4.2. ACS コンソールへのデフォルトのアクセス
デフォルトでは、ユーザーが使用できる認証メカニズムは、Red Hat Single Sign-On (SSO) を使用した認証です。Red Hat SSO 認証プロバイダーを削除または変更することはできません。ただし、最小アクセスロールを変更してルールを追加したり、別の ID プロバイダーを追加したりすることはできます。
ACS での認証プロバイダーの動作の詳細は、認証プロバイダーについて を参照してください。
sso.redhat.com
の専用 OIDC クライアントが ACS コンソールごとに作成されます。すべての OIDC クライアントは同じ sso.redhat.com
レルムを共有します。sso.redhat.com
によって発行されたトークンからのクレームは、次のように ACS 発行のトークンにマッピングされます。
-
realm_access.roles
からgroups
に -
org_id
からrh_org_id
に -
is_org_admin
からrh_is_org_admin
に -
sub
からuserid
に
組み込みの Red Hat SSO 認証プロバイダーには、必須属性 rh_org_id
があります。この属性は、RHACS Cloud Service インスタンスを作成したユーザーのアカウントに割り当てられた組織 ID に設定されているものです。これは、ユーザーが属している組織アカウントの ID です。これは、ユーザーが所属し、所有されている "テナント" と考えることができます。同じ組織アカウントを持つユーザーのみが、Red Hat SSO 認証プロバイダーを使用して ACS コンソールにアクセスできます。
ACS コンソールへのアクセスをさらに制御するには、Red Hat SSO 認証プロバイダーを利用するのではなく、別のアイデンティティープロバイダーを設定してください。詳細は、認証プロバイダーについて を参照してください。他の認証プロバイダーをログインページの最初の認証オプションとして設定するには、その名前を辞書順で Red Hat SSO
より小さくする必要があります。
最小アクセスロールは None
に設定されます。このフィールドに別の値を割り当てると、同じ組織アカウントを持つすべてのユーザーが RHACS Cloud Service インスタンスにアクセスできるようになります。
組み込みの Red Hat SSO 認証プロバイダーで設定されるその他のルールには、次のものがあります。
-
userid
をAdmin
にマッピングするルール -
組織の管理者を
Admin
にマッピングするルール
さらにルールを追加して、同じ組織アカウントを持つ他のユーザーに ACS コンソールへのアクセスを許可できます。たとえば、email
をキーとして使用できます。