5.3. 外部認証プロバイダーの作成
外部認証プロバイダーのオプションを有効にして ROSA with HCP クラスターを作成した後、ROSA CLI を使用してプロバイダーを作成する必要があります。
ROSA CLI の rosa create|delete|list idp[s]
コマンドと同様に、rosa create external-auth-provider
を使用して作成した既存のアイデンティティープロバイダーを編集できません。代わりに、外部認証プロバイダーを削除して、新しい認証プロバイダーを作成する必要があります。
次の表は、外部認証プロバイダーを作成するときに使用できる CLI フラグを示しています。
CLI フラグ | 説明 |
---|---|
| クラスターの名前または ID。 |
| 外部認証プロバイダーを参照するために使用される名前。 |
| この文字列は、アカウントをアプリケーションに関連付けるために使用されるクライアントシークレット。クライアントシークレットを含めない場合、このコマンドはパブリック OIDC OAuthClient を使用します。 |
| これは、トークンオーディエンスのコンマ区切りリストです。 |
| トークン発行者の URL。 |
| クラスターアイデンティティーのユーザー名を構築するために使用されるクレームの名前。 |
| クラスターアイデンティティーのグループー名を構築するために使用されるクレームの名前。 |
手順
対話型コマンドインターフェイスを使用するには、次のコマンドを実行します。
$ rosa create external-auth-provider -c <cluster_name>
I: Enabling interactive mode ? Name: 1 ? Issuer audiences: 2 ? The serving url of the token issuer: 3 ? CA file path (optional): 4 ? Claim mapping username: 5 ? Claim mapping groups: 6 ? Claim validation rule (optional): 7 ? Console client id (optional): 8
- 1
- 外部認証プロバイダーの名前。この名前は、数字とダッシュが含まれる小文字である必要があります。
- 2
- この認証プロバイダーがトークンを発行するオーディエンス ID。
- 3
- トークンを提供する発行者の URL。
- 4
- オプション: リクエストを行うときに使用する証明書ファイル。
- 5
メール
の使用など、クラスターアイデンティティーのユーザー名を構築するために使用されるクレームの名前。- 6
グループ
の使用など、ID トークンをクラスターアイデンティティーに変換する方法。- 7
- オプション: ユーザーを認証するトークン要求を検証するのに役立つルール。このフィールドは、
:<required_value>
の形式にする必要があります。 - 8
- オプション: アプリ登録でコンソールに使用するアプリケーションまたはクライアント ID。
次のコマンドを使用して、外部認証プロバイダーを作成するために必要な ID を含めることができます。
rosa create external-auth-provider --cluster=<cluster_id> \ --name=<provider_name> --issuer-url=<issuing_url> \ --issuer-audiences=<audience_id> \ --claim-mapping-username-claim=email \ --claim-mapping-groups-claim=groups \ --console-client-id=<client_id_for_app_registration> \ --console-client-secret=<client_secret>
出力例
I: Successfully created an external authentication provider for cluster '<cluster_id>'
検証
外部認証プロバイダーを確認するには、次のいずれかのオプションを実行します。
次のコマンドを使用して、指定されたクラスターの外部認証設定をリスト表示します。
$ rosa list external-auth-provider -c <cluster_name>
出力例
次の例は、設定された Microsoft Entra ID 外部認証プロバイダーを示しています。
NAME ISSUER URL m-entra-id https://login.microsoftonline.com/<group_id>/v2.0
次のコマンドを使用して、指定されたクラスターの外部認証設定を表示します。
$ rosa describe external-auth-provider \ -c <cluster_name> --name <name_of_external_authentication>
出力例
ID: ms-entra-id Cluster ID: <cluster_id> Issuer audiences: - <audience_id> Issuer Url: https://login.microsoftonline.com/<group_id>/v2.0 Claim mappings group: groups Claim mappings username: email
関連情報
- IDP 用に Entra ID を設定する方法の詳細は、Azure ドキュメントの What is Microsoft Entra ID? または Microsoft Entra ID (旧称 Azure Active Directory) のアイデンティティープロバイダーとしての設定 ドキュメントのチュートリアルセクションを参照してください。