Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

Ansible Automation Platform の Central Authentication のインストールおよび設定

Red Hat Ansible Automation Platform 2.4

Ansible Automation Platform の Central Authentication 機能の有効化

Red Hat Customer Content Services

概要

このガイドでは、プラットフォーム管理者に、Ansible Automation Platform で集中認証を有効にして設定するために必要な情報と手順を提供します。

はじめに

Ansible Automation Platform Central Authentication はサードパーティーのアイデンティティープロバイダー (idP) ソリューションで、Ansible Automation Platform 全体で使用できる、シンプルなシングルサインオンソリューションを実現します。プラットフォーム管理者は、Central Authentication を使用して接続性と認証をテストし、新規ユーザーをオンボードしてグループに割り当てて設定し、ユーザーパーミッションを管理できます。Central Authentication は、OpenID Connect ベースのサポートおよび LDAP サポートだけでなく、お客様の使用状況をブートストラップ化するのに使用できるサポート対象の REST API も提供します。

Red Hat ドキュメントへのフィードバック (英語のみ)

このドキュメントの改善に関するご意見がある場合や、エラーを発見した場合は、https://access.redhat.com から Technical Support チームに連絡してください。

第1章 Automation Hub 向けの Ansible Automation Platform Central Authentication

Automation Hub の Ansible Automation Platform Central Authentication を有効にするには、まず Red Hat Ansible Automation Platform インストーラーをダウンロードし、本書で詳しく記載されている必須手順に従って進めます。

重要

本書のインストーラーは、基本的なスタンドアロンデプロイメント向けに Central Authentication をインストールします。スタンドアロンモードは Central Authentication Server インスタンスのみを実行するため、クラスター化されたデプロイメントでは利用できません。スタンドアロンモードは、中央認証の機能をテストドライブおよび試行するために便利ですが、単一障害点しかないため、実稼働環境でスタンドアロンモードを使用することは推奨しません。

別のデプロイメントモードで Central Authentication をインストールするには、本書 でデプロイメントオプションを確認してください。

1.1. システム要件

Ansible Automation Platform Central Authentication のインストールおよび実行には、最小要件がいくつかあります。

  • Java を実行するサポート対象の RHEL8 ベースのサーバー
  • Java 8 JDK
  • zip または gzip および tar
  • 512 MB 以上のメモリー
  • 1GB 以上のディスク領域
  • クラスターで Central Authentication を実行する場合は、PostgreSQL、MySQL、Oracle などの共有外部データベース。詳細は、 Red Hat Single Sign-On サーバーインストールおよび設定ガイド のデータベースの設定 セクションを参照してください。
  • クラスターで実行する必要がある場合は、マシンでのネットワークマルチキャストサポート。Central Authentication はマルチキャストなしでクラスター化できますが、これには設定変更が複数必要になります。詳細は、 Red Hat Single Sign-On サーバーインストールおよび設定ガイド のクラスタリングセクション を参照してください。
  • Linux では、/dev/random の使用がセキュリティーポリシーで義務付けられていない限り、利用可能なエントロピーの不足による Central Authentication のハングを防ぐために、ランダムデータのソースとして /dev/urandom を使用することが推奨されます。これを行うには、Oracle JDK 8 および OpenJDK 8 で、システムの起動時に java.security.egd システムプロパティーを file:/dev/urandom に設定します。

1.2. Automation Hub で使用する Ansible Automation Platform Central Authentication のインストール

Ansible Automation Platform Central Authentication のインストールは、Red Hat Ansible Automation Platform インストーラーに含まれています。以下の手順を使用して Ansible Automation Platform をインストールしてから、インベントリーファイルに必要なパラメーターを設定して、Ansible Automation Platform と Central Authentication の両方を正常にインストールします。

1.2.1. Red Hat Ansible Automation Platform インストーラーの選択および取得

Red Hat Enterprise Linux 環境のインターネット接続に基づいて、必要な Ansible Automation Platform インストーラーを選択します。以下のシナリオを確認し、ニーズを満たす Red Hat Ansible Automation Platform インストーラーを決定してください。

注記

Red Hat カスタマーポータルで Red Hat Ansible Automation Platform インストーラーのダウンロードにアクセスするには、有効な Red Hat カスタマーアカウントが必要です。

インターネットアクセスを使用したインストール

Red Hat Enterprise Linux 環境がインターネットに接続している場合は、Ansible Automation Platform インストーラーを選択します。インターネットアクセスを使用してインストールすると、必要な最新のリポジトリー、パッケージ、および依存関係を取得します。Ansible Automation Platform インストーラーをセットアップするには、次のいずれかの方法を選択します。

tarball インストール

  1. Red Hat Ansible Automation Platform のダウンロード ページに移動します。
  2. Ansible Automation Platform <latest-version> SetupDownload Now をクリックします。

  3. ファイルをデプロイメントします。 

    $ tar xvzf ansible-automation-platform-setup-<latest-version>.tar.gz

RPM インストール

  1. Ansible Automation Platform インストーラーパッケージをインストールします。

    v.2.4 for RHEL 8 for x86_64 

    $ sudo dnf install --enablerepo=ansible-automation-platform-2.4-for-rhel-8-x86_64-rpms ansible-automation-platform-installer

    v.2.4 for RHEL 9 for x86-64 

    $ sudo dnf install --enablerepo=ansible-automation-platform-2.4-for-rhel-9-x86_64-rpms ansible-automation-platform-installer
注記

dnf install は、リポジトリーがデフォルトで無効になっているため、リポジトリーを有効にします。

RPM インストーラーを使用すると、ファイルは /opt/ansible-automation-platform/installer ディレクトリーに置かれます。

インターネットアクセスなしでのインストール

インターネットにアクセスできない場合や、オンラインリポジトリーから個別のコンポーネントおよび依存関係をインストールしたくない場合は、Red Hat Ansible Automation Platform の Bundle インストーラーを使用します。Red Hat Enterprise Linux リポジトリーへのアクセスは依然として必要です。その他の依存関係はすべて tar アーカイブに含まれます。

  1. Red Hat Ansible Automation Platform のダウンロード ページに移動します。
  2. Ansible Automation Platform <latest-version> Setup BundleDownload Now をクリックします。

  3. ファイルを展開します。 

    $ tar xvzf ansible-automation-platform-setup-bundle-<latest-version>.tar.gz

1.2.2. Red Hat Ansible Automation Platform インストーラーの設定

インストーラーを実行する前に、インストーラーパッケージにあるインベントリーファイルを編集して、Automation Hub および Ansible Automation Platform 認証のインストールを設定します。

注記

[automationhub] ホストの到達可能な IP アドレスを指定して、ユーザーが別のノードから Private Automation Hub のコンテンツを同期して、新しいイメージをコンテナーレジストリーにプッシュできるようにします。

  1. インストーラーのディレクトリーに移動します。

    1. オンラインインストーラー: 

      $ cd ansible-automation-platform-setup-<latest-version>

    2. バンドルのインストーラー: 

      $ cd ansible-automation-platform-setup-bundle-<latest-version>
  2. テキストエディターで inventory ファイルを開きます。

  3. [automationhub] 配下にあるインベントリーファイルパラメーターを編集して、Automation Hub ホストのインストールを指定します。

    1. Automation Hub の場所の IP アドレスまたは FQDN を使用して、[automationhub] 配下にグループホスト情報を追加します。
    2. インストール仕様に基づいて、automationhub_admin_passwordautomationhub_pg_password、および追加のパラメーターのパスワードを入力します。
  4. sso_keystore_password フィールドにパスワードを入力します。

  5. [SSO] のインベントリーファイルパラメーターを編集して、Central Authentication のインストール先のホストを指定します。

    1. sso_console_admin_password フィールドにパスワードを入力し、インストール仕様に基づいて追加パラメーターを入力します。

1.2.3. Red Hat Ansible Automation Platform インストーラーの実行

インベントリーファイルが更新されたら、インストーラーパッケージにある setup.sh Playbook を使用してインストーラーを実行します。

  1. setup.sh Playbook を実行します。 

    $ ./setup.sh

1.2.4. Central Authentication の管理者ユーザーとしてログインします。

Red Hat Ansible Automation Platform がインストールされたら、inventory ファイルに指定した admin 認証情報を使用して、管理ユーザーとしてログインして Central Authentication Server にログインします。

  1. Ansible Automation Platform Central Authentication インスタンスに移動します。
  2. インベントリーファイルの sso_console_admin_username および sso_console_admin_password fields に指定した admin 認証情報を使用して、ログインします。

Ansible Automation Platform Central Authentication が正常にインストールされており、管理者ユーザーでログインしている場合は、以下の手順に従ってユーザーストレージプロバイダー (LDAP など) を追加して続行できます。

第2章 Ansible Automation Platform Central Authentication へのユーザーストレージプロバイダー (LDAP/Kerberos) の追加

Ansible Automation Platform Central Authentication には、LDAP/AD プロバイダーが組み込まれています。LDAP プロバイダーを Central Authentication に追加して、LDAP データベースからユーザー属性をインポートできます。

前提条件

  • SSO admin ユーザーとしてログインしている。

手順

  1. Ansible Automation Platform Central Authentication に SSO 管理ユーザーとしてログインします。
  2. ナビゲーションパネルから、Configure sectionUser Federation を選択します。
注記

RH-SSO で LDAP ユーザーフェデレーションを使用する場合、グループマッパーをクライアント設定 ansible-automation-platform に追加して、アイデンティティープロバイダー (IDP) グループを SAML 認証に公開する必要があります。SAML アサーションマッパーの詳細は、OIDC トークンおよび SAML アサーションマッピング を参照してください。

  1. Add provider リストから LDAP プロバイダーを選択し、LDAP 設定ページに進みます。

以下の表には、LDAP 設定で利用可能なオプションをまとめています。

設定オプション

説明

ストレージモード

ユーザーを Central Authentication ユーザーデータベースにインポートする場合は On に設定します。詳細は、ストレージモード を参照してください。

モードの編集

管理者がユーザーメタデータで実行できる変更の種類を決定します。詳細は、編集モード を参照してください。

コンソール表示名

このプロバイダーが管理コンソールで参照される場合に使用される名前

Priority

ユーザーを検索する、またはユーザーを追加する際のこのプロバイダーの優先度

登録の同期

管理コンソールで Ansible Automation Platform Central Authentication で作成した新規ユーザー、または登録ページを LDAP に追加する必要がある場合に有効にします。

Kerberos 認証を許可

LDAP からプロビジョニングされたユーザーデータを使用して、レルムで Kerberos/SPNEGO 認証を有効にします。詳細は、Kerberos を参照してください。

第3章 Automation Hub 管理者権限の割り当て

ハブの管理者ユーザーには、ユーザーのパーミッションとグループの管理用に、hubadmin のロールを割り当てる必要があります。Ansible Automation Platform Central Authentication クライアントを使用して、hubadmin のロールをユーザーに割り当てることができます。

前提条件

  • ユーザーストレージプロバイダー (LDAP など) が Central Authentication に追加されている。

手順

  1. SSO クライアントで ansible-automation-platform レルムに移動します。
  2. ナビゲーションパネルから、User AccessUsers を選択します。
  3. ID をクリックして、リストからユーザーを選択します。
  4. Role Mappings タブをクリックします。
  5. Client Roles リストから automation-hub を選択します。
  6. Available Roles フィールドから hubadmin をクリックし、Add selected > をクリックします。

これで、ユーザーは hubadmin に設定されました。ステップ 3-6 を繰り返して、hubadmin ロールを割り当てます。

第4章 Ansible Automation Platform Central Authentication へのアイデンティティーブローカーの追加

Ansible Automation Platform Central Authentication は、ソーシャルプロバイダーとプロトコルベースのプロバイダーの両方をサポートします。アイデンティティーブローカーを Central Authentication に追加してレルムのソーシャル認証を有効化でき、ユーザーは Google、Facebook、GitHub などの既存のソーシャルネットワークアカウントを使用してログインできます。

注記

サポート対象のソーシャルネットワークのリストと、そのネットワークの有効化の詳細は、本セクション を参照してください。

プロトコルベースのプロバイダーは、ユーザーの認証および承認に特定のプロトコルに依存するものです。これにより、特定のプロトコルに準拠するアイデンティティープロバイダーに接続できます。Ansible Automation Platform Central Authentication は、SAML v2.0 プロトコルおよび OpenID Connect v1.0 プロトコルをサポートします。

手順

  1. Ansible Automation Platform Central Authentication に管理ユーザーとしてログインします。
  2. ナビゲーションバーの Configure セクションで、Identity Providers をクリックします。
  3. Add provider リストから、アイデンティティープロバイダーを選択し、アイデンティティープロバイダー設定ページに進みます。

以下の表は、アイデンティティープロバイダー設定で使用できるオプションのリストです。

表4.1 Identity Broker 設定オプション

設定オプション

説明

エイリアス

エイリアスはアイデンティティープロバイダーの一意の ID です。これはアイデンティティープロバイダーを内部で参照するために使用されます。OpenID Connect などのプロトコルには、アイデンティティープロバイダーと通信するためにリダイレクト URI またはコールバック URL が必要です。この場合、エイリアスはリダイレクト URL の構築に使用されます。

Enabled

プロバイダーのオン/オフを切り替えます。

Hide on Login Page

有効にすると、このプロバイダーは、ログインページにログインオプションとして表示されません。クライアントは、ログインの要求に使用する URL の kc_idp_hint パラメーターを使用して、このプロバイダーの使用を引き続き要求できます。

Account Linking Only

これが有効な場合は、このプロバイダーを使用したユーザーのログインはできず、ログインページのオプションとしては表示されません。既存のアカウントをこのプロバイダーにリンクできます。

Store Tokens

アイデンティティープロバイダーから受け取ったトークンを保存するかどうか。

保存されたトークンの読み取り可能

ユーザーが保存されたアイデンティティープロバイダートークンを取得できるかどうか。これは、broker クライアントレベルのロール read token にも適用されます。

Trust Email

アイデンティティープロバイダーが提供するメールアドレスが信頼されているかどうか。レルムにメール検証が必要な場合、この IDP からログインするユーザーはメールの検証プロセスを行う必要はありません。

GUI Order

ログインページに、利用可能な IDP がどのように表示されているかを並べ替える注文番号。

First Login Flow

初めてこの IDP を使用して Central Authentication にログインするユーザーに対してトリガーされる認証フローを選択します。

Post Login Flow

ユーザーが外部アイデンティティープロバイダーでのログインを終了するとトリガーされる認証フローを選択します。

4.1. Ansible Automation Platform Central Authentication を使用したグループパーミッションの管理

特定のパーミッションをロールにグループ化し、それらのロールをグループに割り当てることで、Ansible Automation Platform でユーザーアクセスを管理できます。Ansible Automation Platform に初めてログインすると、UsersGroups、および Roles が Automation Hub のユーザーアクセスページに表示され、各グループにユーザーアクセスとロールを割り当てることができます。

Automation Hub には、発生する可能性のあるユースケースと互換性のある管理ロールのセットが含まれています。独自の管理ロールのセットを作成するか、User Access ページの Roles セクションにある事前定義済みロールを使用できます。

4.1.1. パーミッションのロールへのグループ化

システム内の機能への特定のユーザーアクセスを持つロールにパーミッションをグループ化できます。

前提条件

  • hubadmin ユーザーとしてログインしている。

手順

  1. Private Automation Hub にログインします。
  2. User Access ドロップダウンメニューに移動します。
  3. Roles をクリックします。
  4. Add roles をクリックします。
  5. Name フィールドにロール名を入力します。
  6. Description フィールドにロールの説明を入力します。
  7. Permissions タイプの横にあるドロップダウンメニューをクリックし、そのロールに適切なパーミッションを選択します。
  8. Save をクリックします。

特定のパーミッションで新しいロールを作成している。これで、このロールをグループに割り当てることができます。

4.1.1.1. グループへのロールの割り当て

Groups メニューと Namespaces メニューの両方から、グループにロールを割り当て、ユーザーがシステムの特定の機能にアクセスできるようにします。Groups メニューからグループに割り当てられたロールにはグローバルスコープがあります。たとえば、ユーザーに namespace 所有者ロールが割り当てられている場合、そのパーミッションはすべての namespace に適用されます。ただし、Namespaces メニューからグループに割り当てられたロールは、オブジェクトの特定のインスタンスにのみユーザーにアクセスを付与します。

前提条件

  • hubadmin ユーザーとしてログインしている。

手順

Groups メニューからのロールの割り当て

  1. Private Automation Hub にログインします。
  2. ナビゲーションパネルから、User AccessGroups を選択します。
  3. 表示されるグループのリストからグループを選択します。
  4. Add roles をクリックします。
  5. 追加するロールの横にあるチェックボックスをクリックします。
  6. Next をクリックして、グループに適用されるロールをプレビューします。
  7. Add をクリックして、選択したロールをグループに適用します。
注記

Back をクリックしてロールメニューに戻るか、Cancel をクリックして前のページに戻ります。

手順

Namespaces メニューからのロールの割り当て

  1. Private Automation Hub にログインします。
  2. ナビゲーションパネルから、CollectionsNamespaces を選択します。
  3. My Namespaces タブをクリックし、名前空間を選択します。
  4. Access タブをクリックして編集します。

ユーザーは、割り当てられたパーミッションに関連付けられた Automation Hub の機能にアクセスできるようになりました。

4.1.2. Automation Hub のパーミッション

パーミッションは、各グループが特定のオブジェクトに対して実行できる定義済みのアクションのセットを指定するものです。この表に記載されているパーミッションに基づいて、グループに必要なアクセスレベルを決定してください。

表4.2 パーミッションの参照表
オブジェクトパーミッション説明

コレクション名前空間

名前空間の追加

名前空間へのアップロード

名前空間の変更

名前空間の削除

これらのパーミッションを持つグループは、名前空間の作成、名前空間へのコレクションのアップロード、および名前空間の削除を行うことができます。

コレクション

Ansible リポジトリーコンテンツの変更

コレクションの削除

このパーミッションを持つグループは、次のアクションを実行できます。

承認機能を使用して、リポジトリー間でコンテンツを移動します。

コンテンツを staging リポジトリーから published または rejected リポジトリーに移動する機能を認定または拒否します。

コレクションを削除します。

ユーザー

ユーザーの表示

ユーザーの削除

ユーザーの追加

ユーザーの変更

これらのパーミッションが割り当てられたグループは、ユーザー設定の管理および Private Automation Hub へのアクセスが可能です。

グループ

グループの表示

グループの削除

グループの追加

グループの変更

これらのパーミッションが割り当てられたグループは、グループ設定の管理および Private Automation Hub へのアクセスが可能です。

コレクションリモート

コレクションリモートの変更

コレクションリモートの表示

これらの権限を持つグループは、CollectionRepositories に移動して、リモートリポジトリーを設定できます。

コンテナー

コンテナーの名前空間の変更

コンテナーの変更

イメージタグの変更

新規コンテナーの作成

既存コンテナーへのプッシュ

コンテナーリポジトリーの削除

これらのパーミッションが割り当てられたグループは、Private Automation Hub でコンテナーリポジトリーを管理できます。

リモートレジストリー

リモートレジストリーの追加

リモートレジストリーの変更

リモートレジストリーの削除

これらのパーミッションが割り当てられたグループは、Private Automation Hub に追加されたリモートレジストリーを追加、変更、または削除できます。

タスク管理

タスクの変更

タスクの削除

全タスクの表示

これらのパーミッションが割り当てられたグループは、Private Automation Hub の Task Management に追加されたタスクを管理できます。

第5章 Ansible Automation Platform Central Authentication Generic OIDC 設定および Red Hat SSO/keycloak 設定 (Red Hat SSO および Ansible Automation Platform 向け)

Ansible Automation Platform Central Authentication では、Generic OIDC 設定および Red Hat SSO/keycloak 設定 (Red Hat SSO および Ansible Automation Platform 向け) が可能です。

5.1. 前提条件

  • 管理者ユーザーとしてログイン可能である。

5.2. Central Authentication Generic OIDC を設定している。

手順

  1. 管理者として RH SSO にログインします。

    注記

    既存のレルムがある場合は、手順 6 に進んでください。

  2. レルムを追加します。
  3. 名前を入力し、Create をクリックします。
  4. Clients タブをクリックします。
  5. 名前を入力し、Create をクリックします。
  6. ナビゲーションパネルから、Client Protocolopenid-connect を選択します。
  7. ナビゲーションパネルから Access Typeconfidential
  8. Root URL フィールドに、Ansible Automation Platform サーバーの IP またはホスト名を入力します。
  9. Valid Redirect フィールドに、Ansible Automation Platform サーバーの IP またはホスト名を入力します。実稼働環境でない場合は、* に設定します。
  10. Web Origins フィールドに、Ansible Automation Platform サーバーの IP またはホスト名を入力します。実稼働環境でない場合は、* に設定します。

  11. Credentials タブをクリックします。

    注記

    後で使用する Secret を追跡します。

  12. 管理者として Ansible Automation Platform Controller にログインします。
  13. ナビゲーションパネルから Settings を選択します。
  14. Authentication オプションのリストから Generic OIDC settings を選択します。
  15. Edit をクリックします。
  16. OIDC Key フィールドに、手順 5 のクライアントの名前を入力します。
  17. OIDC Secret フィールドに、手順 8 で保存したシークレットを入力します。
  18. OIDC Provider URL フィールドに、keycloak サーバーの URL およびポートを入力します。
  19. Save をクリックします。

OIDC は、ログインのオプションとして表示されます。Sign in with OIDC をクリックすると、ログインのために SSO サーバーにリダイレクトされ、Ansible Automation Platform にリダイレクトされます。

法律上の通知

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.