5.3. 外部認証プロバイダーの作成


外部認証プロバイダーのオプションを有効にして ROSA with HCP クラスターを作成した後、ROSA CLI を使用してプロバイダーを作成する必要があります。

注記

ROSA CLI の rosa create|delete|list idp[s] コマンドと同様に、rosa create external-auth-provider を使用して作成した既存のアイデンティティープロバイダーを編集できません。代わりに、外部認証プロバイダーを削除して、新しい認証プロバイダーを作成する必要があります。

次の表は、外部認証プロバイダーを作成するときに使用できる CLI フラグを示しています。

CLI フラグ説明

--cluster

クラスターの名前または ID。

--name

外部認証プロバイダーを参照するために使用される名前。

--console-client-secret

この文字列は、アカウントをアプリケーションに関連付けるために使用されるクライアントシークレット。クライアントシークレットを含めない場合、このコマンドはパブリック OIDC OAuthClient を使用します。

--issuer-audiences

これは、トークンオーディエンスのコンマ区切りリストです。

--issuer-url

トークン発行者の URL。

--claim-mapping-username-claim

クラスターアイデンティティーのユーザー名を構築するために使用されるクレームの名前。

--claim-mapping-groups-claim

クラスターアイデンティティーのグループー名を構築するために使用されるクレームの名前。

手順

  • 対話型コマンドインターフェイスを使用するには、次のコマンドを実行します。

    $ rosa create external-auth-provider -c <cluster_name>
    I: Enabling interactive mode
    ? Name: 1
    ? Issuer audiences: 2
    ? The serving url of the token issuer: 3
    ? CA file path (optional): 4
    ? Claim mapping username: 5
    ? Claim mapping groups: 6
    ? Claim validation rule (optional): 7
    ? Console client id (optional): 8
    1
    外部認証プロバイダーの名前。この名前は、数字とダッシュが含まれる小文字である必要があります。
    2
    この認証プロバイダーがトークンを発行するオーディエンス ID。
    3
    トークンを提供する発行者の URL。
    4
    オプション: リクエストを行うときに使用する証明書ファイル。
    5
    メール の使用など、クラスターアイデンティティーのユーザー名を構築するために使用されるクレームの名前。
    6
    グループ の使用など、ID トークンをクラスターアイデンティティーに変換する方法。
    7
    オプション: ユーザーを認証するトークン要求を検証するのに役立つルール。このフィールドは、:<required_value> の形式にする必要があります。
    8
    オプション: アプリ登録でコンソールに使用するアプリケーションまたはクライアント ID。
  • 次のコマンドを使用して、外部認証プロバイダーを作成するために必要な ID を含めることができます。

    rosa create external-auth-provider --cluster=<cluster_id> \
        --name=<provider_name> --issuer-url=<issuing_url> \
        --issuer-audiences=<audience_id> \
        --claim-mapping-username-claim=email \
        --claim-mapping-groups-claim=groups \
        --console-client-id=<client_id_for_app_registration> \
        --console-client-secret=<client_secret>

    出力例

    I: Successfully created an external authentication provider for cluster '<cluster_id>'

検証

  • 外部認証プロバイダーを確認するには、次のいずれかのオプションを実行します。

    • 次のコマンドを使用して、指定されたクラスターの外部認証設定をリスト表示します。

      $ rosa list external-auth-provider -c <cluster_name>

      出力例

      次の例は、設定された Microsoft Entra ID 外部認証プロバイダーを示しています。

      NAME        ISSUER URL
      m-entra-id  https://login.microsoftonline.com/<group_id>/v2.0
    • 次のコマンドを使用して、指定されたクラスターの外部認証設定を表示します。

      $ rosa describe external-auth-provider \
          -c <cluster_name> --name <name_of_external_authentication>

      出力例

      ID:                          ms-entra-id
      Cluster ID:                  <cluster_id>
      Issuer audiences:
                                   - <audience_id>
      Issuer Url:                  https://login.microsoftonline.com/<group_id>/v2.0
      Claim mappings group:        groups
      Claim mappings username:     email

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.