第19章 OAuth [config.openshift.io/v1]

identityProviders

array

identityProviders は、ユーザーが自分自身を識別するための方法の順序付きリストです。このリストが空の場合、ID はユーザーにプロビジョニングされません。

identityProviders[]

object

IdentityProvider は、認証情報を使用して認証するユーザーに ID を提供します

テンプレート

object

テンプレートを使用すると、ログインページなどのページをカスタマイズできます。

tokenConfig

object

tokenConfig には、認証トークンとアクセストークンのオプションが含まれています

basicAuth

object

basicAuth には、BasicAuth IdP の設定オプションが含まれています

github

object

github は、GitHub クレデンシャルを使用したユーザー認証を有効にします

gitlab

object

gitlab は、GitLab クレデンシャルを使用したユーザー認証を有効にします

google

object

google は、Google クレデンシャルを使用したユーザー認証を有効にします

htpasswd

object

htpasswd は、HTPasswd ファイルを使用したユーザー認証を有効にして認証情報を検証します

keystone

object

keystone は、keystone パスワードクレデンシャルを使用したユーザー認証を有効にします

ldap

object

ldap は、LDAP クレデンシャルを使用したユーザー認証を有効にします

mappingMethod

string

mappingMethod は、このプロバイダーからの ID がユーザーにどのようにマップされるかを決定します。デフォルトは "claim" です。

name

string

name は、このプロバイダーによって返されるアイデンティティーを修飾するために使用されます。- 一意であり、使用されている他の ID プロバイダーと共有されていないようにする必要があります。- 有効なパスセグメントである必要があります。名前は "." または ".." と等しくしたり、"/" または "%" または ":" を含むことはできません。https://godoc.org/github.com/openshift/origin/pkg/user/apis/user/validation#ValidateIdentityProviderName を参照してください。

openID

object

openID は、OpenID クレデンシャルを使用したユーザー認証を有効にします

requestHeader

object

requestHeader は、リクエストヘッダーのクレデンシャルを使用したユーザー認証を有効にします

type

string

type は、このエントリーの ID プロバイダータイプを識別します。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへのオプションの参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。キー "ca.crt" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。空の場合は、デフォルトのシステムルートが使用されます。この設定マップの namespace は openshift-config です。

tlsClientCert

object

tlsClientCert は、サーバーに接続するときに提示する PEM エンコードされた TLS クライアント証明書を含む名前によるシークレットへのオプションの参照です。キー "tls.crt" は、データを見つけるために使用されます。指定され、シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された証明書データが有効でない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

tlsClientKey

object

tlsClientKey は、tlsClientCert で参照されるクライアント証明書の PEM エンコードされた TLS 秘密鍵を含む名前によるシークレットへのオプションの参照です。キー "tls.key" は、データを見つけるために使用されます。指定され、シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された証明書データが有効でない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

url

string

url は接続するリモート URL です

name

string

name は、参照される設定マップの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへのオプションの参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。キー "ca.crt" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。空の場合は、デフォルトのシステムルートが使用されます。これは、ホスト名が空でない値に設定されている場合にのみ設定できます。この設定マップの namespace は openshift-config です。

clientID

string

clientID は oauth クライアント ID です

clientSecret

object

clientSecret は、oauth クライアントシークレットを含む名前によるシークレットへの必須の参照です。キー "clientSecret" は、データを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

hostname

string

hostname は、GitHub Enterprise のホストされたインスタンスで使用するためのオプションのドメイン ("mycompany.com" など) です。/setup/settings#hostname で設定されている GitHub Enterprise 設定値と一致する必要があります。

組織

array (string)

組織は、オプションで、ログインを許可する組織を制限します

teams

array (string)

チームは、オプションで、ログインを許可するチームを制限します。形式は <org>/<team> です。

name

string

name は、参照される設定マップの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへのオプションの参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。キー "ca.crt" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。空の場合は、デフォルトのシステムルートが使用されます。この設定マップの namespace は openshift-config です。

clientID

string

clientID は oauth クライアント ID です

clientSecret

object

clientSecret は、oauth クライアントシークレットを含む名前によるシークレットへの必須の参照です。キー "clientSecret" は、データを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

url

string

url は oauth サーバーのベース URL です

name

string

name は、参照される設定マップの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

clientID

string

clientID は oauth クライアント ID です

clientSecret

object

clientSecret は、oauth クライアントシークレットを含む名前によるシークレットへの必須の参照です。キー "clientSecret" は、データを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

hostedDomain

string

hostedDomain は、ログインを制限するオプションの Google アプリドメイン ("mycompany.com" など) です。

name

string

name は、参照されるシークレットの metadata.name です。

fileData

object

fileData は、htpasswd ファイルとして使用するデータを含む名前によるシークレットへの必須の参照です。キー "htpasswd" は、データを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された htpasswd データが有効でない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

name

string

name は、参照されるシークレットの metadata.name です。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへのオプションの参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。キー "ca.crt" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。空の場合は、デフォルトのシステムルートが使用されます。この設定マップの namespace は openshift-config です。

domainName

string

keystonev3 には domainName が必要です

tlsClientCert

object

tlsClientCert は、サーバーに接続するときに提示する PEM エンコードされた TLS クライアント証明書を含む名前によるシークレットへのオプションの参照です。キー "tls.crt" は、データを見つけるために使用されます。指定され、シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された証明書データが有効でない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

tlsClientKey

object

tlsClientKey は、tlsClientCert で参照されるクライアント証明書の PEM エンコードされた TLS 秘密鍵を含む名前によるシークレットへのオプションの参照です。キー "tls.key" は、データを見つけるために使用されます。指定され、シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された証明書データが有効でない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

url

string

url は接続するリモート URL です

name

string

name は、参照される設定マップの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

attributes

object

属性は LDAP 属性を ID にマップします

bindDN

string

bindDN は、検索フェーズ中にバインドするオプションの DN です。

bindPassword

object

bindPassword は、検索フェーズ中にバインドするパスワードを含む名前によるシークレットへのオプションの参照です。キー "bindPassword" は、データを見つけるために使用されます。指定され、シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへのオプションの参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。キー "ca.crt" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。空の場合は、デフォルトのシステムルートが使用されます。この設定マップの namespace は openshift-config です。

insecure

boolean

insecure が true の場合、接続で TLS を使用しないことを示します。警告: insecure が true に設定されている場合でも、"ldaps://" URL は常に TLS を使用して接続しようとするため、URL スキーム "ldaps://" では true に設定しないでください。true の場合、"ldap://" URL は安全でない方法で接続します。false の場合、"ldap://" URL は、https://tools.ietf.org/html/rfc2830 で指定されている StartTLS を使用して TLS 接続にアップグレードされます。

url

string

url は、使用する LDAP 検索パラメーターを指定する RFC2255URL です。URL の構文は次のとおりです。ldap://host:port/basedn?attribute?scope?filter

email

array (string)

email は、値を電子メールアドレスとして使用する必要がある属性のリストです。任意。指定しない場合、ID に電子メールは設定されません

id

array (string)

id は、値をユーザー ID として使用する必要がある属性のリストです。必須。最初の空でない属性が使用されます。少なくとも 1 つの属性が必要です。リスト表示される属性のいずれにも値がない場合、認証は失敗します。LDAP 標準 ID 属性は "dn" です

name

array (string)

表示名として使用する必要がある値を持つ属性のリスト (文字列) です。任意。指定しない場合、ID LDAP 標準表示名属性の表示名は "cn" に設定されません。

preferredUsername

array (string)

preferredUsername は、優先ユーザー名として値を使用する必要がある属性のリストです。LDAP 標準ログイン属性は "uid" です

name

string

name は、参照されるシークレットの metadata.name です。

name

string

name は、参照される設定マップの metadata.name です。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへのオプションの参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。キー "ca.crt" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。空の場合は、デフォルトのシステムルートが使用されます。この設定マップの namespace は openshift-config です。

claims

object

クレームマッピング

clientID

string

clientID は oauth クライアント ID です

clientSecret

object

clientSecret は、oauth クライアントシークレットを含む名前によるシークレットへの必須の参照です。キー "clientSecret" は、データを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、ID プロバイダーは尊重されません。このシークレットの名前空間は openshift-config です。

extraAuthorizeParameters

object (string)

extraAuthorizeParameters は、承認リクエストに追加するカスタムパラメーターです。

extraScopes

array (string)

extraScopes は、標準の "openid" スコープに加えて要求するスコープです。

issuer

string

発行者は、OpenID プロバイダーが発行者識別子としてアサートする URL です。クエリーまたはフラグメントコンポーネントのない https スキームを使用する必要があります。

name

string

name は、参照される設定マップの metadata.name です。

email

array (string)

email は、値を電子メールアドレスとして使用する必要があるクレームのリストです。任意。指定しない場合、ID に電子メールは設定されません

groups

array (string)

groups は、OIDC プロバイダーからユーザーの OpenShift にグループを同期するために使用する必要があるクレーム値のリストです。複数の要求が指定されている場合は、値が入力されている最初の要求が使用されます。

name

array (string)

name は、表示名として値を使用する必要があるクレームのリストです。任意。指定しない場合、ID の表示名は設定されません

preferredUsername

array (string)

preferredUsername は、優先ユーザー名として値を使用する必要があるクレームのリストです。指定しない場合、優先ユーザー名はサブクレームの値から決定されます

name

string

name は、参照されるシークレットの metadata.name です。

ca

object

ca は、PEM でエンコードされた CA バンドルを含む名前による設定マップへの必須の参照です。リモートサーバーによって表示される TLS 証明書を検証するためにトラストアンカーとして使用されます。具体的には、着信要求を検証してヘッダーのなりすましを防ぐことができます。キー "ca.crt" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、ID プロバイダーは尊重されません。指定された ca データが有効でない場合、ID プロバイダーは尊重されません。この設定マップの namespace は openshift-config です。

challengeURL

string

challengeURL は、認証されていない/承認されたリクエストを、WWW-Authenticate チャレンジがここにリダイレクトされることを期待する OAuth クライアントからの認証されていないリクエストにリダイレクトするための URL です。$ {url}は現在の URL に置き換えられ、クエリーパラメーターで安全のためにエスケープされます https://www.example.com/sso-login?then=${url}${query} は現在のクエリー文字列に置き換えられます https://www.example.com/auth-proxy/oauth/authorize?${query} チャレンジが true に設定されている場合に必要です。

clientCommonNames

array (string)

clientCommonNames は、一致を要求する一般名のオプションのリストです。空の場合、clientCA バンドルに対して検証されたクライアント証明書はすべて信頼できると見なされます。

emailHeaders

array (string)

emailHeaders は、メールアドレスを確認するためのヘッダーのセットです。

ヘッダー

array (string)

headers は、ID 情報を確認するためのヘッダーのセットです。

loginURL

string

loginURL は認証されていない /authorize リクエストをリダイレクトする URL です。 対話式ログインを期待する OAuth クライアントからの認証されていないリクエストはここにリダイレクトされます ${url} は現在の URL に置き換えられ、クエリーパラメーターとして安全なようにエスケープされます https://www.example.com/sso-login?then=${url} ${query} は現在のクエリー文字列に置き換えられます https://www.example.com/auth-proxy/oauth/authorize?${query}。login が true に設定されている場合は必須です。

nameHeaders

array (string)

nameHeaders は、表示名を確認するためのヘッダーのセットです。

preferredUsernameHeaders

array (string)

preferredUsernameHeaders は、優先ユーザー名を確認するためのヘッダーのセットです。

name

string

name は、参照される設定マップの metadata.name です。

error

object

error は、認証または許可フロー中にエラーページをレンダリングするために使用する go テンプレートを指定するシークレットの名前です。キー "errors.html" は、テンプレートデータを見つけるために使用されます。指定され、秘密鍵または予期される鍵が見つからない場合は、デフォルトのエラーページが使用されます。指定されたテンプレートが無効な場合は、デフォルトのエラーページが使用されます。指定しない場合、デフォルトのエラーページが使用されます。このシークレットの名前空間は openshift-config です。

login

object

login は、ログインページのレンダリングに使用する go テンプレートを指定するシークレットの名前です。キー "login.html" は、テンプレートデータを見つけるために使用されます。指定され、秘密鍵または予期される鍵が見つからない場合は、デフォルトのログインページが使用されます。指定されたテンプレートが無効な場合は、デフォルトのログインページが使用されます。指定しない場合、デフォルトのログインページが使用されます。このシークレットの名前空間は openshift-config です。

providerSelection

object

providerSelection は、プロバイダー選択ページのレンダリングに使用する go テンプレートを指定するシークレットの名前です。キー "providers.html" は、テンプレートデータを見つけるために使用されます。指定され、秘密鍵または予期される鍵が見つからない場合は、デフォルトのプロバイダー選択ページが使用されます。指定されたテンプレートが無効な場合は、デフォルトのプロバイダー選択ページが使用されます。指定されていない場合、デフォルトのプロバイダー選択ページが使用されます。このシークレットの名前空間は openshift-config です。

name

string

name は、参照されるシークレットの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

name

string

name は、参照されるシークレットの metadata.name です。

accessTokenInactivityTimeout

string

accessTokenInactivityTimeout は、任意のクライアントによって付与されたトークンのトークン非アクティブタイムアウトを定義します。この値は、トークンを連続して使用する間に発生する可能性のある最大時間を表します。トークンがこの一時ウィンドウ内で使用されない場合、トークンは無効になります。トークンがタイムアウトしたときにアクセスを回復するには、ユーザーは新しいトークンを取得する必要があります。"5m"、"1.5h"、"2h45m" などの有効な期間文字列を取ります。継続時間の最小許容値は 300 秒 (5 分) です。クライアントごとにタイムアウトが設定されている場合は、その値が優先されます。タイムアウト値が指定されておらず、クライアントが値をオーバーライドしない場合、トークンはその存続期間まで有効です。警告: この値を変更しても、既存のトークンのタイムアウトは影響を受けません (低下します)。

accessTokenInactivityTimeoutSeconds

integer

accessTokenInactivityTimeoutSeconds- 非推奨: このフィールドを設定しても効果はありません。

accessTokenMaxAgeSeconds

integer

accessTokenMaxAgeSeconds は、アクセストークンの最大有効期間を定義します