4.11. Configuration du SSO pour Argo CD à l'aide de Keycloak

1. Supprimer la configuration Dex en supprimant le paramètre .spec.sso.dex de la ressource personnalisée (CR) Argo CD, et enregistrer la CR :

   dex:
       openShiftOAuth: true
       resources:
         limits:
           cpu:
           memory:
         requests:
           cpu:
           memory:

   Copy to Clipboard Toggle word wrap
2. Réglez la valeur du paramètre provider sur keycloak dans l'Argo CD CR.

3. Configurez Keycloak en effectuant l'une des étapes suivantes :

   • Pour une connexion sécurisée, définissez la valeur du paramètre rootCA comme indiqué dans l'exemple suivant :

     apiVersion: argoproj.io/v1alpha1
     kind: ArgoCD
     metadata:
       name: example-argocd
       labels:
         example: basic
     spec:
       sso:
         provider: keycloak
         keycloak:
           rootCA: "<PEM-encoded-root-certificate>" 

     1

     
       server:
         route:
           enabled: true

     Copy to Clipboard Toggle word wrap

     1

     Un certificat personnalisé utilisé pour vérifier le certificat TLS du Keycloak.

     L'opérateur rapproche les modifications du paramètre .spec.keycloak.rootCA et met à jour le paramètre oidc.config avec le certificat racine codé PEM dans la carte de configuration argocd-cm.

   • Pour une connexion non sécurisée, laissez la valeur du paramètre rootCA vide et utilisez le paramètre oidc.tls.insecure.skip.verify comme indiqué ci-dessous :

     apiVersion: argoproj.io/v1alpha1
     kind: ArgoCD
     metadata:
       name: example-argocd
       labels:
         example: basic
     spec:
       extraConfig:
         oidc.tls.insecure.skip.verify: "true"
       sso:
         provider: keycloak
         keycloak:
           rootCA: ""

     Copy to Clipboard Toggle word wrap

Procédure

1. Obtenir l'URL de la route Keycloak pour la connexion :

   $ oc -n argocd get route keycloak
   
   NAME        HOST/PORT                                                        PATH   SERVICES   PORT    TERMINATION   WILDCARD
   keycloak    keycloak-default.apps.ci-ln-******.origin-ci-int-aws.dev.**.com         keycloak   <all>    reencrypt     None

   Copy to Clipboard Toggle word wrap

2. Obtenir le nom du pod Keycloak qui stocke le nom d'utilisateur et le mot de passe en tant que variables d'environnement :

   $ oc -n argocd get pods
   
   NAME                      READY   STATUS           RESTARTS   AGE
   keycloak-1-2sjcl           1/1    Running            0        45m

   Copy to Clipboard Toggle word wrap

   1. Obtenir le nom d'utilisateur de Keycloak :

      $ oc -n argocd exec keycloak-1-2sjcl -- "env" | grep SSO_ADMIN_USERNAME
      
      SSO_ADMIN_USERNAME=Cqid54Ih

      Copy to Clipboard Toggle word wrap

   2. Obtenir le mot de passe Keycloak :

      $ oc -n argocd exec keycloak-1-2sjcl -- "env" | grep SSO_ADMIN_PASSWORD
      
      SSO_ADMIN_PASSWORD=GVXxHifH

      Copy to Clipboard Toggle word wrap

3. Sur la page de connexion, cliquez sur LOG IN VIA KEYCLOAK.

   Note

   L'option LOGIN VIA KEYCLOAK n'apparaît qu'une fois que l'instance de Keycloak est prête.

4. Cliquez sur Login with OpenShift.

   Note

   La connexion à l'aide de kubeadmin n'est pas prise en charge.

5. Saisissez les informations d'identification OpenShift pour vous connecter.

6. Optionnel : Par défaut, tout utilisateur connecté à Argo CD a un accès en lecture seule. Vous pouvez gérer l'accès au niveau de l'utilisateur en mettant à jour la carte de configuration argocd-rbac-cm:

   policy.csv:
   <name>, <email>, role:admin

   Copy to Clipboard Toggle word wrap