4.5. OpenID-Connect クライアントを使用した Red Hat Single Sign-On への EAP アプリケーションの自動登録

1. 新しいプロジェクトを作成します。

   $ oc new-project eap-app-demo

2. view ロールを デフォルト のサービスアカウントに追加します。これにより、サービスアカウントが eap-app-demo 名前空間のすべてのリソースを表示できるようになります。これは、クラスターの管理に必要です。

   $ oc policy add-role-to-user view system:serviceaccount:$(oc project -q):default

3. EAP テンプレートには、SSL キーストアと JGroups キーストア が必要です。
   この例では、Java Development Kit に含まれるパッケージの keytool を使用して、これらのキーストアの自己署名証明書を生成します。以下のコマンドはパスワードを要求します。
   

   1. SSL キーストアのセキュアキーを生成します。

      $ keytool -genkeypair -alias https -storetype JKS -keystore eapkeystore.jks

   2. JGroups キーストアのセキュアキーを生成します。

      $ keytool -genseckey -alias jgroups -storetype JCEKS -keystore eapjgroups.jceks

4. SSL および JGroup キーストアファイルで EAP for OpenShift シークレットを生成します。

   $ oc create secret generic eap-ssl-secret --from-file=eapkeystore.jks
   $ oc create secret generic eap-jgroup-secret --from-file=eapjgroups.jceks

5. EAP シークレットを default のサービスアカウントに追加します。

   $ oc secrets link default eap-ssl-secret eap-jgroup-secret

1. サイドバーの上部にあるレルム名前空間にカーソルを合わせ、Add Realm をクリックします。
2. レルム名を入力して (この例では eap-demoを使用)、Create をクリックします。

1. Configure サイドバーの Roles をクリックし、このレルムのロールをリスト表示します。これは新しいレルムであるため、デフォルトの offline_access ロールのみが必要です。
2. Add Role をクリックします。
3. ロール名を入力して (この例ではロール eap-user-role を使用)、Save をクリックします。

1. Manage サイドバーで Users をクリックし、レルムのユーザー情報を表示します。
2. Add User をクリックします。
3. 有効なユーザー名 を入力して (この例ではユーザー eap-mgmt-user を使用)、Save をクリックします。
4. ユーザー設定を編集します。ユーザー空間の Credentials タブをクリックし、ユーザーのパスワードを入力します。パスワードを確認した後、Reset Password をクリックしてユーザーパスワードを設定できます。ポップアップウィンドウに追加の確認を求めるプロンプトが表示されます。
5. Role Mappings をクリックし、レルムおよびクライアントロール設定をリスト表示します。Client Roles ドロップダウンメニューで realm-management を選択し、利用可能なロールをすべてユーザーに追加します。これにより、JBoss EAP イメージによるクライアント作成に使用できる Red Hat Single Sign-On サーバーの権限が提供されます。

1. Manage サイドバーで Users をクリックし、レルムのユーザー情報を表示します。
2. Add User をクリックします。
3. アプリケーションユーザー の有効な ユーザー名 と任意の追加情報を入力し、Save をクリックします。
4. ユーザー設定を編集します。ユーザー空間の Credentials タブをクリックし、ユーザーのパスワードを入力します。パスワードを確認した後、Reset Password をクリックしてユーザーパスワードを設定できます。ポップアップウィンドウに追加の確認を求めるプロンプトが表示されます。
5. Role Mappings をクリックし、レルムおよびクライアントロール設定をリスト表示します。Available Roles で、先に作成したロールを追加します。

1. OpenShift Web コンソールに戻り、Add to project をクリックしてデフォルトのイメージストリームおよびテンプレートをリスト表示します。
2. Filter by keyword 検索バーを使用して、リストを sso に一致するものに制限します。See all をクリックして、必要なアプリケーションテンプレートを表示する必要がある場合があります。

3. eap71-sso-s2i イメージを選択して、すべてのデプロイメントパラメーターをリスト表示します。EAP ビルド時に Red Hat Single Sign-On 認証情報を設定するには、以下の Red Hat Single Sign-On パラメーターを追加します。

   変数	値の例
   APPLICATION_NAME	sso
   HOSTNAME_HTTPS	secure-sample-jsp.eap-app-demo.openshift32.example.com
   HOSTNAME_HTTP	sample-jsp.eap-app-demo.openshift32.example.com
   SOURCE_REPOSITORY_URL	https://repository-example.com/developer/application
   SSO_URL	https://secure-sso-sso-app-demo.openshift32.example.com/auth
   SSO_REALM	eap-demo
   SSO_USERNAME	eap-mgmt-user
   SSO_PASSWORD	password
   SSO_PUBLIC_KEY	<realm-public-key>
   HTTPS_KEYSTORE	eapkeystore.jks
   HTTPS_PASSWORD	password
   HTTPS_SECRET	eap-ssl-secret
   JGROUPS_ENCRYPT_KEYSTORE	eapjgroups.jceks
   JGROUPS_ENCRYPT_PASSWORD	password
   JGROUPS_ENCRYPT_SECRET	eap-jgroup-secret

4. Create をクリックして JBoss EAP イメージをデプロイします。

手順

1. JBoss EAP アプリケーションサーバーにアクセスし、Login をクリックします。Red Hat Single Sign-On ログインにリダイレクトされます。
2. この例で作成した Red Hat Single Sign-On ユーザーを使用してログインします。Red Hat Single Sign-On サーバーに対して認証され、JBoss EAP アプリケーションサーバーに返されます。