4.2. ACS コンソールへのデフォルトのアクセス
デフォルトでは、ユーザーが使用できる認証メカニズムは、Red Hat Single Sign-On (SSO) を使用した認証です。Red Hat SSO 認証プロバイダーを削除または変更することはできません。ただし、最小アクセスロールを変更してルールを追加したり、別の ID プロバイダーを追加したりすることはできます。
ACS での認証プロバイダーの動作の詳細は、認証プロバイダーについて を参照してください。
sso.redhat.com の専用 OIDC クライアントが ACS コンソールごとに作成されます。すべての OIDC クライアントは同じ sso.redhat.com レルムを共有します。sso.redhat.com によって発行されたトークンからのクレームは、次のように ACS 発行のトークンにマッピングされます。
-
realm_access.rolesからgroupsに -
org_idからrh_org_idに -
is_org_adminからrh_is_org_adminに -
subからuseridに
組み込みの Red Hat SSO 認証プロバイダーには、必須属性 rh_org_id があります。この属性は、RHACS Cloud Service インスタンスを作成したユーザーのアカウントに割り当てられた組織 ID に設定されているものです。これは、ユーザーが属している組織アカウントの ID です。これは、ユーザーが所属し、所有されている "テナント" と考えることができます。同じ組織アカウントを持つユーザーのみが、Red Hat SSO 認証プロバイダーを使用して ACS コンソールにアクセスできます。
ACS コンソールへのアクセスをさらに制御するには、Red Hat SSO 認証プロバイダーを利用するのではなく、別のアイデンティティープロバイダーを設定してください。詳細は、認証プロバイダーについて を参照してください。他の認証プロバイダーをログインページの最初の認証オプションとして設定するには、その名前を辞書順で Red Hat SSO より小さくする必要があります。
最小アクセスロールは None に設定されます。このフィールドに別の値を割り当てると、同じ組織アカウントを持つすべてのユーザーが RHACS Cloud Service インスタンスにアクセスできるようになります。
組み込みの Red Hat SSO 認証プロバイダーで設定されるその他のルールには、次のものがあります。
-
useridをAdminにマッピングするルール -
組織の管理者を
Adminにマッピングするルール
さらにルールを追加して、同じ組織アカウントを持つ他のユーザーに ACS コンソールへのアクセスを許可できます。たとえば、email をキーとして使用できます。
