第12章 Red Hat Quay の OIDC の設定
Red Hat Quay に OpenID Connect (OIDC) を設定すると、Red Hat Quay デプロイメントにメリットがいくつかあります。たとえば、OIDC を使用すると、ユーザーは Red Hat Single Sign-On、Google、Github、Microsoft などの OIDC プロバイダーからの既存の認証情報を使用して Red Hat Quay に対して認証できるようになります。OIDC のその他の利点には、一元的なユーザー管理、より強固なキュリティー、Single Sign-On (SSO) などがあります。全体として、OIDC 設定はユーザーの認証と管理を簡素化し、セキュリティーを強化して、Red Hat Quay ユーザーにシームレスなユーザーエクスペリエンスを提供します。
次の手順では、Red Hat Single Sign-On と Azure AD を設定する方法を示します。これらの手順には、Red Hat Quay config ツールを使用した Red Hat Quay Operator およびスタンドアロンデプロイメントでの OIDC の設定が含まれます。
これらの手順に従うことで、使用する認証プロバイダーに関係なく、任意の OIDC プロバイダーを Red Hat Quay に追加できるようになります。
12.1. Red Hat Quay の Red Hat Single Sign-On の設定
Keycloak プロジェクトに基づいた Red Hat Single Sign-On (RH-SSO) は、Red Hat が提供するオープンソースのアイデンティティーおよびアクセス管理 (IAM) ソリューションです。RH-SSO を使用すると、組織はユーザー ID を管理し、アプリケーションを保護して、システムとアプリケーション全体にアクセス制御ポリシーを適用できます。また、統合された認証および認可フレームワークも提供します。これにより、ユーザーは一度ログインすることで、再認証することなく複数のアプリケーションやリソースにアクセスできるようになります。詳細は、Red Hat Single Sign-On を参照してください。
Red Hat Quay で Red Hat Single Sign-On を設定すると、Red Hat Quay と OpenShift Container Platform などの他のアプリケーションプラットフォームの間にシームレスな認証インテグレーションを作成できます。
12.1.1. Red Hat Quay Operator の Red Hat Single Sign-On Operator の設定
以下の手順を使用して、OpenShift Container Platform で Red Hat Quay Operator の Red Hat Single Sign-On を設定します。
前提条件
- Red Hat Quay Operator 用に Red Hat Single Sign-On を設定している。詳細は、Red Hat Single Sign-On Operator を参照してください。
- Red Hat Quay デプロイメント および Red Hat Single Sign-On 用に TLS/SSL を設定している。
- 単一の認証局 (CA) を生成し、それを Red Hat Single Sign-On Operator と Red Hat Quay 設定にアップロードしている。
- OpenShift Container Platform クラスターにログインしている。
-
OpenShift CLI (
oc
) がインストールされている。
手順
Red Hat Single Sign-On 管理コンソール に移動します。
-
OpenShift Container Platform Web コンソール で、Network
Route に移動します。 - ドロップダウンリストから Red Hat Single Sign-On プロジェクトを選択します。
- Routes テーブルで Red Hat Single Sign-On 管理コンソール を見つけます。
-
OpenShift Container Platform Web コンソール で、Network
- Red Hat Quay の設定に使用するレルムを選択します。
- ナビゲーションパネルの Configure セクションで Clients をクリックし、Create ボタンをクリックして Red Hat Quay の新しい OIDC を追加します。
以下の情報を入力します。
-
Client ID:
quay-enterprise
-
Client Protocol:
openid-connect
-
Root URL:
https://<quay endpoint>/
-
Client ID:
- Save をクリックします。これにより、Clients 設定パネルにリダイレクトされます。
- Access Type に移動し、Confidential を選択します。
Valid Redirect URI に移動します。3 つのリダイレクト URI を指定する必要があります。値は、Red Hat Quay レジストリーの完全修飾ドメイン名に
/oauth2/redhatsso/callback
を付加したものである必要があります。以下に例を示します。- Save をクリックして、新しい Credentials 設定に移動します。
- Secret の値をコピーします。
12.1.2. Red Hat Single Sign-On を使用するための Red Hat Quay Operator の設定
Red Hat Quay Operator で Red Hat Single Sign-On を設定するには、次の手順を使用します。
前提条件
- Red Hat Quay Operator 用に Red Hat Single Sign-On Operator を設定しました。
手順
-
Operators
Installed Operators に移動して、Red Hat Quay config エディターツールに入ります。Red Hat Quay Quay Registry をクリックします。次に、Red Hat Quay レジストリーの名前と、Config Editor Endpoint にリストされている URL をクリックします。 カスタム SSL/TLS 証明書を OpenShift Container Platform デプロイメントにアップロードします。
- Red Hat Quay config ツール UI に移動します。
- Custom SSL Certificates で、Select file をクリックし、カスタム SSL/TLS 証明書をアップロードします。
- Red Hat Quay デプロイメントを再設定します。
- External Authorization (OAuth) セクションまで下にスクロールします。
- Add OIDC Provider をクリックします。
-
プロンプトが表示されたら、
redhatsso
と入力します。 以下の情報を入力します。
-
OIDC Server:
/auth/realms/
とレルム名が付加された Red Hat Single Sign-On インスタンスの完全修飾ドメイン名 (FQDN)。最後にスラッシュを含める必要があります (例:https://sso-redhat.example.com//auth/realms/<keycloak_realm_name>/
)。 -
Client ID: 認証プロバイダーで再登録されるアプリケーションのクライアント ID (例:
quay-enterprise
)。 -
Client Secret:
quay-enterprise
OIDC クライアント設定の Credentials タブのシークレット。 -
Service Name: Red Hat Quay ログインページに表示される名前 (例:
Red Hat Single Sign On
)。 - Verified Email Address Claim: ユーザーの電子メールアドレスを検証するために使用される要求の名前。
-
Login Scopes: ログインフローの実行時に OIDC プロバイダーに送信するスコープ (
openid
など)。設定後、Add をクリックする必要があります。
-
OIDC Server:
- 下にスクロールして、Validate Configuration Changes をクリックします。次に、Restart Now をクリックして、OIDC を有効にして Red Hat Quay Operator をデプロイします。