第15章 ユーザーアクセスの管理

手順

1. Okta ポータルで、メニューバーから Applications を選択します。
2. Add Application をクリックし、Create New App を選択します。
3. Create a New Application Integration ダイアログボックスで、プラットフォームを Web のままにし、ユーザーにサインインするプロトコルに SAML 2.0 を選択します。
4. Create をクリックします。
5. General Settings ページで、App name フィールドにアプリの名前を入力します。
6. Next をクリックします。

7. SAML Settings ページで、次のフィールドに値を設定します。

   1. シングルサインオン URL

      • https://<RHACS_portal_hostname>/sso/providers/saml/acs を指定します。
      • Use this for Recipient URL and Destination URL オプションをオンのままにします。
      • RHACS ポータルにさまざまな URL でアクセスできる場合は、Allow this app to request other SSO URLs オプションをオンにして、指定した形式を使用して代替 URL を追加することでそれらを追加できます。

   2. オーディエンス URI (SP エンティティー ID)

      • 値を RHACS または任意の別の値に設定します。
      • 選択した値を覚えておいてください。Red Hat Advanced Cluster Security for Kubernetes を設定するときに、この値が必要になります。

   3. 属性ステートメント

      • 少なくとも 1 つの属性ステートメントを追加する必要があります。

      • Red Hat は、email 属性の使用を推奨しています。

        • 名前: 電子メール
        • フォーマット: 指定なし
        • 値: user.email
8. 続行する前に、少なくとも 1 つの Attribute Statement が設定されていることを確認してください。
9. Next をクリックします。
10. Feedback ページで、該当するオプションを選択します。
11. 適切な アプリの種類 を選択します。
12. Finish をクリックします。

手順

1. RHACS ポータルで、Platform Configuration Access Control に移動します。
2. Create auth provider をクリックし、ドロップダウンリストから SAML 2.0 を選択します。
3. Name フィールドに、この認証プロバイダーを識別する名前を入力します。たとえば、Okta や Google などです。統合名は、ユーザーが適切なサインインオプションを選択できるように、ログインページに表示されます。
4. ServiceProvider issuer フィールドに、Okta で Audience URI または SP Entity ID として使用している値、または他のプロバイダーで同様の値を入力します。

5. Configuration のタイプを選択します。

   • Option 1: Dynamic Configuration: このオプションを選択した場合は、IdP Metadata URL を入力するか、ID プロバイダーコンソールから利用可能な Identity Provider metadata の URL を入力します。設定値は URL から取得します。

   • Option 2: Static Configuration: Okta コンソールの View Setup Instructions リンクから必要な静的フィールドをコピーするか、他のプロバイダーの場合は同様の場所にコピーします。

     • IdP 発行者
     • IdP SSO URL
     • 名前 ID 形式
     • IdP 証明書 (PEM)

6. SAML を使用して RHACS にアクセスするユーザーに 最小アクセスロール を割り当てます。

   ヒント

   セットアップの完了時に、最小アクセスルール を 管理者 に設定します。後で、Access Control ページに戻って、ID プロバイダーのユーザーメタデータに基づいて、より調整されたアクセスルールを設定できます。

7. Save をクリックします。

検証

1. RHACS ポータルで、Platform Configuration Access Control に移動します。
2. Auth Providers タブを選択します。
3. 設定を確認する認証プロバイダーをクリックします。
4. Auth Provider セクションのヘッダーから Test login を選択します。新しいブラウザータブで、Test login ページが開きます。

5. 認証情報を使用してログインします。

   • 正常にログインした場合、RHACS は、システムへのログインに使用した資格情報に対して ID プロバイダーが送信した User ID と User Attributes を表示します。
   • ログイン試行が失敗した場合、RHACS は ID プロバイダーの応答を処理できなかった理由を説明するメッセージを表示します。

6. Test login ブラウザータブを閉じます。

   注記

   応答が認証の成功を示している場合でも、ID プロバイダーからのユーザーメタデータに基づいて追加のアクセスルールを作成しないといけない場合があります。