Translated message

A translation of this page exists in English.

サービスアカウントの認証情報を使用して認証するように Ansible Automation Platform を設定する

更新 -

今後数カ月以内に、Red Hat Hybrid Cloud Console では Basic 認証が廃止される予定です。Hybrid Cloud Console でサービスを使用する場合、Basic 認証の代わりに使用するサービスアカウントを手動で作成する必要があります。

この記事では、以下の条件に該当する場合に、適用する必要がある変更について説明します。

  • Red Hat 自動化分析を使用する。
  • 管理者であり、サービスアカウントを使用してサブスクリプションを管理する。

Red Hat Insights を使用してインベントリーを同期したり修復したりする場合は、このナレッジベースの記事の手順に従ってください。Support for token-based authentication via Service Account for Red Hat Insights in Ansible Automation Platform

注記: サービスアカウント認証は、コンテンツの同期に必要な Automation Hub への認証プロセスへの影響や変更はありません。

これはなぜですか?

Red Hat は、お客様セキュリティーを製品とサービスにフォーカスしています。そのため、Basic 認証の代わりにトークンベースのサービスアカウントを実装しています。サービスアカウントは、セキュリティー機能を強化し、お客様データをより安全に保護します。

前提条件

サービスアカウントの認証情報を使用して認証を正常に有効にするには、以下が必要です。

  • Hybrid Cloud Console で作成されたサービスアカウントと、サービスアカウントの作成時に生成されたクライアント ID およびクライアントシークレット。この前提条件を完了するには、サービスアカウントの作成にリンクされている手順に従ってください。
  • 自動化されているサービスを変更するためのユーザーアクセス。

サービスアカウントを作成する

まず、Hybrid Cloud Console で サービスアカウントを作成する 手順に従います。手続きが完了すると、クライアント ID とクライアントシークレットが送信されます。この情報は再度表示されないため、クライアント ID とクライアントシークレットを安全な場所に保存してください。

Ansible Automation Platform で分析認証情報を更新する

自動化分析を使用して Hybrid Cloud Console で自動化を監視する場合は、まずサービスアカウントに適切なアクセス権を付与する必要があります。次に、AAP のバージョンに対応する以下の手順に従います。

自動化分析閲覧者ユーザーグループにサービスアカウントを追加する

  1. Red Hat Hybrid Cloud Console にログインします。
  2. Settings ドロップダウンメニューから、User Access を選択します。
  3. Identity and Access Management ページで、User Access > Groups に移動します。
  4. Create Group をクリックします。
  5. グループ名と説明を入力し、Next をクリックします。
  6. リストから、Automation analytics viewer グループを見つけます。グループの横にあるチェックボックスをクリックし、Next をクリックします。
  7. Next をもう一度クリックして、メンバーの追加手順をスキップします。
  8. Add service accounts のダイアログで、サービスアカウントの横にあるチェックボックスをクリックし、Next をクリックします。
  9. 詳細を確認して、Submit をクリックします。

成功した場合、"Success adding service account to group" とのテキストのメッセージが表示されます。プロセスを完了するには、Exit をクリックします。

この手順を完了できない場合は、Troubleshooting を参照してください。

Ansible Automation Platform 2.4 の分析

注記: AAP 2.4 では、controller バージョン 4.5.24 以降を使用している場合にのみ、client ID および client secret フィールドが表示されます。4.5.24 より前のバージョンでは、クライアント ID とクライアントシークレットは入力できません。

  1. ナビゲーションパネルから、Settings > Miscellaneous Settings を選択します。
  2. Edit をクリックします。
  3. Red Hat client ID for Analytics とのラベルが付いたフィールドに、サービスアカウントの作成時に受け取った client ID を入力します。
  4. Red Hat client secret for Analytics とのラベルが付いたフィールドに、サービスアカウントの作成時に受け取った client secret を入力します。
  5. Options の下で、Gather data for Automation Analytics チェックボックスにチェックを入れます。
  6. Save をクリックします。

Ansible Automation Platform 2.5 の分析

注記: AAP 2.5 では、controller バージョン 4.6.13 以降を使用している場合にのみ、クライアント ID フィールドとクライアントシークレットフィールドが表示されます。4.6.13 より前のバージョンでは、クライアント ID とクライアントシークレットは入力できません。

  1. ナビゲーションパネルから、Settings > Automation Execution > System を選択します。
  2. Edit をクリックします。
  3. Red Hat client ID for Analytics とのラベルが付いたフィールドに、サービスアカウントの作成時に受け取った client ID を入力します。
  4. Red Hat client secret for Analytics とのラベルが付いたフィールドに、サービスアカウントの作成時に受け取った client secret を入力します。
  5. Options の下で、Gather data for Automation Analytics チェックボックスにチェックを入れます。
  6. Save をクリックします。

設定のテストと検証

サービスアカウントを設定した後、テストジョブを実行して、すべてが正しく設定されていることを確認します。

  1. ナビゲーションパネルから、Automation Execution > Jobs を選択してジョブを起動します。
  2. analytics at console.redhat.com を監視して、データが投稿されていることを確認します。

サブスクリプション管理の更新

ログイン時に、クライアント ID とクライアントシークレットのフィールドにそれぞれ Red Hat のユーザー名とパスワードを入力して、サブスクリプションを検索し、Ansible Automation Platform インスタンスに追加できます。ただし、管理者特権がある場合は、サービスアカウントの認証情報を使用してサブスクリプションを検索し、追加することもできます。

サービスアカウントを使用してサブスクリプションを管理するには、サービスアカウントにサブスクリプションへのアクセス権を付与する必要があります。これを行うには、サービスアカウントを Subscriptions viewer ユーザーグループに追加します。次に、サービスアカウントの認証情報を使用して、サブスクリプションを検索して追加できます。

前提条件

  • Ansible Automation Platform への管理アクセス。

subscription viewer ユーザーグループにサービスアカウントを追加する

  1. Red Hat Hybrid Cloud Console にログインします。
  2. Settings ドロップダウンメニューから、User Access を選択します。
  3. Identity and Access Management ページで、User Access > Groups に移動します。
  4. Create Group をクリックします。
  5. グループ名と説明を入力し、Next をクリックします。
  6. リストから、Subscriptions viewer グループを見つけます。グループの横にあるチェックボックスをクリックし、Next をクリックします。
  7. Next をもう一度クリックして、メンバーの追加手順をスキップします。
  8. Add service accounts のダイアログで、サービスアカウントの横にあるチェックボックスをクリックし、Next をクリックします。
  9. 詳細を確認して、Submit をクリックします。

成功した場合、"Success adding service account to group" とのテキストのメッセージが表示されます。プロセスを完了するには、Exit をクリックします。

この手順を完了できない場合は、Troubleshooting を参照してください。

サービスアカウントの認証情報を使用してサブスクリプションを見つける

Ansible Automation Platform に初めてログインすると、サブスクリプション情報を追加するように求められます。サービスアカウントの認証情報を使用してサブスクリプションを見つけるには、以下の手順に従ってください。

すでにサブスクリプションを追加している場合は、プラットフォームで Settings > Subscription > Edit subscription に移動して、サブスクリプションの詳細を更新できます。

  1. Service Account / Red Hat Satellite タブをクリックします。
  2. Client ID/Satellite Username フィールドに、サービスアカウントの作成時に受け取ったクライアント ID を入力します。
  3. Client secret/Satellite password フィールドに、サービスアカウントの作成時に受け取ったクライアントシークレットを入力します。
  4. サブスクリプションは、Subscription のリストメニューに表示されます。サブスクリプションを選択してください。
  5. Next をクリックします。
  6. End User License Agreement に同意することを示すボックスをチェックします。
  7. 情報を確認して、Finish をクリックします。

トラブルシューティング

クライアント ID とクライアントシークレットを入力してもサブスクリプションが見つからない場合は、サービスアカウントに適切な権限が設定されていない可能性があります。この問題を解決するには、次の 2 つのオプションがあります。

  • 組織の管理者がわかっている場合は、管理者に連絡し、アクセス権の付与を依頼してください。
  • 組織の管理者が誰かわからない場合は、console.redhat.com の Virtual Assistant に “Who is my Org Admin” にメッセージを送信し、その後のプロンプトに従います。Hybrid Cloud Console のホーム画面の右下にある赤い VA アイコンをクリックすると、Virtual Assistant が見つかります。その後、Virtual Assistant は、組織の管理者と通信します。

アクセスをリクエストする場合、組織の管理者がリクエストを評価して判断できるように、次の情報を提供する準備をしておいてください。

  • アカウント番号と組織 ID (わかっている場合)。
  • 実行する必要があるタスクに関する明確な説明。この場合、適切なサブスクリプションを AAP インスタンスにリンクできるように、組織管理者にサービスアカウントにサブスクリプションを表示するアクセス権を付与するよう要求します。
  • 必要と思われる特定の権限。この場合は、subscription viewer 権限です。

重要な影響
アクセス要求を行う場合、次の点に注意してください。

  • 具体的に記述する: 組織管理者が適切な権限を割り当てられるように、実行する必要があるタスクを明確に記述します。
  • 焦らず待機する: 組織管理者の空き状況と既存のワークロード/優先度によっては、権限の変更に時間がかかる場合があります。
  • 慎重に: 権限の昇格には責任の増大が伴います。セキュリティーのベストプラクティスすべてに従うようにしてください。

Comments