第1章 認証および認可の概要
1.1. OpenShift Container Platform での認証について
OpenShift Container Platform クラスターへのアクセスを制御するために、クラスター管理者は ユーザー認証 を設定し、承認されたユーザーのみがクラスターにアクセスできます。
OpenShift Container Platform クラスターと対話するには、まずユーザーが OpenShift Container Platform API に対して認証する必要があります。Open Shift Container Platform API へのリクエストで、OAuth アクセストークンまたは X.509 クライアント証明書を提供することで認証できます。
有効なアクセストークンまたは証明書を提示しない場合、要求は認証されておらず、HTTP401 エラーを受け取ります。
管理者は、次のタスクを通じて認証を設定できます。
- ID プロバイダーの設定: OpenShift Container Platform でサポートされている ID プロバイダーを定義し、クラスターに追加できます。
内部 OAuth サーバーの設定: OpenShift Container Platform コントロールプレーンには、設定された ID プロバイダーからユーザーの ID を判別し、アクセストークンを作成する組み込みの OAuth サーバーが含まれています。トークンの期間と非アクティブタイムアウトを設定できます。
注記ユーザーは、自分が所有する OAuth トークンを表示および管理できます。
OAuth クライアントの登録: OpenShift Container Platform には、いくつかのデフォルトの OAuth クライアントが含まれています。追加の OAuth クライアントを登録および設定できます。
注記ユーザーが OAuth トークンのリクエストを送信するときは、トークンを受信して使用するデフォルトまたはカスタムの OAuth クライアントを指定する必要があります。
- Cloud Credentials Operator を使用したクラウドプロバイダークレデンシャルの管理: クラスターコンポーネントは、クラウドプロバイダークレデンシャルを使用して、クラスター関連のタスクを実行するために必要なアクセス許可を取得します。
- システム管理者ユーザーのなりすまし: システム管理者ユーザーになりすます ことで、ユーザーにクラスター管理者権限を付与できます。
