Red Hat Summit10.3. ユーザーとアクセス管理
これらのフィールドを使用して、ユーザーの作成、認証、管理方法を設定します。これには、スーパーユーザー、アカウント回復、アプリケーション固有のトークン、ログイン動作、LDAP、OAuth、OIDC などの外部アイデンティティープロバイダーの設定が含まれます。
10.3.1. ユーザー設定フィールド
ユーザー設定フィールドは、Red Hat Quay デプロイメントにおけるユーザーアカウントの動作を定義します。これらのフィールドにより、ユーザーの作成、アクセスレベル、メタデータの追跡、回復オプション、namespace の管理を制御できます。組織のガバナンスおよびセキュリティーポリシーに合わせて、招待のみの作成やスーパーユーザー権限などの制限を適用することもできます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_SUPER_USERS | Boolean |
スーパーユーザーがサポートされているかどうか |
| FEATURE_USER_CREATION | Boolean |
ユーザーを作成できるかどうか (スーパーユーザー以外による) |
| FEATURE_USER_LAST_ACCESSED | Boolean |
ユーザーが最後にアクセスした時間を記録するかどうか |
| FEATURE_USER_LOG_ACCESS | Boolean |
true に設定すると、ユーザーは自分の名前空間の監査ログにアクセスできるようになります。 |
| FEATURE_USER_METADATA | Boolean |
ユーザーのメタデータを収集してサポートするかどうか |
| FEATURE_USERNAME_CONFIRMATION | Boolean |
true に設定すると、OpenID Connect (OIDC) または LDAP などのデータベース以外の認証プロバイダーでログインする場合に、初期ユーザー名を確認および変更できます。 |
| FEATURE_USER_RENAME | Boolean |
true に設定すると、ユーザーは自分の名前空間の名前を変更できます |
| FEATURE_INVITE_ONLY_USER_CREATION | Boolean |
作成されるユーザーは他のユーザーから招待される必要があるかどうか |
| FRESH_LOGIN_TIMEOUT | String |
新規ログイン時にユーザーがパスワードの再入力を要求されるまでの時間。 |
| USERFILES_LOCATION | String |
ユーザーがアップロードしたファイルを配置するストレージエンジンの ID。 |
| USERFILES_PATH | String |
ユーザーがアップロードしたファイルを配置するストレージの下のパス。 |
| USER_RECOVERY_TOKEN_LIFETIME | String |
ユーザーアカウントを復元するためのトークンが有効な期間。 |
| FEATURE_SUPERUSERS_FULL_ACCESS | Boolean | スーパーユーザーが所有していない名前空間、または明示的なアクセス許可を持っていない名前空間内の他のリポジトリーからコンテンツを読み取り、書き込み、削除する機能をスーパーユーザーに付与します。
デフォルト: |
| FEATURE_SUPERUSERS_ORG_CREATION_ONLY | Boolean | スーパーユーザーのみに組織の作成を許可するかどうか。
デフォルト: |
| FEATURE_SUPERUSER_CONFIGDUMP | Boolean |
検証のために、実行中のフレームワーク、環境、スキーマの完全な設定ダンプを有効にします。 |
| FEATURE_RESTRICTED_USERS | Boolean |
デフォルト: |
| RESTRICTED_USERS_WHITELIST | 文字列 |
|
| GLOBAL_READONLY_SUPER_USERS | 文字列 |
設定すると、公開リポジトリーかどうかに関係なく、このリストのユーザーにすべてのリポジトリーへの読み取りアクセスが許可されます。 |
ユーザーの YAML サンプル
- 1
RESTRICTED_USERS_WHITELISTフィールドが設定されている場合、ホワイトリストに登録されたユーザーは、FEATURE_RESTRICTED_USERS がTrueに設定されている場合でも、組織を作成したり、リポジトリーからのコンテンツの読み取りや書き込みを行ったりできます。user2、user3、user4などの他のユーザーは、組織の作成、コンテンツの読み取りまたは書き込みが制限されています。
10.3.2. ロボットアカウント設定フィールド
次の設定フィールドを使用すると、ロボットアカウントの作成と操作をグローバルに禁止できます。
関連情報
| フィールド | 型 | 説明 |
|---|---|---|
| ROBOTS_DISALLOW | Boolean |
|
ロボットアカウントを許可しない YAML サンプル
# ... ROBOTS_DISALLOW: true # ...
# ...
ROBOTS_DISALLOW: true
# ...10.3.3. LDAP 設定フィールド
次の設定フィールドにより、管理者は Red Hat Quay を LDAP ベースの認証システムと統合できます。AUTHENTICATION_TYPE が LDAP に設定されている場合、Red Hat Quay は LDAP ディレクトリーに対してユーザーを認証し、チームの同期、スーパーユーザーのアクセス制御、制限されたユーザーロール、安全な接続パラメーターなどの追加のオプション機能をサポートできます。
このセクションでは、次の LDAP シナリオの YAML サンプルを示します。
- 基本的な LDAP 設定
- LDAP 制限付きユーザー設定
- LDAP スーパーユーザー設定
| フィールド | 型 | 説明 |
|---|---|---|
|
AUTHENTICATION_TYPE | 文字列 |
|
| FEATURE_TEAM_SYNCING | Boolean |
認証エンジン (OIDC、LDAP、または Keystone) のバックアップグループからチームメンバーシップを同期できるようにするかどうか。 |
| FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP | Boolean |
有効にすると、スーパーユーザー以外のユーザーもチームの同期を設定できます。 |
| LDAP_ADMIN_DN | 文字列 | LDAP 認証の管理 DN。 |
| LDAP_ADMIN_PASSWD | 文字列 | LDAP 認証の管理パスワード。 |
| LDAP_ALLOW_INSECURE_FALLBACK | Boolean | LDAP 認証で SSL の非セキュアなフォールバックを許可するかどうか。 |
| LDAP_BASE_DN | 文字列の配列 | LDAP 認証のベース DN。 |
| LDAP_EMAIL_ATTR | 文字列 | LDAP 認証のメール属性。 |
| LDAP_UID_ATTR | 文字列 | LDAP 認証の uid 属性。 |
| LDAP_URI | 文字列 | LDAP URI。 |
| LDAP_USER_FILTER | 文字列 | LDAP 認証のユーザーフィルター。 |
| LDAP_USER_RDN | 文字列の配列 | LDAP 認証のユーザー RDN。 |
| LDAP_SECONDARY_USER_RDNS | 文字列の配列 | ユーザーオブジェクトが存在する組織単位が複数ある場合は、Secondary User Relative DNs を指定します。 |
| TEAM_RESYNC_STALE_TIME | 文字列 |
チームでチーム同期が有効になっている場合は、そのメンバーシップを確認し、必要に応じて再同期する頻度。 |
| LDAP_SUPERUSER_FILTER | 文字列 |
このフィールドを使用すると、管理者は Red Hat Quay 設定ファイルを更新してデプロイメントを再起動することなく、スーパーユーザーを追加または削除できます。
このフィールドでは、 |
| LDAP_GLOBAL_READONLY_SUPERUSER_FILTER | 文字列 |
設定すると、公開リポジトリーかどうかに関係なく、このリストのユーザーにすべてのリポジトリーへの読み取りアクセスが許可されます。 |
| LDAP_RESTRICTED_USER_FILTER | 文字列 |
このフィールドでは、 |
| FEATURE_RESTRICTED_USERS | Boolean |
デフォルト: |
| LDAP_TIMEOUT | Integer |
LDAP 操作の時間制限を秒単位で指定します。これにより、LDAP 検索、バインド、またはその他の操作にかかる時間が制限されます。 |
| LDAP_NETWORK_TIMEOUT | Integer |
LDAP サーバーへの接続を確立するための時間制限を秒単位で指定します。これは、 |
基本的な LDAP 設定の YAML サンプル
- 1
- 必須。
LDAPに設定する必要があります。 - 2
- 必須。LDAP 認証の管理 DN。
- 3
- 必須。LDAP 認証の管理パスワード。
- 4
- 必須。LDAP 認証に SSL/TLS の安全でないフォールバックを許可するかどうか。
- 5
- 必須。LDAP 認証のベース DN。
- 6
- 必須。LDAP 認証のメール属性。
- 7
- 必須。LDAP 認証の UID 属性。
- 8
- 必須。LDAP URI。
- 9
- 必須。LDAP 認証のユーザーフィルター。
- 10
- 必須。LDAP 認証のユーザー RDN。
- 11
- オプション: ユーザーオブジェクトが存在する組織単位が複数ある場合の Secondary User Relative DN。
LDAP 制限ユーザー設定の YAML サンプル
LDAP スーパーユーザー設定リファレンスの YAML サンプル
- 1
- 指定されたユーザーをスーパーユーザーとして設定します。
10.3.4. OAuth 設定フィールド
以下のフィールドは、OAuth を使用して外部アイデンティティープロバイダーを通じて認証を処理する場合の Red Hat Quay の動作を定義します。トークンの割り当てやホワイトリストに登録されたクライアント ID などのグローバル OAuth オプション、および GitHub と Google のプロバイダー固有の設定を行うことができます。
| フィールド | 型 | 説明 |
|---|---|---|
| DIRECT_OAUTH_CLIENTID_WHITELIST | 文字列の配列 | ユーザーの承認なしに直接 OAuth 承認を実行できる Quay 管理 アプリケーションのクライアント ID のリスト。 |
| FEATURE_ASSIGN_OAUTH_TOKEN | Boolean | 組織管理者が他のユーザーに OAuth トークンを割り当てることを許可します。 |
グローバル OAuth の YAML サンプル
関連情報
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_GITHUB_LOGIN | Boolean |
GitHub ログインがサポートされるかどうか。 |
| GITHUB_LOGIN_CONFIG | Object | 外部ログインプロバイダーとして GitHub (Enterprise) を使用するための設定。 |
| .ALLOWED_ORGANIZATIONS | 文字列の配列 | ORG_RESTRICT オプションを使用するためにホワイトリスト化された GitHub (Enterprise) 組織の名前。 |
| .API_ENDPOINT | 文字列 |
使用する GitHub (Enterprise) API のエンドポイント。github.com に対してオーバーライドする必要があります。 |
|
.CLIENT_ID | 文字列 |
この Red Hat Quay インスタンスの登録されたクライアント ID。 |
|
.CLIENT_SECRET | 文字列 |
この Red Hat Quay インスタンスの登録済みクライアントシークレット。 |
|
.GITHUB_ENDPOINT | 文字列 |
GitHub (Enterprise) のエンドポイント。 |
| .ORG_RESTRICT | Boolean | true の場合は、組織のホワイトリスト内のユーザーのみが、このプロバイダーを使用してログインできます。 |
Github OAth の YAML サンプル
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_GOOGLE_LOGIN | Boolean |
Google ログインがサポートされるかどうか。 |
| GOOGLE_LOGIN_CONFIG | Object | 外部認証に Google を使用するための設定。 |
|
.CLIENT_ID | 文字列 |
この Red Hat Quay インスタンスの登録済みクライアント ID。 |
|
.CLIENT_SECRET | 文字列 |
この Red Hat Quay インスタンスの登録済みクライアントシークレット。 |
Google OAuth の YAML サンプル
10.3.5. OIDC 設定フィールド
Azure Entra ID (旧称 Azure AD)、Okta、Keycloak など、OpenID Connect (OIDC) 互換のアイデンティティープロバイダーを通じてユーザーを認証するように Red Hat Quay を設定できます。これらのフィールドは、OIDC ログインフロー中に使用される必要なクライアント認証情報、エンドポイント、およびトークンの動作を定義します。
| フィールド | 型 | 説明 |
|---|---|---|
|
<文字列>_LOGIN_CONFIG | 文字列 |
OIDC 設定を保持する親キー。通常は、OIDC プロバイダーの名前 ( |
|
.CLIENT_ID | 文字列 |
この Red Hat Quay インスタンスの登録されたクライアント ID。 |
|
.CLIENT_SECRET | 文字列 |
Red Hat Quay インスタンスの登録クライアントシークレット。 |
| .LOGIN_BINDING_FIELD | 文字列 | 内部承認が LDAP に設定されている場合に使用されます。Red Hat Quay はこのパラメーターを読み取り、このユーザー名でユーザーの LDAP ツリーで検索を試みます。存在する場合は、その LDAP アカウントへのリンクが自動的に作成されます。 |
| .LOGIN_SCOPES | Object | Red Hat Quay が OIDC プロバイダーとの通信に使用するスコープを追加します。 |
| .OIDC_ENDPOINT_CUSTOM_PARAMS | 文字列 |
OIDC エンドポイントでのカスタムクエリーパラメーターのサポートを追加しました。エンドポイント |
| .OIDC_ISSUER | 文字列 |
ユーザーが検証する発行者を定義できます。たとえば、JWT トークンは、トークンを発行したユーザーを定義する |
|
.OIDC_SERVER | 文字列 |
認証に使用される OIDC サーバーのアドレス。 |
| .PREFERRED_USERNAME_CLAIM_NAME | 文字列 | 優先ユーザー名をトークンのパラメーターに設定します。 |
| .SERVICE_ICON | 文字列 | ログイン画面のアイコンを変更します。 |
|
.SERVICE_NAME | 文字列 |
認証されているサービスの名前。 |
| .VERIFIED_EMAIL_CLAIM_NAME | 文字列 | ユーザーの電子メールアドレスを確認するために使用されるクレームの名前。 |
| .PREFERRED_GROUP_CLAIM_NAME | 文字列 | ユーザーのグループメンバーシップに関する情報を保持する OIDC トークンペイロード内のキー名。 |
| .OIDC_DISABLE_USER_ENDPOINT | Boolean |
|
OIDC の YAML サンプル
10.3.6. Recaptcha 設定フィールド
Red Hat Quay インスタンスで Recaptcha サポートを有効にすると、自動システムによるユーザーログインおよびアカウント回復フォームの不正使用を防ぐことができます。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_RECAPTCHA | Boolean |
ユーザーログインおよびリカバリーに Recaptcha が必要かどうか |
| RECAPTCHA_SECRET_KEY | 文字列 | recaptcha が有効になっている場合は、Recaptcha サービスの秘密鍵 |
| RECAPTCHA_SITE_KEY | 文字列 | recaptcha が有効になっている場合は、Recaptcha サービスのサイトキー |
Recaptcha の YAML サンプル
# ... FEATURE_RECAPTCHA: true RECAPTCHA_SITE_KEY: "<site_key>" RECAPTCHA_SECRET_KEY: "<secret_key>" # ...
# ...
FEATURE_RECAPTCHA: true
RECAPTCHA_SITE_KEY: "<site_key>"
RECAPTCHA_SECRET_KEY: "<secret_key>"
# ...10.3.7. JWT 設定フィールド
Red Hat Quay は、JSON Web Token (JWT) を使用して外部認証をサポートするように設定できます。この統合により、サードパーティーのアイデンティティープロバイダーまたはトークン発行者は、トークンの検証、ユーザーの検索、およびパーミッションのクエリーを処理する特定のエンドポイントを呼び出すことによって、ユーザーを認証および認可できるようになります。
| フィールド | 型 | 説明 |
|---|---|---|
| JWT_AUTH_ISSUER | 文字列 |
JWT ユーザーのエンドポイント |
| JWT_GETUSER_ENDPOINT | 文字列 |
JWT ユーザーのエンドポイント |
| JWT_QUERY_ENDPOINT | 文字列 |
JWT クエリーのエンドポイント |
| JWT_VERIFY_ENDPOINT | 文字列 |
JWT 検証のエンドポイント |
JWT の YAML サンプル
10.3.8. アプリケーショントークン設定フィールド
アプリケーション固有のトークンにより、ユーザーはトークンベースの認証情報を使用して、Red Hat Quay で認証できるようになります。これらのフィールドは、Docker などの CLI ツールに役立つ可能性があります。
| フィールド | 型 | 説明 |
|---|---|---|
| FEATURE_APP_SPECIFIC_TOKENS | Boolean |
有効な場合、ユーザーは Docker CLI で使用するトークンを作成できます。 |
| APP_SPECIFIC_TOKEN_EXPIRATION | 文字列 |
外部アプリトークンの有効期限。 |
| EXPIRED_APP_SPECIFIC_TOKEN_GC | 文字列 |
期限切れとなった外部アプリケーションがガべージコレクションが行われるまでに留まる期間。 |
アプリケーショントークンの YAML サンプル
# ... FEATURE_APP_SPECIFIC_TOKENS: true APP_SPECIFIC_TOKEN_EXPIRATION: "30d" EXPIRED_APP_SPECIFIC_TOKEN_GC: "1d" # ...
# ...
FEATURE_APP_SPECIFIC_TOKENS: true
APP_SPECIFIC_TOKEN_EXPIRATION: "30d"
EXPIRED_APP_SPECIFIC_TOKEN_GC: "1d"
# ...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}