Red Hat Summit6.3. Création d’un fournisseur d’authentification externe
Après avoir créé un ROSA avec le cluster HCP avec l’option activée pour les fournisseurs d’authentification externes, vous devez créer un fournisseur à l’aide du ROSA CLI.
À l’instar de la commande rosa create|delete|list idp[s] dans le ROSA CLI, vous ne pouvez pas modifier un fournisseur d’identité existant que vous avez créé à l’aide de rosa créer un fournisseur externe auth. Au lieu de cela, vous devez supprimer le fournisseur d’authentification externe et en créer un nouveau.
Le tableau suivant montre les drapeaux CLI possibles que vous pouvez utiliser lors de la création de votre fournisseur d’authentification externe:
| Drapeau de CLI | Description |
|---|---|
|
| Le nom ou l’identifiant de votre cluster. |
|
| Le nom utilisé pour désigner le fournisseur d’authentification externe. |
|
| Cette chaîne est le secret client utilisé pour associer votre compte à l’application. Dans le cas où vous n’incluez pas le secret client, cette commande utilise un OIDC OAuthClient public. |
|
| Il s’agit d’une liste séparée par des virgules d’audiences symboliques. |
|
| L’URL de l’émetteur de jetons. |
|
| Le nom de la revendication qui devrait être utilisé pour construire des noms d’utilisateur pour l’identité du cluster. |
|
| Le nom de la revendication qui devrait être utilisé pour construire des noms de groupe pour l’identité du cluster. |
Procédure
Afin d’utiliser l’interface de commande interactive, exécutez les commandes suivantes:
$ rosa create external-auth-provider -c <cluster_name>I: Enabling interactive mode ? Name:1 ? Issuer audiences:2 ? The serving url of the token issuer:3 ? CA file path (optional):4 ? Claim mapping username:5 ? Claim mapping groups:6 ? Claim validation rule (optional):7 ? Console client id (optional):8 - 1
- Le nom de votre fournisseur d’authentification externe. Ce nom devrait être un cas inférieur avec des chiffres et des tirets.
- 2
- Les identifiants d’audience pour lesquels ce fournisseur d’authentification émet des jetons.
- 3
- L’URL de l’émetteur qui sert le jeton.
- 4
- Facultatif: Le fichier de certificat à utiliser lors de la présentation de demandes.
- 5
- Le nom de la revendication qui est utilisé pour construire les noms d’utilisateur pour l’identité du cluster, par exemple en utilisant le courrier électronique.
- 6
- La méthode avec laquelle transformer le jeton ID en une identité de cluster, comme l’utilisation de groupes.
- 7
- Facultatif : Les règles qui aident à valider les demandes de jetons qui authentifient vos utilisateurs. Ce champ doit être formaté comme :<required_value>.
- 8
- Facultatif: L’identification de l’application ou du client que votre inscription d’application utilise pour la console.
Il est possible d’inclure les identifiants requis pour créer votre fournisseur d’authentification externe avec la commande suivante:
rosa create external-auth-provider --cluster=<cluster_id> \ --name=<provider_name> --issuer-url=<issuing_url> \ --issuer-audiences=<audience_id> \ --claim-mapping-username-claim=email \ --claim-mapping-groups-claim=groups \ --console-client-id=<client_id_for_app_registration> \ --console-client-secret=<client_secret>Exemple de sortie
I: Successfully created an external authentication provider for cluster '<cluster_id>'
La vérification
Afin de vérifier votre fournisseur d’authentification externe, exécutez l’une des options suivantes:
Énumérez la configuration d’authentification externe sur un cluster spécifié avec la commande suivante:
$ rosa list external-auth-provider -c <cluster_name>Exemple de sortie
L’exemple suivant montre un fournisseur d’authentification externe Microsoft Entra ID configuré:
NAME ISSUER URL m-entra-id https://login.microsoftonline.com/<group_id>/v2.0Afficher la configuration d’authentification externe sur un cluster spécifié à l’aide de la commande suivante:
$ rosa describe external-auth-provider \ -c <cluster_name> --name <name_of_external_authentication>Exemple de sortie
ID: ms-entra-id Cluster ID: <cluster_id> Issuer audiences: - <audience_id> Issuer Url: https://login.microsoftonline.com/<group_id>/v2.0 Claim mappings group: groups Claim mappings username: email
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}