8.3. 外部認証プロバイダーの作成

外部認証プロバイダーのオプションを有効にして Red Hat OpenShift Service on AWS クラスターを作成した後、ROSA CLI を使用してプロバイダーを作成する必要があります。

注記

ROSA CLI の rosa create|delete|list idp[s] コマンドと同様に、rosa create external-auth-provider を使用して作成した既存のアイデンティティープロバイダーを編集できません。代わりに、外部認証プロバイダーを削除して、新しい認証プロバイダーを作成する必要があります。

次の表は、外部認証プロバイダーを作成するときに使用できる CLI フラグを示しています。

Expand

CLI フラグ	説明
`--cluster`	クラスターの名前または ID。
`--name`	外部認証プロバイダーを参照するために使用される名前。
`--console-client-secret`	この文字列は、アカウントをアプリケーションに関連付けるために使用されるクライアントシークレット。クライアントシークレットを含めない場合、このコマンドはパブリック OIDC OAuthClient を使用します。
`--issuer-audiences`	これは、トークンオーディエンスのコンマ区切りリストです。
`--issuer-url`	トークン発行者の URL。
`--claim-mapping-username-claim`	クラスターアイデンティティーのユーザー名を構築するために使用されるクレームの名前。
`--claim-mapping-groups-claim`	クラスターアイデンティティーのグループー名を構築するために使用されるクレームの名前。

手順

対話型コマンドラインインターフェイスを使用するには、次のコマンドを実行します。
入力の例
```
rosa create external-auth-provider -c <cluster_name>
```
```
$ rosa create external-auth-provider -c <cluster_name>
```
Copy to Clipboard Toggle word wrap
```
I: Enabling interactive mode
? Name: 
? Issuer audiences: 
? The serving url of the token issuer: 
? CA file path (optional): 
? Claim mapping username: 
? Claim mapping groups: 
? Claim validation rule (optional): 
? Console client id (optional): 
```
```
I: Enabling interactive mode
? Name: 
```
1
```
? Issuer audiences: 
```
2
```
? The serving url of the token issuer: 
```
3
```
? CA file path (optional): 
```
4
```
? Claim mapping username: 
```
5
```
? Claim mapping groups: 
```
6
```
? Claim validation rule (optional): 
```
7
```
? Console client id (optional): 
```
8
Copy to Clipboard Toggle word wrap
1
外部認証プロバイダーの名前。この名前は、数字とダッシュが含まれる小文字である必要があります。
2
この認証プロバイダーがトークンを発行するオーディエンス ID。
3
トークンを提供する発行者の URL。
4
オプション: リクエストを行うときに使用する証明書ファイル。
5
メール の使用など、クラスターアイデンティティーのユーザー名を構築するために使用されるクレームの名前。
6
グループ の使用など、ID トークンをクラスターアイデンティティーに変換する方法。
7
オプション: ユーザーを認証するトークンクレームを検証するのに役立つルール。このフィールドは、:<required_value> の形式にする必要があります。
8
オプション: アプリ登録でコンソールに使用するアプリケーションまたはクライアント ID。

次のコマンドを使用して、外部認証プロバイダーを作成するために必要な ID を含めることができます。

rosa create external-auth-provider --cluster=<cluster_id> \
    --name=<provider_name> --issuer-url=<issuing_url> \
    --issuer-audiences=<audience_id> \
    --claim-mapping-username-claim=email \
    --claim-mapping-groups-claim=groups \
    --console-client-id=<client_id_for_app_registration> \
    --console-client-secret=<client_secret>

rosa create external-auth-provider --cluster=<cluster_id> \
    --name=<provider_name> --issuer-url=<issuing_url> \
    --issuer-audiences=<audience_id> \
    --claim-mapping-username-claim=email \
    --claim-mapping-groups-claim=groups \
    --console-client-id=<client_id_for_app_registration> \
    --console-client-secret=<client_secret>

Copy to Clipboard

Toggle word wrap

出力例

I: Successfully created an external authentication provider for cluster 'ext-auth-test'

I: Successfully created an external authentication provider for cluster 'ext-auth-test'

Copy to Clipboard

Toggle word wrap

8.3.1. 外部認証プロバイダーの例
リンクのコピー

次のいずれかの外部認証プロバイダー設定例を使用して、独自の設定を指定できます。

Microsoft Entra ID の設定例

Microsoft Entra ID を外部プロバイダーとして使用できます。外部プロバイダーとして使用する前に、Microsoft Entra ID サーバーをあらかじめ設定しておく必要があります。詳細は、Microsoft Entra ID のドキュメントを参照してください。

次の例は、設定された Microsoft Entra ID 外部認証プロバイダーを示しています。

手順

次のコマンドを実行して、Microsoft Entra ID を使用する外部認証プロバイダーを作成します。

注記

お使いの Microsoft Entra ID サーバー固有の値を使用して独自の環境変数を設定する必要があります。

入力の例

rosa create external-auth-provider -c $CLUSTER_NAME \
    --claim-mapping-groups-claim groups \
    --claim-mapping-username-claim <authorized_user_name> \
    --console-client-id $CONSOLE_CLIENT_ID \
    --console-client-secret $CONSOLE_CLIENT_SECRET_VALUE \
    --issuer-audiences "$AUDIENCE_1" \
    --issuer-ca-file ca-bundle.crt --issuer-url $ISSUER_URL \
    --name m-entra-id

$ rosa create external-auth-provider -c $CLUSTER_NAME \
    --claim-mapping-groups-claim groups \
    --claim-mapping-username-claim <authorized_user_name> \
    --console-client-id $CONSOLE_CLIENT_ID \
    --console-client-secret $CONSOLE_CLIENT_SECRET_VALUE \
    --issuer-audiences "$AUDIENCE_1" \
    --issuer-ca-file ca-bundle.crt --issuer-url $ISSUER_URL \
    --name m-entra-id

Copy to Clipboard

Toggle word wrap

出力例

I: Successfully created an external authentication provider for cluster 'ext-auth-test'. It can take a few minutes for the creation of an external authentication provider to become fully effective.

I: Successfully created an external authentication provider for cluster 'ext-auth-test'. It can take a few minutes for the creation of an external authentication provider to become fully effective.

Copy to Clipboard

Toggle word wrap

クラスターの外部認証プロバイダーをリスト表示して発行者 URL を確認するか、rosa describe コマンドを使用して、この外部認証プロバイダーに関連するすべての詳細を確認します。

次のコマンドを実行して、指定したクラスターの外部認証設定をリスト表示します。
入力の例
```
rosa list external-auth-provider -c <cluster_name> \
```
```
$ rosa list external-auth-provider -c <cluster_name> \ 
```
1
Copy to Clipboard Toggle word wrap
1
表示する外部認証プロバイダーのクラスターの名前を指定します。
出力例
```
NAME        ISSUER URL
m-entra-id  https://login.microsoftonline.com/<group_id>/v2.0
```
```
NAME        ISSUER URL
m-entra-id  https://login.microsoftonline.com/<group_id>/v2.0
```
Copy to Clipboard Toggle word wrap

次のコマンドを実行して、指定したクラスターの外部認証設定を表示します。

入力の例

rosa describe external-auth-provider \
    -c <cluster_name> --name <name_of_external_authentication> \

$ rosa describe external-auth-provider \
    -c <cluster_name> --name <name_of_external_authentication> \

Copy to Clipboard

Toggle word wrap

1: 詳細を表示する外部認証プロバイダーがあるクラスターの名前を指定します。
2: 詳細を表示する認証プロバイダーの名前を入力します。

出力例

ID:                          ms-entra-id
Cluster ID:                  <cluster_id>
Issuer audiences:
                             - <audience_id>
Issuer Url:                  https://login.microsoftonline.com/<group_id>/v2.0
Claim mappings group:        groups
Claim mappings username:     email

ID:                          ms-entra-id
Cluster ID:                  <cluster_id>
Issuer audiences:
                             - <audience_id>
Issuer Url:                  https://login.microsoftonline.com/<group_id>/v2.0
Claim mappings group:        groups
Claim mappings username:     email

Copy to Clipboard

Toggle word wrap

Keycloak の設定例

Keycloak を外部プロバイダーとして使用できます。外部プロバイダーとして使用する前に、Keycloak サーバーをあらかじめ設定しておく必要があります。詳細は、Keycloak のドキュメントを参照してください。

手順

次のコマンドを実行して、Keycloak を使用する外部認証プロバイダーを作成します。

注記

お使いの Keycloak サーバー固有の値を使用して独自の環境変数を設定する必要があります。

入力の例

rosa create external-auth-provider -c $CLUSTER_NAME \
--claim-mapping-groups-claim groups \
    --claim-mapping-username-claim <authorized_user_name> \
    --console-client-id $CONSOLE_CLIENT_ID \
    --console-client-secret $CONSOLE_CLIENT_SECRET_VALUE \
    --issuer-audiences "$AUDIENCE_1,$AUDIENCE_2" \
    --issuer-ca-file ca-bundle.crt --issuer-url $ISSUER_URL --name keycloak

$ rosa create external-auth-provider -c $CLUSTER_NAME \
--claim-mapping-groups-claim groups \
    --claim-mapping-username-claim <authorized_user_name> \
    --console-client-id $CONSOLE_CLIENT_ID \
    --console-client-secret $CONSOLE_CLIENT_SECRET_VALUE \
    --issuer-audiences "$AUDIENCE_1,$AUDIENCE_2" \
    --issuer-ca-file ca-bundle.crt --issuer-url $ISSUER_URL --name keycloak

Copy to Clipboard

Toggle word wrap

出力例

I: Successfully created an external authentication provider for cluster 'ext-auth-test'. It can take a few minutes for the creation of an external authentication provider to become fully effective.

I: Successfully created an external authentication provider for cluster 'ext-auth-test'. It can take a few minutes for the creation of an external authentication provider to become fully effective.

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、指定したクラスターの外部認証設定をリスト表示します。

入力の例

rosa list external-auth-provider -c <cluster_name>

$ rosa list external-auth-provider -c <cluster_name>

Copy to Clipboard

Toggle word wrap

出力例

NAME      ISSUER URL
keycloak  https://keycloak-keycloak.apps.<keycloak_id>.openshift.org/realms/master

NAME      ISSUER URL
keycloak  https://keycloak-keycloak.apps.<keycloak_id>.openshift.org/realms/master

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、指定したクラスターの外部認証設定を表示します。

入力の例

rosa describe external-auth-provider \
    -c <cluster_name> --name <name_of_external_authentication>

$ rosa describe external-auth-provider \
    -c <cluster_name> --name <name_of_external_authentication>

Copy to Clipboard

Toggle word wrap

出力例

ID:                                    keycloak
Cluster ID:                            <cluster_id>
Issuer audiences:
                                       - <audience_id_1>
                                       - <audience_id_2>
Issuer Url:                            https://keycloak-keycloak.apps.<keycloak_id>.openshift.org/realms/master
Claim mappings group:                  groups
Claim mappings username:               <authorized_user_name>
Console client id:                     console-test

ID:                                    keycloak
Cluster ID:                            <cluster_id>
Issuer audiences:
                                       - <audience_id_1>
                                       - <audience_id_2>
Issuer Url:                            https://keycloak-keycloak.apps.<keycloak_id>.openshift.org/realms/master
Claim mappings group:                  groups
Claim mappings username:               <authorized_user_name>
Console client id:                     console-test

Copy to Clipboard

Toggle word wrap

トップに戻る

8.3. 外部認証プロバイダーの作成

8.3.1. 外部認証プロバイダーの例
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.3. 外部認証プロバイダーの作成

8.3.1. 外部認証プロバイダーの例リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.3.1. 外部認証プロバイダーの例
リンクのコピー