7.2. 認証および承認
7.2.1. OAuth を使用したアクセスの制御
コンテナープラットフォームのセキュリティーを保護にするために、認証および承認で API アクセス制御を使用することができます。OpenShift Container Platform マスターには、ビルトインの OAuth サーバーが含まれます。ユーザーは、OAuth アクセストークンを取得して API に対して認証することができます。
管理者として、LDAP、GitHub、または Google などの アイデンティティープロバイダー を使用して認証できるように OAuth を設定できます。新規の OpenShift Container Platform デプロイメントには、デフォルトで Deny All アイデンティティープロバイダーが使用されます。ただし、これは初回のインストール時またはインストール後に設定することが可能です。アイデンティティープロバイダーの詳細な一覧については、認証とユーザーエージェントの設定 を参照してください。
たとえば、GitHub アイデンティティープロバイダーをインストール後に設定するには、以下を実行します。
- /etc/origin/master-config.yaml で、マスター設定ファイルを編集します。
以下のように
oauthConfigスタンザを修正します。oauthConfig: ... identityProviders: - name: github challenge: false login: true mappingMethod: claim provider: apiVersion: v1 kind: GitHubIdentityProvider clientID: ... clientSecret: ... organizations: - myorganization1 - myorganization2 teams: - myorganization1/team-a - myorganization2/team-b注記詳細情報と使用方法については、認証とユーザーエージェントの設定の GitHub セクションを参照してください。
変更を保存したら、変更を有効にするためにマスターサービスを再起動します。
# master-restart api # master-restart controllers
参考文献
OpenShift Container Platform アーキテクチャー
- OpenShift Container Platform CLI リファレンス
- OpenShift Container Platform 開発者ガイド:CLI 認証
