3.9. ID および承認の管理
このセクションでは、Red Hat OpenShift Dev Spaces の ID および承認の管理のさまざまな側面について説明します。
3.9.1. Git プロバイダーの OAuth の設定
OpenShift Dev Spaces と Git プロバイダーの間で OAuth を設定して、ユーザーがリモート Git リポジトリーを操作できるようにすることができます。
3.9.1.1. Configuring OAuth 2.0 for GitHub
ユーザーが GitHub でホストされるリモート Git リポジトリーと連携できるようにするには、以下を実行します。
- GitHub OAuth アプリ (OAuth 2.0) をセットアップします。
- GitHub OAuth アプリケーションシークレットを適用します。
3.9.1.1.1. GitHub OAuth アプリケーションの設定
Set up a GitHub OAuth App using OAuth 2.0.
前提条件
- GitHub にログインしている。
-
base64が使用しているオペレーティングシステムにインストールされている。
手順
- https://github.com/settings/applications/new にアクセスします。
以下の値を設定します。
-
アプリケーション名:
OpenShift Dev Spaces -
ホームページの URL:
https://devspaces-<openshift_deployment_name>.<domain_name>/ -
認証コールバック URL:
https://devspaces-<openshift_deployment_name>.<domain_name>/api/oauth/callback
-
アプリケーション名:
- Register application をクリックします。
- Generate new client secret をクリックします。
GitHub OAuth アプリケーションシークレットを適用する際に使用する GitHub OAuth クライアント ID をコピーし、これを Base64 にエンコードします。
$ echo -n '<github_oauth_client_id>' | base64GitHub OAuth クライアントシークレットをコピーし、GitHub OAuth App Secret を適用する際に使用する Base64 にエンコードします。
$ echo -n '<github_oauth_client_secret>' | base64
3.9.1.1.2. GitHub OAuth アプリケーションシークレットの適用
GitHub OAuth App Secret を準備し、これを適用します。
前提条件
- GitHub OAuth アプリケーションの設定が完了します。
GitHub OAuth アプリケーションの設定時に生成された Base64 でエンコードされた値が作成されます。
- GitHub OAuth Client ID
- GitHub OAuth Client Secret
-
宛先 OpenShift クラスターへの管理権限を持つアクティブな
ocセッション。CLI の使用方法 を参照。
手順
Secret を準備します。
kind: Secret apiVersion: v1 metadata: name: github-oauth-config namespace: openshift-devspaces 1 labels: app.kubernetes.io/part-of: che.eclipse.org app.kubernetes.io/component: oauth-scm-configuration annotations: che.eclipse.org/oauth-scm-server: github che.eclipse.org/scm-server-endpoint: <github_server_url> 2 type: Opaque data: id: <Base64_GitHub_OAuth_Client_ID> 3 secret: <Base64_GitHub_OAuth_Client_Secret> 4
シークレットを適用します。
$ oc apply -f - <<EOF <Secret_prepared_in_the_previous_step> EOF- 出力に Secret が作成されたことを確認します。
3.9.1.2. GitLab の OAuth 2.0 の設定
ユーザーが GitLab インスタンスを使用してホストされるリモート Git リポジトリーと連携できるようにするには、以下を実行します。
- GitLab 認定アプリケーション (OAuth 2.0) をセットアップします。
- GitLab で承認されたアプリケーションシークレットを適用します。
3.9.1.2.1. GitLab で承認されたアプリケーションの設定
OAuth 2.0 を使用して GitLab で承認されたアプリケーションを設定します。
前提条件
- GitLab にログインしている。
-
base64が使用しているオペレーティングシステムにインストールされている。
手順
-
アバターをクリックして、
の編集に移動します。 - Name に OpenShift Dev Spaces を入力します。
-
https://devspaces-<openshift_deployment_name>.<domain_name>/api/oauth/callbackを リダイレクト URI として指定します。 - Confidential および Expire access tokens のチェックボックスを選択します。
-
Scopes の下で、
api、write_repository、およびopenidのチェックボックスにチェックを入れます。 - Save application をクリックします。
GitLab アプリケーション ID をコピーし、GitLab で承認されたアプリケーションシークレットを適用するときに使用する Base64 にエンコードします。
$ echo -n '<gitlab_application_id>' | base64GitLab クライアントシークレット をコピーし、GitLab で承認されたアプリケーションシークレットを適用するときに使用する Base64 にエンコードします。
$ echo -n '<gitlab_client_secret>' | base64
3.9.1.2.2. GitLab で承認されるアプリケーションシークレットの適用
GitLab で承認されるアプリケーションシークレットを準備し、これを適用します。
前提条件
- GitLab 認証アプリケーションの設定が完了します。
GitLab で承認されるアプリケーションの設定時に生成された Base64 でエンコードされた値が作成されます。
- GitLab Application ID
- GitLab Client Secret
-
宛先 OpenShift クラスターへの管理権限を持つアクティブな
ocセッション。CLI の使用方法 を参照。
手順
Secret を準備します。
kind: Secret apiVersion: v1 metadata: name: gitlab-oauth-config namespace: openshift-devspaces 1 labels: app.kubernetes.io/part-of: che.eclipse.org app.kubernetes.io/component: oauth-scm-configuration annotations: che.eclipse.org/oauth-scm-server: gitlab che.eclipse.org/scm-server-endpoint: <gitlab_server_url> 2 type: Opaque data: id: <Base64_GitLab_Application_ID> 3 secret: <Base64_GitLab_Client_Secret> 4
シークレットを適用します。
$ oc apply -f - <<EOF <Secret_prepared_in_the_previous_step> EOF- 出力に Secret が作成されたことを確認します。
3.9.1.3. Bitbucket サーバー向け OAuth 1.0 の設定
ユーザーが Bitbucket サーバーでホストされるリモート Git リポジトリーと連携できるようにするには、以下を実行します。
- Bitbucket Server でアプリケーションリンク (OAuth 1.0) を設定します。
- Bitbucket Server のアプリケーションリンクシークレットを適用します。
3.9.1.3.1. Bitbucket Server でのアプリケーションリンクの設定
Bitbucket Server で OAuth 1.0 のアプリケーションリンクをセットアップします。
前提条件
手順
コマンドラインでコマンドを実行して、次の手順に必要なファイルを作成し、アプリケーションリンクシークレットを適用するときに使用します。
$ openssl genrsa -out private.pem 2048 && \ openssl pkcs8 -topk8 -inform pem -outform pem -nocrypt -in private.pem -out privatepkcs8.pem && \ cat privatepkcs8.pem | sed 's/-----BEGIN PRIVATE KEY-----//g' | sed 's/-----END PRIVATE KEY-----//g' | tr -d '\n' | base64 | tr -d '\n' > privatepkcs8-stripped.pem && \ openssl rsa -in private.pem -pubout > public.pub && \ cat public.pub | sed 's/-----BEGIN PUBLIC KEY-----//g' | sed 's/-----END PUBLIC KEY-----//g' | tr -d '\n' > public-stripped.pub && \ openssl rand -base64 24 > bitbucket-consumer-key && \ openssl rand -base64 24 > bitbucket-shared-secret
-
に移動します。 -
URL フィールドに
https://devspaces-<openshift_deployment_name>.<domain_name>/と入力し、Create new link をクリックします。 - 提供されたアプリケーション URL が一度リダイレクトされました で、この URL を使用する チェックボックスをオンにして、続行 をクリックします。
- Application Name に OpenShift Dev Spaces を入力します。
- Application Type として Generic Application を選択します。
- OpenShift Dev Spaces を Service Provider Name として入力します。
-
bitbucket-consumer-keyファイルの内容を Consumer キー として貼り付けます。 -
bitbucket-shared-secretファイルの内容を Shared シークレット として貼り付けます。 -
リクエストトークンの URL として
<bitbucket_server_url>/plugins/servlet/oauth/request-tokenと入力します。 -
アクセストークンの URL として
<bitbucket_server_url>/plugins/servlet/oauth/access-tokenと入力します。 -
Authorize URL として
<bitbucket_server_url>/plugins/servlet/oauth/authorizeと入力します。 - 受信リンクの作成 チェックボックスをオンにして、続行 をクリックします。
-
bitbucket-consumer-keyファイルの内容を Consumer Key として貼り付けます。 - コンシューマー名 として OpenShift Dev Spaces を入力します。
-
public-stripped.pubファイルの内容を 公開鍵 として貼り付け、Continue をクリックします。
3.9.1.3.2. Bitbucket Server 用にアプリケーションリンクシークレットを適用する
Bitbucket Server のアプリケーションリンクシークレットを準備して適用します。
前提条件
- アプリケーションリンクが Bitbucket Server にセットアップされている。
アプリケーションリンクのセットアップ時に作成された以下のファイルが準備されます。
-
privatepkcs8-stripped.pem -
bitbucket-consumer-key -
bitbucket-shared-secret
-
-
宛先 OpenShift クラスターへの管理権限を持つアクティブな
ocセッション。CLI の使用方法 を参照。
手順
bitbucket-consumer-keyファイルの内容を Base64 にエンコードします。$ echo -n '<bitbucket-consumer-key file content>' | base64bitbucket-shared-secretファイルの内容を Base64 にエンコードします。$ echo -n '<bitbucket-shared-secret file content>' | base64Secret を準備します。
kind: Secret apiVersion: v1 metadata: name: bitbucket-oauth-config namespace: openshift-devspaces 1 labels: app.kubernetes.io/component: oauth-scm-configuration app.kubernetes.io/part-of: che.eclipse.org annotations: che.eclipse.org/oauth-scm-server: bitbucket che.eclipse.org/scm-server-endpoint: <bitbucket_server_url> 2 type: Opaque data: private.key: <Base64_content_of_privatepkcs8-stripped.pem> 3 consumer.key: <Base64_content_of_bitbucket-consumer-key> 4 shared_secret: <Base64_content_of_bitbucket-shared-secret> 5
シークレットを適用します。
$ oc apply -f - <<EOF <Secret_prepared_in_the_previous_step> EOF- 出力に Secret が作成されたことを確認します。
3.9.1.4. Bitbucket Cloud 向け OAuth 2.0 の設定
Bitbucket Cloud でホストされているリモート Git リポジトリーをユーザーが操作できるようにすることができます。
- Bitbucket Cloud で OAuth コンシューマー (OAuth 2.0) をセットアップします。
- Bitbucket Cloud に OAuth コンシューマーシークレットを適用します。
3.9.1.4.1. Bitbucket Cloud で OAuth コンシューマーを設定する
Bitbucket Cloud で OAuth 2.0 の OAuth コンシューマーをセットアップします。
前提条件
- Bitbucket Cloud にログインしている。
-
base64が使用しているオペレーティングシステムにインストールされている。
手順
- アバターをクリックして、All workspaces ページに移動します。
- ワークスペースを選択してクリックします。
-
に移動します。 - Name に OpenShift Dev Spaces を入力します。
-
https://devspaces-<openshift_deployment_name>.<domain_name>/api/oauth/callbackを コールバック URL として入力します。 - Permissions で、Account と Repositories のすべてのチェックボックスをオンにして、Save をクリックします。
追加したコンシューマーを展開してから、キー 値をコピーして Base64 にエンコードし、Bitbucket OAuth コンシューマーシークレットを適用するときに使用します。
$ echo -n '<bitbucket_oauth_consumer_key>' | base64Bitbucket OAuth コンシューマーシークレットを適用するときに使用するために、Secret 値をコピーして Base64 にエンコードします。
$ echo -n '<bitbucket_oauth_consumer_secret>' | base64
3.9.1.4.2. Bitbucket Cloud に OAuth コンシューマーシークレットを適用する
Bitbucket Cloud の OAuth コンシューマーシークレットを準備して適用します。
前提条件
- OAuth コンシューマーは Bitbucket Cloud でセットアップされます。
Bitbucket OAuth コンシューマーのセットアップ時に生成された Base64 でエンコードされた値が準備されます。
- Bitbucket OAuth コンシューマーキー
- Bitbucket OAuth コンシューマーシークレット
-
宛先 OpenShift クラスターへの管理権限を持つアクティブな
ocセッション。CLI の使用方法 を参照。
手順
Secret を準備します。
kind: Secret apiVersion: v1 metadata: name: bitbucket-oauth-config namespace: openshift-devspaces 1 labels: app.kubernetes.io/part-of: che.eclipse.org app.kubernetes.io/component: oauth-scm-configuration annotations: che.eclipse.org/oauth-scm-server: bitbucket type: Opaque data: id: <Base64_Bitbucket_Oauth_Consumer_Key> 2 secret: <Base64_Bitbucket_Oauth_Consumer_Secret> 3
シークレットを適用します。
$ oc apply -f - <<EOF <Secret_prepared_in_the_previous_step> EOF- 出力に Secret が作成されたことを確認します。
3.9.1.5. Microsoft Azure DevOps サービス用の OAuth 2.0 の設定
ユーザーが Microsoft Azure Repos でホスティングされているリモート Git リポジトリーを操作できるようにするには:
- Microsoft Azure DevOps Services OAuth アプリケーション (OAuth 2.0) をセットアップします。
- Microsoft Azure DevOps Services OAuth アプリケーションシークレットを適用します。
3.9.1.5.1. Microsoft Azure DevOps Services OAuth アプリケーションのセットアップ
OAuth 2.0 を使用して、Microsoft Azure DevOps Services OAuth アプリケーションをセットアップします。
前提条件
- Microsoft Azure DevOps Services にログインしています。
- サードパーティーアプリケーションは、OAuth を介して社内のリソースにアクセスできます。セキュリティーとアプリケーションのアクセスポリシーを管理する を参照してください。
-
base64が使用しているオペレーティングシステムにインストールされている。
手順
- https://app.vsaex.visualstudio.com/app/register/ にアクセスしてください。
以下の値を設定します。
-
会社名:
OpenShift Dev Spaces -
アプリケーション名:
OpenShift Dev Spaces -
アプリケーション Web サイト:
"https://devspaces-<openshift_deployment_name>.<domain_name>"/ -
認証コールバック URL:
https://devspaces-<openshift_deployment_name>.<domain_name>/api/oauth/callback
-
会社名:
- Select Authorized scopes で、Code (read and write) を選択します。
- Create application をクリックします。
Microsoft Azure DevOps Services OAuth アプリケーションシークレットを適用する際に使用するために、アプリケーション ID をコピーし、Base64 にエンコードします。
$ echo -n '<microsoft_azure_devops_services_oauth_app_id>' | base64- Show をクリックして、Client Secret を表示します。
Microsoft Azure DevOps Services OAuth アプリケーションシークレットを適用する際に使用するために、クライアントシークレット をコピーし、Base64 にエンコードします。
$ echo -n '<microsoft_azure_devops_services_oauth_client_secret>' | base64
3.9.1.5.2. Microsoft Azure DevOps Services OAuth アプリケーションシークレットの適用
Microsoft Azure DevOps Services シークレットを準備および適用します。
前提条件
- Microsoft Azure DevOps Services OAuth アプリケーションのセットアップが完了しました。
Microsoft Azure DevOps Services OAuth アプリケーションのセットアップ時に生成された、Base64 エンコードされた値が準備されます。
- アプリケーション ID
- Client Secret
-
宛先 OpenShift クラスターへの管理権限を持つアクティブな
ocセッション。CLI の使用方法 を参照。
手順
Secret を準備します。
kind: Secret apiVersion: v1 metadata: name: azure-devops-oauth-config namespace: openshift-devspaces1 labels: app.kubernetes.io/part-of: che.eclipse.org app.kubernetes.io/component: oauth-scm-configuration annotations: che.eclipse.org/oauth-scm-server: azure-devops type: Opaque data: id: <Base64_Microsoft_Azure_DevOps_Services_OAuth_App_ID>2 secret: <Base64_Microsoft_Azure_DevOps_Services_OAuth_Client_Secret>3
シークレットを適用します。
$ oc apply -f - <<EOF <Secret_prepared_in_the_previous_step> EOF- 出力に Secret が作成されたことを確認します。
3.9.2. 管理ユーザーの設定
ユーザーデータの削除など、OpenShift Dev Spaces サーバーで管理者権限を必要とするアクションを実行するには、管理者権限を持つユーザーをアクティブ化します。デフォルトのインストールでは、OpenShift に存在するかどうかに関係なく、admin ユーザーの管理者権限が有効になります。
手順
CheClusterカスタムリソースを設定して、<admin> ユーザーに管理者権限を設定します。「CLI を使用して CheCluster カスタムリソースの設定」を参照してください。spec: components: cheServer: extraProperties: CHE_SYSTEM_ADMIN__NAME: '<admin>'
3.9.3. GDPR に準拠したユーザーデータの削除
個人が個人データを消去してもらう権利を行使する 一般データ保護規則 (GDPR) に準拠し、ユーザーのデータを削除できます。
次のようにユーザーデータを削除すると、元に戻すことはできません。削除されたデータはすべて削除され、復元できなくなります。
前提条件
- OpenShift Dev Spaces の管理権限を持つアクティブなセッション。「管理ユーザーの設定」を参照してください。
-
OpenShift クラスターの管理権限を持つアクティブな
ocセッション。Getting started with the OpenShift CLI を参照してください。
手順
ユーザーデータが PostgreSQL データベースに保存されていた以前のリリース以降、OpenShift Dev Spaces インスタンスがアップグレードされている場合は、最初に非推奨のエンドポイントを使用します。
-
"https://devspaces-<openshift_deployment_name>.<domain_name>"/swagger/#/user/find_1に移動します。 -
Try it out
name: <username> Execute を選択して、ユーザー ID を取得します。 Response body で id 値を見つけます。
応答が 404 である、つまりユーザーがデータベースに存在しない場合は、手順 2 に進みます。
-
"https://devspaces-<openshift_deployment_name>.<domain_name>"/swagger/#/user/removeに進みます。 -
Try it out
id: <id> Execute を選択して、OpenShift Dev Spaces サーバーによって管理されているユーザーのデータを削除します。 - 204 応答を受け取ったことを確認します。
-
ユーザープロジェクトを削除して、ユーザーにバインドされているすべての OpenShift リソース (ワークスペース、シークレット、ConfigMap など) を削除します。
$ oc delete namespace <username>-devspaces
