1.2. OpenShift Container Platform での認証について
OpenShift Container Platform クラスターへのアクセスを制御するために、クラスター管理者は ユーザー認証 を設定し、承認されたユーザーのみがクラスターにアクセスできます。
OpenShift Container Platform クラスターと対話するには、まずユーザーが OpenShift Container Platform API に対して認証する必要があります。OpenShift Container Platform API へのリクエストで、OAuth アクセストークンまたは X.509 クライアント証明書 を提供することで認証できます。
有効なアクセストークンまたは証明書を提示しない場合、要求は認証されておらず、HTTP401 エラーを受け取ります。
管理者は、次のタスクを通じて認証を設定できます。
- ID プロバイダーの設定: OpenShift Container Platform でサポートされている ID プロバイダーを定義し、クラスターに追加できます。
内部 OAuth サーバーの設定: OpenShift Container Platform コントロールプレーンには、設定された ID プロバイダーからユーザーの ID を判別し、アクセストークンを作成する組み込みの OAuth サーバーが含まれています。トークンの期間と非アクティブタイムアウトを設定し、内部 OAuth サーバーの URL をカスタマイズできます。
注記ユーザーは、自分が所有する OAuth トークンを表示および管理できます。
OAuth クライアントの登録: OpenShift Container Platform には、いくつかのデフォルトの OAuth クライアントが含まれています。追加の OAuth クライアントを登録および設定できます。
注記ユーザーが OAuth トークンのリクエストを送信するときは、トークンを受信して使用するデフォルトまたはカスタムの OAuth クライアントを指定する必要があります。
- Cloud Credentials Operator を使用したクラウドプロバイダークレデンシャルの管理: クラスターコンポーネントは、クラウドプロバイダークレデンシャルを使用して、クラスター関連のタスクを実行するために必要なアクセス許可を取得します。
- システム管理者ユーザーのなりすまし: システム管理者ユーザーになりすます ことで、ユーザーにクラスター管理者権限を付与できます。