Red Hat Summit10.2. Red Hat Quay の Red Hat Single Sign-On の設定
Keycloak プロジェクトに基づいた Red Hat Single Sign-On (RH-SSO) は、Red Hat が提供するオープンソースのアイデンティティーおよびアクセス管理 (IAM) ソリューションです。RH-SSO を使用すると、組織はユーザー ID を管理し、アプリケーションを保護して、システムとアプリケーション全体にアクセス制御ポリシーを適用できます。また、統合された認証および認可フレームワークも提供します。これにより、ユーザーは一度ログインすることで、再認証することなく複数のアプリケーションやリソースにアクセスできるようになります。詳細は、Red Hat Single Sign-On を参照してください。
Red Hat Quay で Red Hat Single Sign-On を設定すると、Red Hat Quay と OpenShift Container Platform などの他のアプリケーションプラットフォームの間にシームレスな認証インテグレーションを作成できます。
10.2.1. Red Hat Quay Operator で使用するための Red Hat Single Sign-On Operator の設定
以下の手順を使用して、OpenShift Container Platform で Red Hat Quay Operator の Red Hat Single Sign-On を設定します。
前提条件
- Red Hat Single Sign-On Operator が設定されている。詳細は、Red Hat Single Sign-On Operator を参照してください。
- Red Hat Single Sign-On および OpenShift Container Platform デプロイメントで Red Hat Quay に SSL/TLS が設定されている。
- 単一の認証局 (CA) を生成し、それを Red Hat Single Sign-On Operator と Red Hat Quay 設定にアップロードしている。
手順
Red Hat Single Sign-On 管理コンソール に移動します。
-
OpenShift Container Platform Web コンソール で、Network
Route に移動します。 - ドロップダウンリストから Red Hat Single Sign-On プロジェクトを選択します。
- Routes テーブルで Red Hat Single Sign-On 管理コンソール を見つけます。
-
OpenShift Container Platform Web コンソール で、Network
- Red Hat Quay の設定に使用するレルムを選択します。
- ナビゲーションパネルの Configure セクションで Clients をクリックし、Create ボタンをクリックして Red Hat Quay の新しい OIDC を追加します。
以下の情報を入力します。
-
Client ID:
quay-enterprise -
Client Protocol:
openid-connect -
Root URL:
https://<quay_endpoint>/
-
Client ID:
- Save をクリックします。これにより、Clients 設定パネルにリダイレクトされます。
- Access Type に移動し、Confidential を選択します。
Valid Redirect URI に移動します。3 つのリダイレクト URI を指定する必要があります。値は、Red Hat Quay レジストリーの完全修飾ドメイン名に
/oauth2/redhatsso/callbackを付加したものである必要があります。以下に例を示します。-
https://<quay_endpoint>/oauth2/redhatsso/callback -
https://<quay_endpoint>/oauth2/redhatsso/callback/attach -
https://<quay_endpoint>/oauth2/redhatsso/callback/cli
-
- Save をクリックして、新しい Credentials 設定に移動します。
- Secret の値をコピーします。
10.2.1.1. Red Hat Single Sign-On を使用するための Red Hat Quay Operator の設定
Red Hat Quay Operator で Red Hat Single Sign-On を設定するには、次の手順を使用します。
前提条件
- Red Hat Single Sign-On Operator が設定されている。詳細は、Red Hat Single Sign-On Operator を参照してください。
- Red Hat Single Sign-On および OpenShift Container Platform デプロイメントで Red Hat Quay に SSL/TLS が設定されている。
- 単一の認証局 (CA) を生成し、それを Red Hat Single Sign-On Operator と Red Hat Quay 設定にアップロードしている。
手順
-
Operator
Installed Operators Red Hat Quay Quay Registry Config Bundle Secret に移動して、Red Hat Quay config.yamlファイルを編集します。次に、ActionsEdit Secret をクリックします。または、 config.yamlファイルをローカルに更新することもできます。 以下の情報を OpenShift Container Platform
config.yamlファイルの Red Hat Quay に追加します。# ... RHSSO_LOGIN_CONFIG: CLIENT_ID: <client_id> CLIENT_SECRET: <client_secret> OIDC_SERVER: <oidc_server_url> SERVICE_NAME: <service_name> SERVICE_ICON: <service_icon> VERIFIED_EMAIL_CLAIM_NAME: <example_email_address> PREFERRED_USERNAME_CLAIM_NAME: <preferred_username> LOGIN_SCOPES: [ 'openid', 'roles' ] USE_PKCE: true PKCE_METHOD: "S256" # ...各項目の説明:
RHSSO_LOGIN_CONFIG::OIDC 設定を保持する親キーを指定します。この例では、親キーとしてRHSSO_LOGIN_CONFIGが使用されており、文字列は特定のニーズに基づいて任意の文字列に置き換えることができます。たとえば、ABC123などです。ただし、GOOGLEとGITHUBという文字列は受け付けられません。これらの文字列は、それぞれの ID プラットフォーム用に予約されており、使用するプラットフォームに応じて特定のconfig.yamlエントリーが必要です。CLIENT_ID::アイデンティティープロバイダーに登録されるアプリケーションのクライアント ID を指定します。たとえば、quayなどです。CLIENT_SECRET::クライアントシークレットを指定します。OIDC_SERVER::Red Hat Single Sign-On インスタンスの完全修飾ドメイン名 (FQDN) を指定します。末尾に/auth/realms/とレルム名が付加されます。末尾にスラッシュを含める必要があります。例:https://sso-redhat.example.com//auth/realms/<your_realm_name>/。SERVICE_NAME::Red Hat Quay ログインページに表示される名前を指定します。たとえば、Red Hat Single Sign On などです。SERVICE_ICON::ログイン画面に表示されるアイコンを指定します。例:/static/img/RedHat.svg.VERIFIED_EMAIL_CLAIM_NAME::ユーザーのメールアドレスを検証するために使用されるクレームの名前を指定します。PREFERRED_USERNAME_CLAIM_NAME::ユーザーのメールアドレスを検証するために使用されるクレームの名前を指定します。LOGIN_SCOPES::ログインフローを実行する際に OIDC プロバイダーに送信するスコープを指定します。たとえば、openid などです。USE_PKCE::コード交換用証明キー (PKCE) を有効にするかどうかを指定します。デフォルトはFalseです。PKCE_METHOD::初回認可リクエストで送信されるコードチャレンジを生成するために使用されるコードチャレンジ方法を指定します。デフォルトはS256です。- Red Hat Single Sign-On を有効にして、OpenShift Container Platform デプロイメントで Red Hat Quay を再起動します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}