Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.6. 高度な認証フィールドリファレンス

次の表は、OpenShift Container Platform のテクノロジープレビューとして利用可能な高度な認証設定フィールドについて説明しています。

Expand
表9.1 高度な oidcProviders 設定フィールド
パラメーター説明

発行者.discoveryURL

オプションのパラメーター。非標準の場所からアイデンティティープロバイダーのメタデータを取得するための、カスタム OIDC 検出エンドポイント URL。

要件

  • 有効な HTTPS URL である必要があります
  • issuer.issuerURL とは異なる必要があります。

指定されていない場合、OpenShift Container Platform は標準の OIDC フォーマットを使用して検出 URL を構築します: {issuerURL}/.well-known/openid-configuration

例: 

issuer:
  issuerURL: https://idp.example.com
  discoveryURL: https://custom-discovery.example.com/.well-known/openid-configuration

claimValidationRules

オプションのパラメーター。共通式言語 (CEL) 式を使用した、JWT トークンクレームの検証ルールの配列。認証が成功するためには、すべてのルールが と評価される必要があります (AND 演算)。

各ルールには以下が含まれます。

  • タイプ:CEL ベースの検証の場合は CEL に設定します
  • cel: (true と評価される必要がある) と メッセージ (エラーテキスト) を含むオブジェクト

CEL 式は、クレーム 変数 (例: claims.sub) を使用してクレームにアクセスします。

例: 

claimValidationRules:
- type: CEL
  cel:
    expression: 'claims.exp - claims.nbf <= 86400'
    message: 'Total token lifetime must not exceed 24 hours'
- type: CEL
  cel:
    expression: 'has(claims.email) && claims.email.contains("@example.com")'
    message: 'Email claim must be present and from example.com domain'

claimValidationRules[].type

必須。検証ルールの種類。CEL ベースの検証を行う場合は、CEL に設定してください。セル フィールドが必要です。

claimValidationRules[].cel

タイプCEL の場合は必須です。評価対象の (CEL 式) と メッセージ (エラーテキスト) が含まれています。

claimValidationRules[].cel.expression

必須。トークンの主張を検証する CEL 式。認証を成功させるには、評価結果が である必要があります。

制約:1-1024 文字、ブール値に評価される必要があります。

クレーム 変数を使用してクレームにアクセスします: claims.subclaims.foo.bar (ネスト)、has (claims.email) (存在チェック)。

注記

CEL 式で メール アドレスのクレームを使用する場合は、メールアドレスがアイデンティティープロバイダーによって検証済みであることを確認するために、email_verified クレームも検証する必要があります。たとえば、claims.email_verified && claims.email.endsWith ("@example.com")

claimValidationRules[].cel.message

必須。検証に失敗した際に表示されるエラーメッセージ。文字数制限:1-256 文字。

ユーザー検証ルール

オプションのパラメーター。CEL 式を使用して、ユーザーオブジェクトの検証ルールを配列します。認証が成功するためには、すべてのルールが と評価される必要があります (AND 演算)。

各ルールには、 ( と評価される必要がある) と メッセージ (エラーテキスト) があります。

CEL 式は、user 変数を使用してユーザーオブジェクトにアクセスします: user.username (文字列)、user.groups (配列)、user.uid (文字列)、user.extra (マップ)。

例: 

userValidationRules:
- expression: "!user.username.startsWith('system:')"
  message: 'Username cannot use reserved system: prefix'
- expression: "!user.groups.exists(g, g.startsWith('system:'))"
  message: 'Groups cannot use reserved system: prefix'

userValidationRules[].expression

必須。ユーザーオブジェクトを検証する CEL 式。認証を成功させるには、評価結果が である必要があります。

制約:1-1024 文字、ブール値に評価される必要があります。

ユーザーフィールドにアクセスします: user.username.startsWith ('system:')user.groups.exists (g、g == "admin")user.extra["example.com/role"]

userValidationRules[].message

必須。検証に失敗した際に表示されるエラーメッセージ。空欄にはできません

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る