Red Hat SummitChapitre 4. Aperçu d’OpenID Connect
L’OpenID Connect (OIDC) utilise Security Token Service (STS) pour permettre aux clients de fournir un jeton d’identité Web pour accéder à plusieurs services. Lorsqu’un client se connecte à un service en utilisant STS, le jeton est validé par rapport au fournisseur d’identité OIDC.
Le protocole OIDC utilise une URL de configuration qui contient les informations nécessaires pour authentifier l’identité d’un client. Le protocole répond au fournisseur avec les informations d’identification nécessaires au fournisseur pour valider le client et les connecter.
Le service OpenShift Red Hat sur les clusters AWS utilise STS et OIDC pour accorder aux opérateurs inclus l’accès aux ressources AWS nécessaires.
4.1. Comprendre les options de vérification OIDC
Les types de vérification OIDC suivants peuvent être configurés:
Configuration OIDC non enregistrée et gérée
Lors du processus d’installation du cluster, une configuration OIDC non enregistrée et gérée est créée pour vous. La configuration est hébergée sous le compte AWS de Red Hat. Cette option ne vous donne pas l’identifiant qui relie la configuration OIDC, de sorte que vous ne pouvez utiliser ce type de configuration OIDC que sur un seul cluster.
Configuration OIDC enregistrée et gérée
Créez une configuration OIDC enregistrée et gérée avant de commencer à créer vos clusters. Cette configuration est hébergée sous le compte AWS de Red Hat comme la configuration OIDC gérée non enregistrée. Lorsque vous utilisez cette option pour votre configuration OIDC, vous recevez un ID qui se connecte à la configuration OIDC. Le Red Hat utilise cet identifiant pour identifier l’URL de l’émetteur et la clé privée. Ensuite, vous pouvez utiliser cette URL et cette clé privée pour créer un fournisseur d’identité et des rôles d’opérateur. Ces ressources sont créées sous votre compte AWS en utilisant les services AWS de gestion des identités et des accès (IAM). Il est également possible d’utiliser l’identifiant de configuration OIDC pendant le processus de création du cluster.
Configuration OIDC enregistrée et non gérée
Il est possible de créer une configuration OIDC enregistrée et non gérée avant de commencer à créer vos clusters. Cette configuration est hébergée sous votre compte AWS. Lorsque vous utilisez cette option, vous êtes responsable de la gestion de la clé privée. Enregistrez la configuration avec Red Hat OpenShift Cluster Manager en stockant la clé privée dans un fichier secret AWS à l’aide du service AWS Secrets Manager (SM) et de l’URL de l’émetteur qui héberge la configuration. Le Red Hat OpenShift Service sur AWS (ROSA) CLI, rosa, vous permet de créer une configuration OIDC enregistrée et non gérée avec la commande rosa créer oidc-config --managed=false. Cette commande crée et héberge la configuration sous votre compte et crée les fichiers nécessaires et la clé secrète privée. Cette commande enregistre également la configuration avec OpenShift Cluster Manager.
Les options enregistrées peuvent être utilisées pour créer les ressources IAM requises avant de commencer à créer un cluster. Cette option se traduit par des temps d’installation plus rapides puisqu’il y a une période d’attente pendant la création de cluster où l’installation s’arrête jusqu’à ce que vous créez un fournisseur OIDC et des rôles d’opérateur.
Dans le cas de ROSA Classic, vous pouvez utiliser l’une des options de configuration OIDC. Lorsque vous utilisez ROSA avec HCP, vous devez créer une configuration OIDC enregistrée, qu’elle soit gérée ou non gérée. Les configurations OIDC enregistrées peuvent être partagées avec d’autres clusters. Cette possibilité de partager la configuration vous permet également de partager les rôles de fournisseur et d’opérateur.
La réutilisation des configurations OIDC, du fournisseur OIDC et des rôles d’opérateur entre les clusters n’est pas recommandée pour les clusters de production puisque la vérification d’authentification est utilisée dans tous ces clusters. Le Red Hat recommande de réutiliser uniquement les ressources entre les environnements de test de non-production.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}