Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

3.5. Configuration du délai d'inactivité du jeton pour le serveur OAuth interne

Vous pouvez configurer les jetons OAuth pour qu'ils expirent après une période d'inactivité donnée. Par défaut, aucun délai d'inactivité n'est défini.

Note

Si le délai d'inactivité du jeton est également configuré dans votre client OAuth, cette valeur remplace le délai défini dans la configuration interne du serveur OAuth.

Conditions préalables

  • Vous avez accès au cluster en tant qu'utilisateur ayant le rôle cluster-admin.
  • Vous avez configuré un fournisseur d'identité (IDP).

Procédure

  1. Mettre à jour la configuration de OAuth pour définir un délai d'inactivité des jetons.

    1. Modifiez l'objet OAuth: 

      $ oc edit oauth cluster
      Copy to Clipboard Toggle word wrap

      Ajoutez le champ spec.tokenConfig.accessTokenInactivityTimeout et définissez la valeur de votre délai d'attente : 

      apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
...
spec:
  tokenConfig:
    accessTokenInactivityTimeout: 400s
      1
      Copy to Clipboard Toggle word wrap
      1
      Définissez une valeur avec les unités appropriées, par exemple 400s pour 400 secondes, ou 30m pour 30 minutes. La valeur minimale autorisée pour le délai d'attente est 300s.
    2. Enregistrez le fichier pour appliquer les modifications.

  2. Vérifier que les pods du serveur OAuth ont redémarré : 

    $ oc get clusteroperators authentication
    Copy to Clipboard Toggle word wrap

    Ne passez pas à l'étape suivante tant que PROGRESSING n'est pas répertorié comme False, comme le montre le résultat suivant :

    Exemple de sortie

    NAME             VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication   4.12.0    True        False         False      145m
    Copy to Clipboard Toggle word wrap

  3. Vérifiez qu'une nouvelle révision des pods du serveur Kubernetes API a été déployée. Cela prendra plusieurs minutes. 

    $ oc get clusteroperators kube-apiserver
    Copy to Clipboard Toggle word wrap

    Ne passez pas à l'étape suivante tant que PROGRESSING n'est pas répertorié comme False, comme le montre le résultat suivant :

    Exemple de sortie

    NAME             VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
kube-apiserver   4.12.0     True        False         False      145m
    Copy to Clipboard Toggle word wrap

    Si PROGRESSING affiche True, attendez quelques minutes et réessayez.

Vérification

  1. Connectez-vous au cluster avec l'identité de votre IDP.
  2. Exécuter une commande et vérifier qu'elle a abouti.
  3. Attendre plus longtemps que le délai configuré sans utiliser l'identité. Dans l'exemple de cette procédure, il faut attendre plus de 400 secondes.

  4. Essayer d'exécuter une commande à partir de la session de la même identité.

    Cette commande doit échouer car le jeton doit avoir expiré en raison d'une inactivité plus longue que le délai d'attente configuré.

    Exemple de sortie

    error: You must be logged in to the server (Unauthorized)
    Copy to Clipboard Toggle word wrap

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat