11.3. Red Hat Quay OIDC デプロイメントのチーム同期

手順

1. 次の情報を使用して config.yaml ファイルを更新します。

   AUTHENTICATION_TYPE: OIDC
   # ...
   OIDC_LOGIN_CONFIG:
     CLIENT_ID: 1
     CLIENT_SECRET: 2
     OIDC_SERVER: 3
     SERVICE_NAME: 4
     PREFERRED_GROUP_CLAIM_NAME: 5
     LOGIN_SCOPES: [ 'openid', '<example_scope>' ] 6
     OIDC_DISABLE_USER_ENDPOINT: false 7
   # ...
   FEATURE_TEAM_SYNCING: true 8
   FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP: true 9
   FEATURE_UI_V2: true
   # ...

   1

   必須。この Red Hat Quay インスタンスの登録済み OIDC クライアント ID。

   2

   必須。この Red Hat Quay インスタンスの登録済み OIDC クライアントシークレット。

   3

   必須。認証に使用される OIDC サーバーのアドレス。この URL は、<OIDC_SERVER>/.well-known/openid-configuration への GET リクエストがプロバイダーの設定情報を返すような URL である必要があります。この設定情報は、依存当事者 (RP) が OpenID Connect プロバイダーと安全にやり取りし、認証および承認プロセスに必要な詳細を取得するために不可欠です。

   4

   必須。認証されているサービスの名前。

   5

   必須。ユーザーのグループメンバーシップに関する情報を保持する OIDC トークンペイロード内のキー名。このフィールドにより、認証システムは OIDC トークンからグループメンバーシップ情報を抽出し、Red Hat Quay で使用できるようになります。

   6

   必須。Red Hat Quay が OIDC プロバイダーとの通信に使用するスコープを追加します。'openid' を含める必要があります。追加のスコープはオプションです。

   7

   /userinfo エンドポイントを許可するか無効にするかを指定します。Azure Entra ID を使用する場合は、このフィールドを true に設定します。デフォルトは false です。

   8

   必須。認証エンジンのバッキンググループからチームメンバーシップを同期できるようにするかどうか。

   9

   オプション: 有効にすると、スーパーユーザー以外のユーザーもチームの同期を設定できます。

2. Red Hat Quay レジストリーを再起動します。

1. OIDC プロバイダー経由で Red Hat Quay レジストリーにログインします。
2. Red Hat Quay v2 UI ダッシュボードで、Create Organization をクリックします。
3. 組織名を入力します (例: test-org)。
4. 組織の名前をクリックします。
5. ナビゲーションウィンドウで、Teams and membership をクリックします。
6. Create new team をクリックし、testteam などの名前を入力します。

7. Create team ポップアップで、以下を実行します。

   1. オプション: このチームをリポジトリーに追加します。
   2. ユーザーのアカウント名を入力して、チームメンバー (例: user1) を追加します。
   3. このチームにロボットアカウントを追加します。このページでは、ロボットアカウントを作成するオプションが提供されます。
8. Next をクリックします。
9. Review and Finish ページで、入力した情報を確認し、Review and Finish をクリックします。
10. Red Hat Quay OIDC デプロイメントのチーム同期を有効にするには、Teams and membership ページで Enable Directory Sync をクリックします。

11. OIDC オーセンティケーターが Azure Entra ID の場合はグループオブジェクト ID を入力するように求められ、別のプロバイダーを使用している場合はグループ名を入力するように求められます。ポップアップのメッセージに注意してください。

    警告

    チーム同期を有効にすると、すでにチームに所属しているユーザーのメンバーシップは取り消されることに注意してください。OIDC グループが信頼できる唯一の情報源となります。これは元に戻すことができないアクションです。Quay 内からのチームのユーザーメンバーシップは読み取り専用になります。

12. Enable Sync をクリックします。

13. Teams and membership ページに戻ります。このチームのユーザーは削除され、ログインし直すと、再度追加されることに注意してください。この段階では、ロボットアカウントのみがまだチームの一部です。

    ページ上部のバナーでチームが同期されていることを確認します。

    This team is synchronized with a group in OIDC and its user membership is therefore read-only.

    Directory Synchronization Config アコーディオンをクリックすると、デプロイメントが同期されている OIDC グループが表示されます。

14. Red Hat Quay レジストリーからログアウトし、検証手順に進みます。

1. Red Hat Quay レジストリーに再度ログインします。
2. Organizations test-org test-team Teams and memberships をクリックします。これで、user1 がこのチームのチームメンバーとして表示されます。

1. OIDC プロバイダーの管理コンソールに移動します。
2. OIDC プロバイダーの Users ページに移動します。このページの名前はプロバイダーによって異なります。
3. Red Hat Quay に関連付けられているユーザーの名前 (例: user1) をクリックします。
4. 設定されたアイデンティティープロバイダーのグループからユーザーを削除します。
5. ユーザーからアクセス権限を削除または割り当て解除します。
6. Red Hat Quay レジストリーにログインします。
7. Organizations test-org test-team Teams and memberships をクリックします。user1 はこのチームから削除されました。