Red Hat Summit9.3. ユーザーおよびアクセス管理
これらのフィールドを使用して、ユーザーの作成、認証、および管理方法を設定します。これには、スーパーユーザー、アカウントリカバリー、アプリケーション固有のトークン、ログイン動作、LDAP、OAuth、OIDC などの外部 ID プロバイダーの設定が含まれます。
9.3.1. ユーザー設定フィールド
ユーザー設定フィールドは、Red Hat Quay デプロイメントでのユーザーアカウントの動作を定義します。これらのフィールドを使用すると、ユーザーの作成、アクセスレベル、メタデータ追跡、リカバリーオプション、および名前空間管理の制御が可能になります。また、所属組織のガバナンスおよびセキュリティーポリシーに一致するように、招待のみの作成またはスーパーユーザー権限などの制限を適用することもできます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_SUPER_USERS | Boolean |
スーパーユーザーがサポートされるかどうか。 |
| FEATURE_USER_CREATION | Boolean |
ユーザーを作成できるようにするかどうか (スーパーユーザー以外が)。 |
| FEATURE_USER_LAST_ACCESSED | Boolean |
ユーザーが最後にアクセスした時間を記録するかどうか。 |
| FEATURE_USER_LOG_ACCESS | Boolean |
true に設定すると、ユーザーは namespace の監査ログにアクセスできます |
| FEATURE_USER_METADATA | Boolean |
ユーザーメタデータを収集してサポートするかどうか。 |
| FEATURE_USERNAME_CONFIRMATION | Boolean |
true に設定すると、OpenID Connect (OIDC) または LDAP などのデータベース以外の認証プロバイダーでログインする場合に、初期ユーザー名を確認および変更できます。 |
| FEATURE_USER_RENAME | Boolean |
true に設定すると、ユーザーは独自の namespace の名前を変更できます。 |
| FEATURE_INVITE_ONLY_USER_CREATION | Boolean |
作成するユーザーは別のユーザーから招待を受ける必要があります。 |
| FRESH_LOGIN_TIMEOUT | String |
新規ログイン時にユーザーがパスワードの再入力を要求されるまでの時間。 |
| USERFILES_LOCATION | String |
ユーザーがアップロードしたファイルを配置するストレージエンジンの ID。 |
| USERFILES_PATH | String |
ユーザーがアップロードしたファイルを配置するストレージの下のパス。 |
| USER_RECOVERY_TOKEN_LIFETIME | String |
ユーザーアカウントを復元するためのトークンが有効な期間。 |
| FEATURE_SUPERUSERS_FULL_ACCESS | Boolean | スーパーユーザーが所有していない名前空間、または明示的なアクセス許可を持っていない名前空間内の他のリポジトリーからコンテンツを読み取り、書き込み、削除する機能をスーパーユーザーに付与します。
デフォルト: |
| FEATURE_SUPERUSERS_ORG_CREATION_ONLY | Boolean | スーパーユーザーのみに組織の作成を許可するかどうか。
デフォルト: |
| FEATURE_RESTRICTED_USERS | Boolean |
デフォルト: |
| RESTRICTED_USERS_WHITELIST | String |
|
| GLOBAL_READONLY_SUPER_USERS | String |
設定すると、公開リポジトリーかどうかに関係なく、このリストのユーザーにすべてのリポジトリーへの読み取りアクセスが許可されます。 |
ユーザー例の YAML
# ...
FEATURE_SUPER_USERS: true
FEATURE_USER_CREATION: true
FEATURE_INVITE_ONLY_USER_CREATION: false
FEATURE_USER_RENAME: true
FEATURE_SUPERUSERS_FULL_ACCESS: true
FEATURE_SUPERUSERS_ORG_CREATION_ONLY: false
FEATURE_RESTRICTED_USERS: true
RESTRICTED_USERS_WHITELIST:
- user1
GLOBAL_READONLY_SUPER_USERS:
- quayadmin
FRESH_LOGIN_TIMEOUT: "5m"
USER_RECOVERY_TOKEN_LIFETIME: "30m"
USERFILES_LOCATION: "s3_us_east"
USERFILES_PATH: "userfiles"
# ...
# ...
FEATURE_SUPER_USERS: true
FEATURE_USER_CREATION: true
FEATURE_INVITE_ONLY_USER_CREATION: false
FEATURE_USER_RENAME: true
FEATURE_SUPERUSERS_FULL_ACCESS: true
FEATURE_SUPERUSERS_ORG_CREATION_ONLY: false
FEATURE_RESTRICTED_USERS: true
RESTRICTED_USERS_WHITELIST:
- user1
GLOBAL_READONLY_SUPER_USERS:
- quayadmin
FRESH_LOGIN_TIMEOUT: "5m"
USER_RECOVERY_TOKEN_LIFETIME: "30m"
USERFILES_LOCATION: "s3_us_east"
USERFILES_PATH: "userfiles"
# ...- 1
RESTRICTED_USERS_WHITELISTフィールドが設定されている場合、ホワイトリストに登録されたユーザーは、FEATURE_RESTRICTED_USERSがtrueに設定されていても、組織を作成したり、リポジトリーからコンテンツを読み書きしたりできます。user2、user3、およびuser4などの他のユーザーは、組織の作成、コンテンツの読み取りまたは書き込みが制限されます。
9.3.2. ロボットアカウント設定フィールド
以下の設定フィールドを使用すると、ロボットアカウントの作成および対話をグローバルに拒否できます。
関連情報
| フィールド | 型 | 説明 |
|---|---|---|
| ROBOTS_DISALLOW | Boolean |
|
Robot account disallow example YAML
# ... ROBOTS_DISALLOW: true # ...
# ...
ROBOTS_DISALLOW: true
# ...9.3.3. LDAP 設定フィールド
以下の設定フィールドを使用すると、管理者は Red Hat Quay と LDAP ベースの認証システムを統合できます。AUTHENTICATION_TYPE が LDAP に設定されている場合、Red Hat Quay は LDAP ディレクトリーに対してユーザーを認証し、チームの同期、スーパーユーザーアクセス制御、制限付きユーザーロール、セキュアな接続パラメーターなどのオプション機能をサポートします。
このセクションでは、以下の LDAP シナリオの YAML の例を紹介します。
- 基本的な LDAP 設定
- LDAP 制限付きユーザー設定
- LDAP スーパーユーザー設定
| フィールド | 型 | 説明 |
|---|---|---|
|
AUTHENTICATION_TYPE | String |
|
| FEATURE_TEAM_SYNCING | Boolean |
認証エンジン (OIDC、LDAP または Keystone) のバッキンググループからのチームメンバーシップの同期を許可するかどうか。 |
| FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP | Boolean |
有効にすると、スーパーユーザー以外のユーザーもチームの同期を設定できます。 |
| LDAP_ADMIN_DN | String | LDAP 認証の管理 DN。 |
| LDAP_ADMIN_PASSWD | String | LDAP 認証の管理パスワード。 |
| LDAP_ALLOW_INSECURE_FALLBACK | Boolean | LDAP 認証で SSL の非セキュアなフォールバックを許可するかどうか。 |
| LDAP_BASE_DN | 文字列の配列 | LDAP 認証のベース DN。 |
| LDAP_EMAIL_ATTR | String | LDAP 認証のメール属性。 |
| LDAP_UID_ATTR | String | LDAP 認証の uid 属性。 |
| LDAP_URI | String | LDAP URI。 |
| LDAP_USER_FILTER | String | LDAP 認証のユーザーフィルター。 |
| LDAP_USER_RDN | 文字列の配列 | LDAP 認証のユーザー RDN。 |
| LDAP_SECONDARY_USER_RDNS | 文字列の配列 | ユーザーオブジェクトが存在する組織単位が複数ある場合は、Secondary User Relative DNs を指定します。 |
| TEAM_RESYNC_STALE_TIME | String |
チームでチーム同期が有効になっている場合は、そのメンバーシップを確認し、必要に応じて再同期する頻度。 |
| LDAP_SUPERUSER_FILTER | String |
このフィールドを使用すると、管理者は Red Hat Quay 設定ファイルを更新してデプロイメントを再起動することなく、スーパーユーザーを追加または削除できます。
このフィールドでは、 |
| LDAP_GLOBAL_READONLY_SUPERUSER_FILTER | String |
設定すると、公開リポジトリーかどうかに関係なく、このリストのユーザーにすべてのリポジトリーへの読み取りアクセスが許可されます。 |
| LDAP_RESTRICTED_USER_FILTER | String |
このフィールドでは、 |
| FEATURE_RESTRICTED_USERS | Boolean |
デフォルト: |
| LDAP_TIMEOUT | Integer |
LDAP 操作の時間制限を秒単位で指定します。これにより、LDAP 検索、バインド、またはその他の操作にかかる時間が制限されます。 |
| LDAP_NETWORK_TIMEOUT | Integer |
LDAP サーバーへの接続を確立するための時間制限を秒単位で指定します。これは、 |
基本的な LDAP 設定例
# ...
AUTHENTICATION_TYPE: LDAP
# ...
LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
LDAP_ADMIN_PASSWD: ABC123
LDAP_ALLOW_INSECURE_FALLBACK: false
LDAP_BASE_DN:
- dc=example
- dc=com
LDAP_EMAIL_ATTR: mail
LDAP_UID_ATTR: uid
LDAP_URI: ldap://<example_url>.com
LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,dc=<domain_name>,dc=com)
LDAP_USER_RDN:
- ou=people
LDAP_SECONDARY_USER_RDNS:
- ou=<example_organization_unit_one>
- ou=<example_organization_unit_two>
- ou=<example_organization_unit_three>
- ou=<example_organization_unit_four>
# ...
AUTHENTICATION_TYPE: LDAP
# ...
LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
LDAP_ADMIN_PASSWD: ABC123
LDAP_ALLOW_INSECURE_FALLBACK: false
LDAP_BASE_DN:
- dc=example
- dc=com
LDAP_EMAIL_ATTR: mail
LDAP_UID_ATTR: uid
LDAP_URI: ldap://<example_url>.com
LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,dc=<domain_name>,dc=com)
LDAP_USER_RDN:
- ou=people
LDAP_SECONDARY_USER_RDNS:
- ou=<example_organization_unit_one>
- ou=<example_organization_unit_two>
- ou=<example_organization_unit_three>
- ou=<example_organization_unit_four>- 1
- 必須。
LDAPに設定する必要があります。 - 2
- 必須。LDAP 認証の管理 DN。
- 3
- 必須。LDAP 認証の管理パスワード。
- 4
- 必須。LDAP 認証に SSL/TLS の安全でないフォールバックを許可するかどうか。
- 5
- 必須。LDAP 認証のベース DN。
- 6
- 必須。LDAP 認証のメール属性。
- 7
- 必須。LDAP 認証の UID 属性。
- 8
- 必須。LDAP URI。
- 9
- 必須。LDAP 認証のユーザーフィルター。
- 10
- 必須。LDAP 認証のユーザー RDN。
- 11
- オプション: ユーザーオブジェクトが存在する組織単位が複数ある場合の Secondary User Relative DN。
LDAP 制限付きユーザー設定の例 YAML
# ...
AUTHENTICATION_TYPE: LDAP
# ...
FEATURE_RESTRICTED_USERS: true
# ...
LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
LDAP_ADMIN_PASSWD: ABC123
LDAP_ALLOW_INSECURE_FALLBACK: false
LDAP_BASE_DN:
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
LDAP_EMAIL_ATTR: mail
LDAP_UID_ATTR: uid
LDAP_URI: ldap://<example_url>.com
LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
LDAP_RESTRICTED_USER_FILTER: (<filterField>=<value>)
LDAP_USER_RDN:
- ou=<example_organization_unit>
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
# ...
# ...
AUTHENTICATION_TYPE: LDAP
# ...
FEATURE_RESTRICTED_USERS: true
# ...
LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
LDAP_ADMIN_PASSWD: ABC123
LDAP_ALLOW_INSECURE_FALLBACK: false
LDAP_BASE_DN:
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
LDAP_EMAIL_ATTR: mail
LDAP_UID_ATTR: uid
LDAP_URI: ldap://<example_url>.com
LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
LDAP_RESTRICTED_USER_FILTER: (<filterField>=<value>)
LDAP_USER_RDN:
- ou=<example_organization_unit>
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
# ...LDAP スーパーユーザー設定参照の例
# ...
AUTHENTICATION_TYPE: LDAP
# ...
LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
LDAP_ADMIN_PASSWD: ABC123
LDAP_ALLOW_INSECURE_FALLBACK: false
LDAP_BASE_DN:
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
LDAP_EMAIL_ATTR: mail
LDAP_UID_ATTR: uid
LDAP_URI: ldap://<example_url>.com
LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
LDAP_SUPERUSER_FILTER: (<filterField>=<value>)
LDAP_USER_RDN:
- ou=<example_organization_unit>
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
# ...
# ...
AUTHENTICATION_TYPE: LDAP
# ...
LDAP_ADMIN_DN: uid=<name>,ou=Users,o=<organization_id>,dc=<example_domain_component>,dc=com
LDAP_ADMIN_PASSWD: ABC123
LDAP_ALLOW_INSECURE_FALLBACK: false
LDAP_BASE_DN:
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
LDAP_EMAIL_ATTR: mail
LDAP_UID_ATTR: uid
LDAP_URI: ldap://<example_url>.com
LDAP_USER_FILTER: (memberof=cn=developers,ou=Users,o=<example_organization_unit>,dc=<example_domain_component>,dc=com)
LDAP_SUPERUSER_FILTER: (<filterField>=<value>)
LDAP_USER_RDN:
- ou=<example_organization_unit>
- o=<organization_id>
- dc=<example_domain_component>
- dc=com
# ...- 1
- 指定されたユーザーをスーパーユーザーとして設定します。
9.3.4. OAuth 設定フィールド
以下のフィールドは、OAuth を使用して外部 ID プロバイダーによる認証を処理する際の Red Hat Quay の動作を定義します。トークンの割り当てやホワイトリスト化されたクライアント ID、GitHub および Google のプロバイダー固有の設定などのグローバル OAuth オプションを設定できます。
| フィールド | 型 | 説明 |
|---|---|---|
| DIRECT_OAUTH_CLIENTID_WHITELIST | 文字列の配列 | ユーザーの承認なしに直接 OAuth 承認を実行できる Quay 管理 アプリケーションのクライアント ID のリスト。 |
| FEATURE_ASSIGN_OAUTH_TOKEN | Boolean | 組織管理者が他のユーザーに OAuth トークンを割り当てることを許可します。 |
グローバル OAuth の例の YAML
# ... DIRECT_OAUTH_CLIENTID_WHITELIST: - <quay_robot_client> - <quay_app_token_issuer> FEATURE_ASSIGN_OAUTH_TOKEN: true # ...
# ...
DIRECT_OAUTH_CLIENTID_WHITELIST:
- <quay_robot_client>
- <quay_app_token_issuer>
FEATURE_ASSIGN_OAUTH_TOKEN: true
# ...関連情報
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_GITHUB_LOGIN | Boolean |
GitHub ログインがサポートされるかどうか。 |
| GITHUB_LOGIN_CONFIG | Object | 外部ログインプロバイダーとして GitHub (Enterprise) を使用するための設定。 |
| .ALLOWED_ORGANIZATIONS | 文字列の配列 | ORG_RESTRICT オプションを使用するためにホワイトリスト化された GitHub (Enterprise) 組織の名前。 |
| .API_ENDPOINT | String |
使用する GitHub (Enterprise) API のエンドポイント。github.com に対してオーバーライドする必要があります。 |
|
.CLIENT_ID | String |
この Red Hat Quay インスタンスの登録されたクライアント ID。 |
|
.CLIENT_SECRET | String |
この Red Hat Quay インスタンスの登録されたクライアントシークレット。 |
|
.GITHUB_ENDPOINT | String |
GitHub (Enterprise) のエンドポイント。 |
| .ORG_RESTRICT | Boolean | true の場合は、組織のホワイトリスト内のユーザーのみが、このプロバイダーを使用してログインできます。 |
GitHub OAth のサンプル YAML
# ...
FEATURE_GITHUB_LOGIN: true
GITHUB_LOGIN_CONFIG:
ALLOWED_ORGANIZATIONS:
- <myorg>
- <dev-team>
API_ENDPOINT: <https://api.github.com/>
CLIENT_ID: <client_id>
CLIENT_SECRET: <client_secret>
GITHUB_ENDPOINT: <https://github.com/>
ORG_RESTRICT: true
# ...
# ...
FEATURE_GITHUB_LOGIN: true
GITHUB_LOGIN_CONFIG:
ALLOWED_ORGANIZATIONS:
- <myorg>
- <dev-team>
API_ENDPOINT: <https://api.github.com/>
CLIENT_ID: <client_id>
CLIENT_SECRET: <client_secret>
GITHUB_ENDPOINT: <https://github.com/>
ORG_RESTRICT: true
# ...| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_GOOGLE_LOGIN | Boolean |
Google ログインがサポートされるかどうか。 |
| GOOGLE_LOGIN_CONFIG | Object | 外部認証に Google を使用するための設定。 |
|
.CLIENT_ID | String |
この Red Hat Quay インスタンスの登録されたクライアント ID。 |
|
.CLIENT_SECRET | String |
この Red Hat Quay インスタンスの登録されたクライアントシークレット。 |
Google OAuth の例 YAML
# ... FEATURE_GOOGLE_LOGIN: true GOOGLE_LOGIN_CONFIG: CLIENT_ID: <client_id> CLIENT_SECRET: <client_secret> # ...
# ...
FEATURE_GOOGLE_LOGIN: true
GOOGLE_LOGIN_CONFIG:
CLIENT_ID: <client_id>
CLIENT_SECRET: <client_secret>
# ...9.3.5. OIDC 設定フィールド
Azure Entra ID (以前の Azure AD)、Okta、Keycloak など、OpenID Connect (OIDC)互換アイデンティティープロバイダーを介してユーザーを認証するように Red Hat Quay を設定できます。これらのフィールドは、OIDC ログインフロー時に使用される必要なクライアント認証情報、エンドポイント、およびトークンの動作を定義します。
| フィールド | 型 | 説明 |
|---|---|---|
|
<文字列>_LOGIN_CONFIG | String |
OIDC 設定を保持する親キー。通常は、OIDC プロバイダーの名前 ( |
|
.CLIENT_ID | String |
この Red Hat Quay インスタンスの登録されたクライアント ID。 |
|
.CLIENT_SECRET | String |
Red Hat Quay インスタンスの登録クライアントシークレット。 |
| .LOGIN_BINDING_FIELD | String | 内部承認が LDAP に設定されている場合に使用されます。Red Hat Quay はこのパラメーターを読み取り、このユーザー名でユーザーの LDAP ツリーで検索を試みます。存在する場合は、その LDAP アカウントへのリンクが自動的に作成されます。 |
| .LOGIN_SCOPES | Object | Red Hat Quay が OIDC プロバイダーとの通信に使用するスコープを追加します。 |
| .OIDC_ENDPOINT_CUSTOM_PARAMS | String |
OIDC エンドポイントでのカスタムクエリーパラメーターのサポートを追加しました。エンドポイント |
| .OIDC_ISSUER | String |
ユーザーが検証する発行者を定義できます。たとえば、JWT トークンは、トークンを発行したユーザーを定義する |
|
.OIDC_SERVER | String |
認証に使用される OIDC サーバーのアドレス。 |
| .PREFERRED_USERNAME_CLAIM_NAME | String | 優先ユーザー名をトークンのパラメーターに設定します。 |
| .SERVICE_ICON | String | ログイン画面のアイコンを変更します。 |
|
.SERVICE_NAME | String |
認証されているサービスの名前。 |
| .VERIFIED_EMAIL_CLAIM_NAME | String | ユーザーの電子メールアドレスを確認するために使用されるクレームの名前。 |
| .PREFERRED_GROUP_CLAIM_NAME | String | ユーザーのグループメンバーシップに関する情報を保持する OIDC トークンペイロード内のキー名。 |
| .OIDC_DISABLE_USER_ENDPOINT | Boolean |
|
OIDC 例の YAML
AUTHENTICATION_TYPE: OIDC
# ...
<oidc_provider>_LOGIN_CONFIG:
CLIENT_ID: <client_id>
CLIENT_SECRET: <client_secret>
LOGIN_BINDING_FIELD: <login_binding_field>
LOGIN_SCOPES:
- openid
- email
- profile
OIDC_ENDPOINT_CUSTOM_PARAMS:
authorization_endpoint:
some: "param"
token_endpoint:
some: "param"
user_endpoint:
some: "param"
OIDC_ISSUER: <oidc_issuer_url>
OIDC_SERVER: <oidc_server_address>
PREFERRED_USERNAME_CLAIM_NAME: <preferred_username_claim>
SERVICE_ICON: <service_icon_url>
SERVICE_NAME: <service_name>
VERIFIED_EMAIL_CLAIM_NAME: <verified_email_claim>
PREFERRED_GROUP_CLAIM_NAME: <preferred_group_claim>
OIDC_DISABLE_USER_ENDPOINT: true
# ...
AUTHENTICATION_TYPE: OIDC
# ...
<oidc_provider>_LOGIN_CONFIG:
CLIENT_ID: <client_id>
CLIENT_SECRET: <client_secret>
LOGIN_BINDING_FIELD: <login_binding_field>
LOGIN_SCOPES:
- openid
- email
- profile
OIDC_ENDPOINT_CUSTOM_PARAMS:
authorization_endpoint:
some: "param"
token_endpoint:
some: "param"
user_endpoint:
some: "param"
OIDC_ISSUER: <oidc_issuer_url>
OIDC_SERVER: <oidc_server_address>
PREFERRED_USERNAME_CLAIM_NAME: <preferred_username_claim>
SERVICE_ICON: <service_icon_url>
SERVICE_NAME: <service_name>
VERIFIED_EMAIL_CLAIM_NAME: <verified_email_claim>
PREFERRED_GROUP_CLAIM_NAME: <preferred_group_claim>
OIDC_DISABLE_USER_ENDPOINT: true
# ...9.3.6. Recaptcha 設定フィールド
Red Hat Quay インスタンスで Recaptcha サポートを有効にすると、自動システムによるユーザーのログインおよびアカウントの回復フォームの保護に役立ちます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_RECAPTCHA | Boolean |
ユーザーログインおよびリカバリーに Recaptcha が必要かどうか |
| RECAPTCHA_SECRET_KEY | String | recaptcha が有効になっている場合は、Recaptcha サービスの秘密鍵 |
| RECAPTCHA_SITE_KEY | String | recaptcha が有効になっている場合は、Recaptcha サービスのサイトキー |
reCAPTCHA の例の YAML
# ... FEATURE_RECAPTCHA: true RECAPTCHA_SITE_KEY: "<site_key>" RECAPTCHA_SECRET_KEY: "<secret_key>" # ...
# ...
FEATURE_RECAPTCHA: true
RECAPTCHA_SITE_KEY: "<site_key>"
RECAPTCHA_SECRET_KEY: "<secret_key>"
# ...9.3.7. JWT 設定フィールド
Red Hat Quay は、JSON Web Token (JWT)を使用して外部認証をサポートするように設定できます。このインテグレーションにより、サードパーティーのアイデンティティープロバイダーまたはトークン発行者は、トークンの検証、ユーザールックアップ、およびパーミッションクエリーを処理する特定のエンドポイントを呼び出して、ユーザーを認証および承認できます。
| フィールド | 型 | 説明 |
|---|---|---|
| JWT_AUTH_ISSUER | String |
JWT ユーザーのエンドポイント |
| JWT_GETUSER_ENDPOINT | String |
JWT ユーザーのエンドポイント |
| JWT_QUERY_ENDPOINT | String |
JWT クエリーのエンドポイント |
| JWT_VERIFY_ENDPOINT | String |
JWT 検証のエンドポイント |
JWT 例の YAML
# ... JWT_AUTH_ISSUER: "http://192.168.99.101:6060" JWT_GETUSER_ENDPOINT: "http://192.168.99.101:6060/getuser" JWT_QUERY_ENDPOINT: "http://192.168.99.101:6060/query" JWT_VERIFY_ENDPOINT: "http://192.168.99.101:6060/verify" # ...
# ...
JWT_AUTH_ISSUER: "http://192.168.99.101:6060"
JWT_GETUSER_ENDPOINT: "http://192.168.99.101:6060/getuser"
JWT_QUERY_ENDPOINT: "http://192.168.99.101:6060/query"
JWT_VERIFY_ENDPOINT: "http://192.168.99.101:6060/verify"
# ...9.3.8. アプリケーショントークン設定フィールド
アプリケーション固有のトークンにより、ユーザーはトークンベースの認証情報を使用して Red Hat Quay で認証できるようになります。これらのフィールドは、Docker などの CLI ツールに役に立ちます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_APP_SPECIFIC_TOKENS | Boolean |
有効な場合、ユーザーは Docker CLI で使用するトークンを作成できます。 |
| APP_SPECIFIC_TOKEN_EXPIRATION | String |
外部アプリトークンの有効期限。 |
| EXPIRED_APP_SPECIFIC_TOKEN_GC | String |
期限切れとなった外部アプリケーションがガべージコレクションが行われるまでに留まる期間。 |
アプリケーショントークンの例 YAML
# ... FEATURE_APP_SPECIFIC_TOKENS: true APP_SPECIFIC_TOKEN_EXPIRATION: "30d" EXPIRED_APP_SPECIFIC_TOKEN_GC: "1d" # ...
# ...
FEATURE_APP_SPECIFIC_TOKENS: true
APP_SPECIFIC_TOKEN_EXPIRATION: "30d"
EXPIRED_APP_SPECIFIC_TOKEN_GC: "1d"
# ...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}