2.6. ACS コンソールへのデフォルトのアクセス

デフォルトでは、ユーザーが使用できる認証メカニズムは、Red Hat Single Sign-On (SSO) を使用した認証です。Red Hat SSO 認証プロバイダーを削除または変更することはできません。ただし、最小アクセスロールを変更してルールを追加したり、別の ID プロバイダーを追加したりすることはできます。

sso.redhat.com の専用 OIDC クライアントが ACS コンソールごとに作成されます。すべての OIDC クライアントは同じ sso.redhat.com レルムを共有します。sso.redhat.com によって発行されたトークンからのクレームは、次のように ACS 発行のトークンにマッピングされます。

組み込みの Red Hat SSO 認証プロバイダーには、ACSCS インスタンスを作成したユーザーのアカウントに割り当てられた組織 ID に設定された必須属性 rh_org_id があります。これは、ユーザーが属している組織アカウントの ID です。これは、ユーザーが所属し、所有されているテナントと考えることができます。同じ組織アカウントを持つユーザーのみが、Red Hat SSO 認証プロバイダーを使用して ACS コンソールにアクセスできます。

最小アクセスロールは None に設定されます。このフィールドに別の値を割り当てると、同じ組織アカウントを持つすべてのユーザーが ACSCS インスタンスにアクセスできるようになります。

組み込みの Red Hat SSO 認証プロバイダーで設定されるその他のルールには次のものがあります。

さらにルールを追加して、同じ組織アカウントを持つ他のユーザーに ACS コンソールへのアクセスを許可できます。たとえば、email をキーとして使用します。