4.5.3. Argo CD OIDC の設定

手順

1. 生成したクライアントシークレットを保存します。

   1. base64 でクライアントシークレットをエンコードします。

      $ echo -n '83083958-8ec6-47b0-a411-a8c55381fbd2' | base64

      Copy to Clipboard

   2. シークレットを編集し、base64 の値を oidc.keycloak.clientSecret キーに追加します。

      $ oc edit secret argocd-secret -n <namespace>

      Copy to Clipboard

      シークレットの YAML サンプル

      apiVersion: v1
      kind: Secret
      metadata:
        name: argocd-secret
      data:
        oidc.keycloak.clientSecret: ODMwODM5NTgtOGVjNi00N2IwLWE0MTEtYThjNTUzODFmYmQy

      Copy to Clipboard

2. argocd カスタムリソースを編集し、OIDC 設定を追加して Keycloak 認証を有効にします。

   $ oc edit argocd -n <your_namespace>

   Copy to Clipboard

   argocd カスタムリソースの例

   apiVersion: argoproj.io/v1alpha1
   kind: ArgoCD
   metadata:
     creationTimestamp: null
     name: argocd
     namespace: argocd
   spec:
     resourceExclusions: |
       - apiGroups:
         - tekton.dev
         clusters:
         - '*'
         kinds:
         - TaskRun
         - PipelineRun
     oidcConfig: |
       name: OpenShift Single Sign-On
       issuer: https://keycloak.example.com/auth/realms/myrealm 

   1

   
       clientID: argocd 

   2

   
       clientSecret: $oidc.keycloak.clientSecret 

   3

   
       requestedScopes: ["openid", "profile", "email", "groups"] 

   4

   
     server:
       route:
         enabled: true

   Copy to Clipboard

   1

   issuer は正しいレルム名 (この例では myrealm) で終了する必要があります。

   2

   clientId は、Keycloak アカウントに設定したクライアント ID です。

   3

   clientSecret は、argocd-secret シークレットで作成した正しいキーを参照します。

   4

   requestedScopes には、グループ要求が Default スコープに追加されていない場合はこれが含まれます。