Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第7章 ユーザーの管理

本セクションでは、Red Hat CodeReady Workspaces で認可および認証を設定する方法と、ユーザーグループおよびユーザーを管理する方法について説明します。

7.1. 認証の設定
リンクのコピー

7.1.1. 認証およびユーザー管理
リンクのコピー

Red Hat CodeReady Workspaces は RH-SSO を使用してユーザーの作成、インポート、管理、削除、および認証を行います。RH-SSO は、ビルトイン認証メカニズムとユーザーストレージを使用します。サードパーティーのアイデンティティー管理システムを使用してユーザーを作成し、認証できます。CodeReady Workspaces リソースへのアクセスを要求する場合に、Red Hat CodeReady Workspaces には RH-SSO トークンが必要です。

ローカルユーザーおよびインポートされたフェデレーションユーザーは、プロファイルにメールアドレスが必要です。

デフォルトの RH-SSO 認証情報は admin:admin です。Red Hat CodeReady Workspaces への初回ログイン時に、admin:admin 認証情報を使用できます。これにはシステム権限があります。

RH-SSO URL を特定します。

OpenShift Web コンソールに移動し、RH-SSO プロジェクトに移動します。

7.1.2. RH-SSO と連携する CodeReady Workspaces の設定
リンクのコピー

デプロイメントスクリプトは RH-SSO を設定します。以下のフィールドを使用して codeready-public クライアントを作成します。

  • Valid Redirect URIs: この URL を使用して CodeReady Workspaces にアクセスします。
  • Web Origins

以下は、RH-SSO と連携するように CodeReady Workspaces を設定する場合の一般的なエラーです。

無効な redirectURI エラー
エイリアスの myhost で CodeReady Workspaces にアクセスし、元の CHE_HOST1.1.1.1 の場合に発生します。このエラーが発生した場合は、RH-SSO 管理コンソールに移動し、有効なリダイレクト URI が設定されていることを確認してください。
CORS エラー
無効な Web Origin がある場合に発生します。

7.1.3. RH-SSO トークンの設定
リンクのコピー

ユーザートークンの有効期間は、デフォルトで 30 分後に切れます。

以下の RH-SSO トークン設定を変更することができます。

keycloak realm
View larger image
keycloak realm

7.1.4. ユーザーフェデレーションの設定
リンクのコピー

RH-SSO は、外部ユーザーデータベースのフェデレーションを行い、LDAP および Active Directory をサポートします。ストレージプロバイダーを選択する前に、接続をテストし、ユーザーを認証できます。

プロバイダーの追加方法については、RH-SSO ドキュメントのユーザーストレージのフェデーレーションについてのページを参照してください。

複数の LDAP サーバーを指定するには、RH-SSO ドキュメントの LDAP および Active Directory についてのページを参照してください。

7.1.5. ソーシャルアカウントおよびブローカーを使用した認証の有効化
リンクのコピー

RH-SSO は、GitHub、OpenShift、および Facebook や Twitter などの最も一般的に使用されるソーシャルネットワークの組み込みサポートを提供します。

「 Instructions to enable login with GitHub」 を参照してください。

SSH キーを有効にし、これを CodeReady Workspaces ユーザーの GitHub アカウントにアップロードすることもできます。

GitHub アイデンティティープロバイダーの登録時にこの機能を有効にするには、以下を実行します。

  1. スコープを repo,user,write:public_key に設定します。

  2. ストアトークンと保存されたトークンを ON に設定します。

    kc provider
    View larger image
    kc provider

  3. デフォルトの read-token ロールを追加します。

    kc roles
    View larger image
    kc roles

これは、マルチユーザー CodeReady Workspaces のデフォルト delegated OAuth サービスモードです。OAuth サービスモードは、che.oauth.service_mode プロパティーを使用して設定できます。

7.1.6. プロトコルベースのプロバイダーの使用
リンクのコピー

RH-SSO は SAML v2.0 プロトコルおよび OpenID Connect v1.0 プロトコルをサポートします。これらのプロトコルをサポートする場合は、アイデンティティープロバイダーシステムを接続できます。

7.1.7. RH-SSO を使用したユーザーの管理
リンクのコピー

ユーザーインターフェースでユーザーを追加し、削除し、編集できます。詳細は、RH-SSO ユーザー管理について参照してください。

7.1.8. 外部 RH-SSO インストールを使用するように CodeReady Workspaces を設定する
リンクのコピー

デフォルトでは、CodeReady Workspaces インストールには、専用の RH-SSO インスタンスのデプロイメントが含まれます。ただし、外部の RH-SSO を使用することも可能です。このオプションは、すでに定義されたユーザーを含む既存の RH-SSO インスタンス (複数のアプリケーションが使用する会社全体の RH-SSO サーバーなど) がある場合に役立ちます。

Expand
表7.1 サンプルで使用されるプレースホルダー

<provider-realm-name>

CodeReady Workspaces で使用することが意図されたアイデンティティープロバイダーのレルム名

<oidc-client-name>

<provider-realm-name> で定義される oidc クライアントの名前

<auth-base-url>

外部 RH-SSO サーバーのベース URL

前提条件

  • RH-SSO の外部インストールの管理コンソールで、CodeReady Workspaces に接続することが意図されたユーザーが含まれるレルムを定義します。

    external keycloak realm
    View larger image
    external keycloak realm

  • この realm では、CodeReady Workspaces がユーザーの認証に使用する OIDC クライアントを定義します。以下は、正しい設定のあるクライアントの例です。

    external keycloak public client
    View larger image
    external keycloak public client
    注記
    • CodeReady Workspaces は、public OIDC クライアントのみをサポートします。したがって、openid-connect Client Protocol オプションを選択し、public Access Type オプションを選択します。
    • 有効なリダイレクト URI の一覧には、CodeReady Workspaces サーバーに関連する URI と https を使用する URI が少なくとも 2 つ含まれる必要があります。httpこれらの URI には CodeReady Workspaces サーバーのベース URL (この後に /* ワイルドカードが続く) が含まれる必要があります。

    • Web Origin の一覧には、http プロトコルを使用する URI と https を使用する URI の 2 つ以上の CodeReady Workspaces サーバーに関連する URI が含まれる必要があり ます。これらの URI には、CodeReady Workspaces サーバーのベース URL (ホストの後はパスがない) が含まれる必要があります。

      URI の数は、インストールされている製品ツールの数によって異なります。

  • デフォルトの OpenShift OAuth サポートを使用する CodeReady Workspaces では、ユーザー認証は、OpenShift OAuth と RH-SSO の統合に依存します。これにより、ユーザーは OpenShift ログインで CodeReady Workspaces にログインでき、独自のワークスペースを個人の OpenShift プロジェクトに作成することができます。

    これには、OpenShift アイデンティティープロバイダーを RH-SSO で設定する必要があります。外部 RH-SSO を使用する場合は、アイデンティティープロバイダーを手動で設定します。手順については、以下のいずれかのリンクについての該当する RH-SSO ドキュメントを参照してください:OpenShift 3[OpenShift 3] または OpenShift 4[OpenShift 4]

  • 設定済みのアイデンティティープロバイダーでは、Store Tokens および Stored Tokens Readable オプションが有効にされている必要があります。

手順

  1. CheCluster カスタムリソース (CR) に以下のプロパティーを設定します。 

    spec:
  auth:
    externalIdentityProvider: true
    identityProviderURL: <auth-base-url>
    identityProviderRealm: <provider-realm-name>
    identityProviderClientId: <oidc-client-name>
    Copy to Clipboard Toggle word wrap

  2. OpenShift OAuth サポートを有効にして CodeReady Workspaces をインストールする場合は、CheCluster カスタムリソース (CR) に以下のプロパティーを設定します。 

    spec:
  auth:
    openShiftoAuth: true
# Note: only if the OpenShift identity provider alias is different from 'openshift-v3' or 'openshift-v4'
server:
  customCheProperties:
    CHE_INFRA_OPENSHIFT_OAUTH__IDENTITY__PROVIDER: <OpenShift identity provider alias>
    Copy to Clipboard Toggle word wrap

7.1.9. SMTP およびメール通知の設定
リンクのコピー

Red Hat CodeReady Workspaces は事前に設定された MTP サーバーを提供しません。

RH-SSO で SMTP サーバーを有効にするには、以下を実行します。

  1. che realm settings > Email にアクセスします。
  2. ホスト、ポート、ユーザー名、およびパスワードを指定します。

Red Hat CodeReady Workspaces は、登録、メールの確認、パスワードの復旧、およびログインの失敗についてのデフォルトのテーマを使用します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat