Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

5.2. Red Hat Single Sign-On での Service Registry の認証および承認の設定

このセクションでは、Red Hat Single Sign-On を使用して Service Registry の認証および承認オプションを手作業で設定する方法を説明します。

注記

また、これらの設定を自動的に設定する方法の詳細は、「Red Hat Single Sign-On Operator を使用した Service Registry のセキュリティー保護」 を参照してください。

OpenID Connect (OIDC) 使用して OAuth をベースとした Red Hat Single Sign-On を使用して、Service Registry Web コンソールおよびコア REST API の認証を有効にすることができます。同じ Red Hat Single Sign-On レルムとユーザーは OpenID Connect を使用して Service Registry Web コンソールとコア REST API で連携されるため、必要なクレデンシャルは 1 セットのみです。

Service Registry は、デフォルトの admin、write、および read-only ユーザーロールのロールベースの承認を提供します。Service Registry は、スキーマまたは API レベルでコンテンツベースの承認を提供し、レジストリーアーティファクトの作成者のみが更新または削除できます。Service Registry の認証および承認設定は、デフォルトでは無効になっています。

前提条件

手順

  1. Red Hat Single Sign-On 管理コンソールで、Service Registry の Red Hat Single Sign-On レルムを作成します。デフォルトでは、Service Registry はレルム名 registry を想定します。レルムの作成に関する詳細は、Red Hat Single Sign-On のユーザードキュメント を参照してください。

  2. Service Registry API 向けに Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Service Registry は次の設定を想定しています。

    • Client ID: registry-api
    • Client Protocol: openid-connect

    • Access Type: bearer-only

      他のクライアント設定にはデフォルト値を使用できます。

      注記

      Red Hat Single Sign-On サービスアカウントを使用している場合、クライアントの Access Type は、bearer-only ではなく confidential である必要があります。

  3. Service Registry Web コンソール向けに Red Hat Single Sign-On クライアントを作成します。デフォルトでは、Service Registry は次の設定を想定しています。

    • Client ID: apicurio-registry
    • Client Protocol: openid-connect
    • Access Type: public
    • Valid Redirect URLs: http://my-registry-url:8080/*

    • Web Origins: +

      他のクライアント設定にはデフォルト値を使用できます。

  4. OpenShift での Service Registry デプロイメントで、以下の Service Registry 環境変数を設定し、Red Hat Single Sign-On を使用して認証を設定します。

    Expand
    表5.2 Red Hat Single Sign-On を使用した Service Registry 認証の設定
    環境変数説明デフォルト

    AUTH_ENABLED

    Service Registry の認証を有効にします。true に設定する場合は、以下の環境変数が Red Hat Single Sign-On の認証に必要です。

    String

    false

    KEYCLOAK_URL

    Red Hat Single Sign-On 認証サーバーの URL。たとえば、http://localhost:8080 です。

    String

    -

    KEYCLOAK_REALM

    認証用の Red Hat Single Sign-On レルム。たとえば、registry です。

    String

    -

    KEYCLOAK_API_CLIENT_ID

    Service Registry REST API のクライアント ID。

    String

    registry-api

    KEYCLOAK_UI_CLIENT_ID

    Service Registry Web コンソールのクライアント ID。

    String

    apicurio-registry

    ヒント

    OpenShift に環境変数を設定する例については、「OpenShift での Service Registry ヘルスチェックの設定」 を参照してください。

  5. Red Hat Single Sign-On で Service Registry ユーザーロールを有効にするため、以下のオプションを true に設定します。

    Expand
    表5.3 Service Registry のロールベースの承認の設定
    環境変数Java システムプロパティーデフォルト値

    ROLE_BASED_AUTHZ_ENABLED

    registry.auth.role-based-authorization

    ブール値

    false

  6. Service Registry のユーザーロールが有効になっている場合は、Red Hat Single Sign-On レルムで Service Registry ユーザーを以下のデフォルトユーザーロールの 1 つ以上に割り当てる必要があります。

    Expand
    表5.4 レジストリーの認証および認可のデフォルトユーザーロール
    ロールアーティファクトの読み取りアーティファクトの書き込みグローバルルールSummary

    sr-admin

    はい

    はい

    はい

    すべての作成、読み取り、更新、および削除操作へのフルアクセス。

    sr-developer

    はい

    はい

    いいえ

    グローバルルールの設定を除く、作成、読み取り、更新、および削除操作へのアクセス。このロールは、アーティファクト固有のルールを設定できます。

    sr-readonly

    はい

    いいえ

    いいえ

    読み取りおよび検索操作のみへのアクセス。このロールはルールを設定できません。

  7. 以下を true に設定し、Service Registry のスキーマおよび API アーティファクトへの更新に対する所有者のみの承認を有効にします。

    Expand
    表5.5 所有者のみの認可の設定
    環境変数Java システムプロパティーデフォルト値

    REGISTRY_AUTH_OBAC_ENABLED

    registry.auth.owner-only-authorization

    ブール値

    false

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat