试目的。
      • 指定查询字符串,如 ?key1=value1&key2=value2 和 root URL。Red Hat Advanced Cluster Security for Kubernetes 将 Issuer 的值附加到授权端点中。您可以使用它自定义供应商的登录屏幕。例如,您可以使用 hd 参数在 PingFederate 中使用 pfidpadapterid 参数 优化 Google Workspace 登录屏幕。
    • 客户端 ID :您配置的项目的 OIDC 客户端 ID。
  4. 使用所选身份提供程序 访问 Red Hat Advanced Cluster Security for Kubernetes 的用户,选择最小访问角色

    提示

    在完成设置时,将 Minimum access role 设置为 Admin。之后,您可以返回到 Access Control 页面,根据身份提供程序的用户元数据设置更定制的访问规则。

  5. 点击 Save

验证

  1. 在 RHACS 门户网站中,导航至 Platform ConfigurationAccess Control
  2. 选择 Auth Provider Rules 选项卡。
  3. Auth Providers 部分下,选择您要验证配置的身份验证提供程序。
  4. Auth Provider 部分标头选择 Test LoginTest Login 页面将在新的浏览器标签页中打开。
  5. 使用您的凭据登录。

    • 成功后,Red Hat Advanced Cluster Security for Kubernetes 显示您为登录的凭证发送的用户 ID用户属性
    • 在失败时,Red Hat Advanced Cluster Security for Kubernetes 会显示一条信息来描述身份提供程序无法处理的响应的原因。
  6. 关闭 Test Login browser 选项卡。