4.9. Red Hat Single Sign-On を使用して OpenShift Cluster Manager CLI を認証する
セキュリティーを確保するために、Red Hat では、オフライントークンを使用する代わりに、Red Hat Single Sign-On で ocm-cli
コマンドラインツールを使用することを推奨しています。シングルサインオン認可は、OCM CLI (ocm) バージョン v0.1.73 以降でサポートされています。
オフライン認証トークンの有効期間は、数日、数週間、数カ月、または永久に続くこともあります。有効期間が長いと、サイバー犯罪者が特定のトークンを検出してアカウントを攻撃するための時間が長くなることを意味します。さらに、オフライン認証トークンは通常、オペレーティングシステムによってデバイスに保存されるため、トークンが適切に保護されていない場合は、マシン上の他のアプリケーションがトークンにアクセスできることになります。これらのオフライントークンの有効期間は長く、取り消すことはできません。ユーザーは手動でコピーして貼り付ける必要があるため、セキュリティー上のリスクが生じます。
現在、ocm-cli
ツールは開発者プレビューとして提供されています。
開発者プレビューリリースは、製品の初期バージョンの評価と製品開発チームへのフィードバックを収集するために、限られたお客様に提供されます。開発者プレビューリリースは、実稼働環境ではサポートされません。詳細は、開発者プレビューのサポート範囲 を参照してください。
引き続きオフライントークンを使用して Red Hat ocm-cli
ツールにログインできますが、Red Hat のセキュアなブラウザーベースのシングルサインオン (SSO) 方式を使用すると、CLI インスタンスに 10 時間有効な更新トークンが自動的に送信されるため、より安全にログインできます。この認可コードは一意で一時的なものであるため、セキュアな認証方法です。SSO 認可コードを使用すると、1 回のサインオンで必要な Red Hat OpenShift サービスにアクセスできます。
次のステップ
- システムに Web ブラウザーがある場合は、「Red Hat Single Sign-On 認可コードを使用して OpenShift Cluster Manager CLI (ocm-cli) ツールにログインする」 の手順で Red Hat Single Sign-On を使用して認証します。
- コンテナー、リモートホスト、または Web ブラウザーのない他の環境で作業している場合は、「Red Hat Single Sign-On デバイスコードを使用して OpenShift Cluster Manager CLI にログインする」 の手順で Red Hat Single Sign-On を使用して認証します。
関連情報
-
ocm-cli
ツールを使用してクラスターを管理する方法の詳細は、OpenShift Cluster Manager で ocm-cli を使用してクラスターを管理する を参照してください。
4.9.1. Red Hat Single Sign-On 認可コードを使用して OpenShift Cluster Manager CLI (ocm-cli) ツールにログインする リンクのコピーリンクがクリップボードにコピーされました!
システムが Web ベースのブラウザーをサポートしている場合は、オフライントークンの代わりに Red Hat Single Sign-On 認可コードを使用して OpenShift Cluster Manager CLI にログインできます。
この方法は、オフライントークンを使用するよりもセキュアです。
前提条件
- Red Hat アカウントを持っている。
- OCM CLI (ocm) バージョン v0.1.73 以降を使用している。
- システムにサポート対象の Web ブラウザーがインストールされている。サポート対象ブラウザーの詳細は、Hybrid Cloud Console の下部にある Browser support] をクリックしてください。
手順
ターミナルウィンドウから、以下のコマンドを入力します。
ocm login --use-auth-code
ocm login --use-auth-code
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Red Hat SSO 認証ブラウザーウィンドウが開きます。
- Red Hat アカウントの認証情報でログインします。
-
認証プロセスが完了したら、ログインウィンドウを閉じて、ターミナルウィンドウの CLI に戻ります。CLI に
Login Successful
のメッセージが表示されます。これで、ocm-cli
ツールを使用してすべての OpenShift Cluster Manager API と対話できるようになりました。
4.9.2. Red Hat Single Sign-On デバイスコードを使用して OpenShift Cluster Manager CLI にログインする リンクのコピーリンクがクリップボードにコピーされました!
コンテナー、リモートホスト、および Web ブラウザーのないその他の環境で作業している場合は、セキュアな認証のために Red Hat Single Sign-On デバイスコードを使用できます。そのためには、Web ブラウザーを搭載した 2 台目のデバイスを使用してログインを承認します。
この方法は、オフライントークンを使用するよりもセキュアです。
前提条件
- Red Hat アカウントを持っている。
- OCM CLI (ocm) バージョン v0.1.73 以降を使用している。
- Web ブラウザーを搭載した 2 台目のデバイスがある。
手順
認証するデバイスのターミナルウィンドウで、次のコマンドを入力します。
ocm login --use-device-code
ocm login --use-device-code
Copy to Clipboard Copied! Toggle word wrap Toggle overflow CLI には次のようなメッセージが表示されます。この場合の
<DEVICE_CODE>
は一意の認証コードです。To login, navigate to https://sso.redhat.com/device on another device and enter code <DEVICE_CODE>. Checking status every 5 seconds…
To login, navigate to https://sso.redhat.com/device on another device and enter code <DEVICE_CODE>. Checking status every 5 seconds…
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
Web ブラウザーが搭載されたデバイスで、
https://sso.redhat.com/device
に移動します。 - Device log in ウィンドウで、CLI メッセージのデバイスコードを入力し、Submit をクリックします。
-
Grant access to ocm-cli ウィンドウで、Grant access をクリックします。ブラウザーに Red Hat device login successful のメッセージが表示されます。これで、
ocm-cli
ツールを使用してすべての OpenShift Cluster Manager API と対話できるようになりました。
検証
認証したデバイスのターミナルに戻り、CLI に次のメッセージが表示されていることを確認します。
Login successful.
Login successful.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
4.9.3. オフライントークンと自動化 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Single Sign-On を使用した新しいセキュアな認証方法で、オフライントークンに依存する既存の自動化が損なわれることはありません。自動化やその他の目的でオフライントークンを使用するには、OpenShift Cluster Manager API Token ページから OpenShift Cluster Manager API トークンをダウンロードできます。目的が自動化の場合は、Service Accounts ページで利用できるサービスアカウントを使用します。
関連情報
- 組織のサービスアカウントの詳細は、サービスアカウントの作成と管理 を参照してください。