Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

19.3. Microsoft Entra ID フェデレーションの設定

RHACS インテグレーションでは、マネージドアイデンティティーまたはワークロードアイデンティティーを使用して Microsoft Azure に対して認証できます。Microsoft Azure インテグレーションでマネージドアイデンティティーまたはワークロードアイデンティティーを使用して認証を有効にする場合は、新しい Microsoft Azure Container Registry (ACR) インテグレーションの作成時に Use workload identity チェックボックスをオンにします。

Azure マネージドアイデンティティーの詳細は、Azure リソースのマネージドアイデンティティーとは (Microsoft Azure ドキュメント) を参照してください。

Azure ワークロードアイデンティティーの詳細は、Workload identity federation (Microsoft Azure ドキュメント) を参照してください。

重要

ワークロードアイデンティティーを通じて RHACS Pod に関連付けられたアイデンティティーには、インテグレーションのための IAM 権限が必要です。たとえば、Microsoft ACR と統合するためのワークロードアイデンティティーを設定するには、レジストリーを含むスコープに Reader ロールを割り当てます。

Microsoft Azure IAM ロールの詳細は、Azure RBAC ドキュメント (Microsoft Azure ドキュメント) を参照してください。

19.3.1. Microsoft Azure Kubernetes Service の設定

Microsoft Azure Kubernetes Service (AKS) で Red Hat Advanced Cluster Security for Kubernetes (RHACS) を実行すると、Microsoft Entra ID マネージドアイデンティティーを使用して有効期間の短いトークンを設定できます。

前提条件

  • Microsoft Azure 内のクラスターおよびインテグレーションリソースにアクセスできる。

手順

  1. 外部 IdP と、Microsoft Entra ID 内のユーザーが割り当てたマネージドアイデンティティーまたはアプリケーションとの間に信頼関係を作成します。

    詳細は、Workload Identity Federation (Microsoft Azure ドキュメント) を参照してください。

  2. 次のコマンドを実行して、RHACS サービスアカウントにアノテーションを付けます。 

    $ oc annotate serviceaccount \1
    central \2
    --namespace stackrox \
    azure.workload.identity/client-id=<CLIENT_ID> 3
    1
    Kubernetes を使用する場合は、oc の代わりに kubectl を入力します。
    2
    スキャン委譲を設定する場合は、central の代わりに sensor を使用します。
    3
    関連付けられたアイデンティティーのクライアント ID を入力します。

    出力例

    serviceaccount/central annotated

19.3.2. OpenShift Container Platform の設定

OpenShift Container Platform 上で Red Hat Advanced Cluster Security for Kubernetes (RHACS) を実行すると、Microsoft Entra ID マネージドアイデンティティーを使用して有効期間の短いトークンを設定できます。

前提条件

  • OpenShift Container Platform サービスアカウント署名者キーを含むパブリックな OpenID Connect (OIDC) 設定バケットがある。

    詳細は、OpenShift Container Platform ドキュメントの コンポーネントの短期認証情報を使用した手動モード を参照してください。

  • Microsoft Entra ID ユーザー割り当てマネージドアイデンティティーがある。
  • ロール割り当て権限を持つ Microsoft Azure サブスクリプションにアクセスできます。

手順

  • フェデレーション対応アイデンティティーの認証情報をユーザーが割り当てたマネージドアイデンティティーに追加するには、次の例のようにコマンドを実行します。 

    $ az identity federated-credential create \
    --name "${FEDERATED_CREDENTIAL_NAME}" \
    --identity-name "${MANAGED_IDENTITY_NAME}" \1
    --resource-group "${RESOURCE_GROUP}" \
    --issuer "${OIDC_ISSUER_URL}" \2
    --subject system:serviceaccount:stackrox:central \ 3
    --audience openshift
    1
    マネージドアイデンティティーは、フェデレーションに必要なすべての権限を持っている必要があります。
    2
    発行者は、OpenShift Container Platform クラスターのサービスアカウントトークン発行者と一致する必要があります。
    3
    スキャン委譲を設定する場合は、サブジェクトを system:serviceaccount:stackrox:sensor に設定します。

    Microsoft Entra ID マネージドアイデンティティーを使用して有効期間の短いトークンを設定する方法の詳細は、Configure a user-assigned managed identity to trust an external identity provider (Microsoft Azure ドキュメント) を参照してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.