7.9. OpenID Connect アイデンティティープロバイダーの設定

7.9.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

デフォルトでは、kubeadmin ユーザーのみがクラスターに存在します。アイデンティティープロバイダーを指定するには、アイデンティティープロバイダーを記述し、これをクラスターに追加するカスタムリソースを作成する必要があります。

注記

/、:、および % を含む OpenShift Container Platform ユーザー名はサポートされません。

7.9.2. シークレットの作成
リンクのコピー

アイデンティティープロバイダーは openshift-config namespace で OpenShift Container Platform Secret オブジェクトを使用して、クライアントシークレット、クライアント証明書およびキーをこれに組み込みます。

手順

以下のコマンドを使用して、文字列を含む Secret オブジェクトを作成します。

oc create secret generic <secret_name> --from-literal=clientSecret=<secret> -n openshift-config

$ oc create secret generic <secret_name> --from-literal=clientSecret=<secret> -n openshift-config

Copy to Clipboard

Toggle word wrap

ヒント

または、以下の YAML を適用してシークレットを作成できます。

apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: Opaque
data:
  clientSecret: <base64_encoded_client_secret>

apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: Opaque
data:
  clientSecret: <base64_encoded_client_secret>

Copy to Clipboard

Toggle word wrap

以下のコマンドを実行して、証明書ファイルなどのファイルの内容を含む Secret オブジェクトを定義できます。
```
oc create secret generic <secret_name> --from-file=<path_to_file> -n openshift-config
```
```
$ oc create secret generic <secret_name> --from-file=<path_to_file> -n openshift-config
```
Copy to Clipboard Toggle word wrap

7.9.3. 設定マップの作成
リンクのコピー

アイデンティティープロバイダーは、openshift-config namespace で OpenShift Container Platform ConfigMap オブジェクトを使用し、認証局バンドルをこれに組み込みます。これらは、主にアイデンティティープロバイダーで必要な証明書バンドルを組み込むために使用されます。

注記

この手順は、GitHub Enterprise にのみ必要です。

手順

以下のコマンドを使用して、認証局が含まれる OpenShift Container Platform ConfigMap オブジェクトを定義します。認証局は ConfigMap オブジェクトの ca.crt キーに保存する必要があります。

oc create configmap ca-config-map --from-file=ca.crt=/path/to/ca -n openshift-config

$ oc create configmap ca-config-map --from-file=ca.crt=/path/to/ca -n openshift-config

Copy to Clipboard

Toggle word wrap

ヒント

または、以下の YAML を適用して設定マップを作成できます。

apiVersion: v1
kind: ConfigMap
metadata:
  name: ca-config-map
  namespace: openshift-config
data:
  ca.crt: |
    <CA_certificate_PEM>

apiVersion: v1
kind: ConfigMap
metadata:
  name: ca-config-map
  namespace: openshift-config
data:
  ca.crt: |
    <CA_certificate_PEM>

Copy to Clipboard

Toggle word wrap

7.9.4. OpenID Connect CR のサンプル
リンクのコピー

以下のカスタムリソース (CR) は、OpenID Connect アイデンティティープロバイダーのパラメーターおよび許可される値を示します。

カスタム証明書バンドル、追加の範囲、追加の認可要求パラメーター、または userInfo URL を指定する必要がある場合、完全な OpenID Connect CR を使用します。

標準の OpenID Connect CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp 
    mappingMethod: claim 
    type: OpenID
    openID:
      clientID: ... 
      clientSecret: 
        name: idp-secret
      claims: 
        preferredUsername:
        - preferred_username
        name:
        - name
        email:
        - email
      issuer: https://www.idp-issuer.com

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp

1


    mappingMethod: claim

2


    type: OpenID
    openID:
      clientID: ...

3


      clientSecret:

4


        name: idp-secret
      claims:

5


        preferredUsername:
        - preferred_username
        name:
        - name
        email:
        - email
      issuer: https://www.idp-issuer.com

6

Copy to Clipboard

Toggle word wrap

1: このプロバイダー名はアイデンティティー要求の値に接頭辞として付加され、アイデンティティー名が作成されます。これはリダイレクト URL を作成するためにも使用されます。
2: このプロバイダーのアイデンティティーと User オブジェクト間にマッピングが確立される方法を制御します。
3: OpenID プロバイダーに登録されているクライアントのクライアント ID です。このクライアントは https://oauth-openshift.apps.<cluster-name>.<cluster-domain>/oauth2callback/<idp-provider-name> にリダイレクトすることを許可されている必要があります。
4: クライアントシークレットを含む OpenShift Container Platform Secret オブジェクトへの参照。
5: アイデンティティーとして使用する要求の一覧です。空でない最初の要求が使用されます。1 つ以上の要求が必要になります。一覧表示される要求のいずれにも値がないと、認証は失敗します。たとえば、これは、ユーザーのアイデンティティーとして、返される id_token の sub 要求の値を使用します。
6: OpenID 仕様に記述される発行者 ID。クエリーまたはフラグメントコンポーネントのない https を使用する必要があります。

完全な OpenID Connect CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp
    mappingMethod: claim
    type: OpenID
    openID:
      clientID: ...
      clientSecret:
        name: idp-secret
      ca: 
        name: ca-config-map
      extraScopes: 
      - email
      - profile
      extraAuthorizeParameters: 
        include_granted_scopes: "true"
      claims:
        preferredUsername: 
        - preferred_username
        - email
        name: 
        - nickname
        - given_name
        - name
        email: 
        - custom_email_claim
        - email
      issuer: https://www.idp-issuer.com

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp
    mappingMethod: claim
    type: OpenID
    openID:
      clientID: ...
      clientSecret:
        name: idp-secret
      ca:

1


        name: ca-config-map
      extraScopes:

2


      - email
      - profile
      extraAuthorizeParameters:

3


        include_granted_scopes: "true"
      claims:
        preferredUsername:

4


        - preferred_username
        - email
        name:

5


        - nickname
        - given_name
        - name
        email:

6


        - custom_email_claim
        - email
      issuer: https://www.idp-issuer.com

Copy to Clipboard

Toggle word wrap

1: オプション: 設定済みの URL のサーバー証明書を検証するために使用する PEM エンコードされた認証局バンドルを含む OpenShift Container Platform 設定マップへの参照。
2: 認可トークン要求時に openid の範囲のほかに要求する範囲のオプションの一覧です。
3: 認可トークン要求に追加する追加パラメーターのオプションのマップです。
4: このアイデンティティーのユーザーをプロビジョニングする際に推奨ユーザー名として使用される要求の一覧です。空でない最初の要求が使用されます。
5: 表示名として使用する要求の一覧です。空でない最初の要求が使用されます。
6: メールアドレスとして使用する要求の一覧です。空でない最初の要求が使用されます。

7.9.5. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー

クラスターのインストール後に、アイデンティティープロバイダーをそのクラスターに追加し、ユーザーの認証を実行できるようにします。

前提条件

OpenShift Container Platform クラスターを作成します。
アイデンティティープロバイダーのカスタムリソース (CR) を作成します。
管理者としてログインしている必要があります。

手順

定義された CR を適用します。
```
oc apply -f </path/to/CR>
```
```
$ oc apply -f </path/to/CR>
```
Copy to Clipboard Toggle word wrap
注記
CR が存在しない場合、oc apply は新規 CR を作成し、さらに以下の警告をトリガーする可能性があります。Warning: oc apply should be used on resources created by either oc create --save-config or oc applyこの場合は、この警告を無視しても問題ありません。
OAuth サーバーからトークンを取得します。
kubeadmin ユーザーが削除されている限り、oc login コマンドは、トークンを取得できる Web ページにアクセスする方法についての情報を提供します。
Web コンソールからこのページにアクセスするには、(?) Help Command Line Tools Copy Login Commandに移動します。
認証するトークンを渡して、クラスターにログインします。
```
oc login --token=<token>
```
```
$ oc login --token=<token>
```
Copy to Clipboard Toggle word wrap
注記
OpenID Connect アイデンティティープロバイダーが Resource Owner Password Credentials (ROPC) Grant フローをサポートする場合、ユーザー名とパスワードを使用してログインすることができます。アイデンティティープロバイダーの ROPC Grant フローを有効にする手順を実行する必要がある場合があります。
OIDC アイデンティティープロバイダーを OpenShift Container Platform で設定した後に、以下のコマンドを使用してログインできます。この場合、ユーザー名とパスワードの入力が求めるプロンプトが出されます。
$ oc login -u <identity_provider_username> --server=<api_server_url_and_port>
Copy to Clipboard Toggle word wrap
ユーザーが正常にログインされていることを確認し、ユーザー名を表示します。
```
oc whoami
```
```
$ oc whoami
```
Copy to Clipboard Toggle word wrap

7.9.6. Web コンソールを使用したアイデンティティープロバイダーの設定
リンクのコピー

CLI ではなく Web コンソールを使用してアイデンティティープロバイダー (IDP) を設定します。

前提条件

クラスター管理者として Web コンソールにログインしている必要があります。

手順

Administration Cluster Settings に移動します。
Configuration タブで、OAuth をクリックします。
Identity Providers セクションで、Add ドロップダウンメニューからアイデンティティープロバイダーを選択します。

注記

既存の IDP を上書きすることなく、Web コンソールで複数の IDP を指定することができます。

7.9.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

7.9.2. シークレットの作成
リンクのコピー

7.9.3. 設定マップの作成
リンクのコピー

7.9.4. OpenID Connect CR のサンプル
リンクのコピー

7.9.5. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー

7.9.6. Web コンソールを使用したアイデンティティープロバイダーの設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.9. OpenID Connect アイデンティティープロバイダーの設定

7.9.1. OpenShift Container Platform のアイデンティティープロバイダーについてリンクのコピーリンクがクリップボードにコピーされました!

7.9.2. シークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

7.9.3. 設定マップの作成リンクのコピーリンクがクリップボードにコピーされました!

7.9.4. OpenID Connect CR のサンプルリンクのコピーリンクがクリップボードにコピーされました!

7.9.5. アイデンティティープロバイダーのクラスターへの追加リンクのコピーリンクがクリップボードにコピーされました!

7.9.6. Web コンソールを使用したアイデンティティープロバイダーの設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.9.1. OpenShift Container Platform のアイデンティティープロバイダーについて
リンクのコピー

7.9.2. シークレットの作成
リンクのコピー

7.9.3. 設定マップの作成
リンクのコピー

7.9.4. OpenID Connect CR のサンプル
リンクのコピー

7.9.5. アイデンティティープロバイダーのクラスターへの追加
リンクのコピー

7.9.6. Web コンソールを使用したアイデンティティープロバイダーの設定
リンクのコピー