Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

7.8. Google アイデンティティープロバイダーの設定

Google OpenID Connect 統合 を使用して google ID プロバイダーを設定します。

7.8.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

デフォルトでは、kubeadmin ユーザーのみがクラスターに存在します。アイデンティティープロバイダーを指定するには、アイデンティティープロバイダーを記述し、これをクラスターに追加するカスタムリソースを作成する必要があります。

注記

/:、および % を含む OpenShift Container Platform ユーザー名はサポートされません。

7.8.2. Google 認証について
リンクのコピー

Google をアイデンティティープロバイダーとして使用することで、Google ユーザーはサーバーに対して認証されます。hostedDomain 設定属性を使用して、特定のホストドメインのメンバーに認証を限定することができます。

注記

Google をアイデンティティープロバイダーとして使用するには、<namespace_route>/oauth/token/request を使用してトークンを取得し、コマンドラインツールで使用する必要があります。

7.8.3. シークレットの作成
リンクのコピー

アイデンティティープロバイダーは openshift-config namespace で OpenShift Container Platform Secret オブジェクトを使用して、クライアントシークレット、クライアント証明書およびキーをこれに組み込みます。

手順

  • 以下のコマンドを使用して、文字列を含む Secret オブジェクトを作成します。 

    $ oc create secret generic <secret_name> --from-literal=clientSecret=<secret> -n openshift-config
    Copy to Clipboard Toggle word wrap
    ヒント

    または、以下の YAML を適用してシークレットを作成できます。 

    apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: Opaque
data:
  clientSecret: <base64_encoded_client_secret>
    Copy to Clipboard Toggle word wrap

  • 以下のコマンドを実行して、証明書ファイルなどのファイルの内容を含む Secret オブジェクトを定義できます。 

    $ oc create secret generic <secret_name> --from-file=<path_to_file> -n openshift-config
    Copy to Clipboard Toggle word wrap

7.8.4. Google CR のサンプル
リンクのコピー

以下のカスタムリソース (CR) は、Google アイデンティティープロバイダーのパラメーターおよび許可される値を示します。

Google CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: googleidp
1 

    mappingMethod: claim
2 

    type: Google
    google:
      clientID: {...}
3 

      clientSecret:
4 

        name: google-secret
      hostedDomain: "example.com"
5
Copy to Clipboard Toggle word wrap

1
このプロバイダー名は Google の数字のユーザー ID に接頭辞として付加され、アイデンティティー名が作成されます。これはリダイレクト URL を作成するためにも使用されます。
2
このプロバイダーのアイデンティティーと User オブジェクト間にマッピングが確立される方法を制御します。
3
登録済みの Google プロジェクト のクライアント ID です。プロジェクトは、https://oauth-openshift.apps.<cluster-name>.<cluster-domain>/oauth2callback/<idp-provider-name> のリダイレクト URI で設定する必要があります。
4
Google で発行されるクライアントシークレットが含まれる OpenShift Container Platform Secret オブジェクトへの参照。
5
サインインアカウントを制限するために使用される ホスト型ドメイン です。lookup mappingMethod が使用される場合はオプションになります。空の場合は、すべての Google アカウントの認証が許可されます。

7.8.5. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー

クラスターのインストール後に、アイデンティティープロバイダーをそのクラスターに追加し、ユーザーの認証を実行できるようにします。

前提条件

  • OpenShift Container Platform クラスターを作成します。
  • アイデンティティープロバイダーのカスタムリソース (CR) を作成します。
  • 管理者としてログインしている必要があります。

手順

  1. 定義された CR を適用します。 

    $ oc apply -f </path/to/CR>
    Copy to Clipboard Toggle word wrap
    注記

    CR が存在しない場合、oc apply は新規 CR を作成し、さらに以下の警告をトリガーする可能性があります。Warning: oc apply should be used on resources created by either oc create --save-config or oc applyこの場合は、この警告を無視しても問題ありません。

  2. OAuth サーバーからトークンを取得します。

    kubeadmin ユーザーが削除されている限り、oc login コマンドは、トークンを取得できる Web ページにアクセスする方法についての情報を提供します。

    Web コンソールからこのページにアクセスするには、(?) Help Command Line Tools Copy Login Commandに移動します。

  3. 認証するトークンを渡して、クラスターにログインします。 

    $ oc login --token=<token>
    Copy to Clipboard Toggle word wrap
    注記

    このアイデンティティープロバイダーは、ユーザー名とパスワードを使用してログインすることをサポートしません。

  4. ユーザーが正常にログインされていることを確認し、ユーザー名を表示します。 

    $ oc whoami
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat