Red Hat Summit1.4. 追加の OpenID Connect プロバイダーの設定
システム管理者は、Red Hat の Trusted Artifact Signer サービスで使用するために、さまざまな OpenID Connect (OIDC) プロバイダーを設定できます。ユーザーを認証するために、次の OIDC プロバイダーを設定できます。
- Red Hat build of Keycloak
- Red Hat Single Sign-on (SSO)
- Amazon Security Token Service (STS)
- Microsoft Entra ID
- GitHub
1.4.1. Google を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
Google OAuth 2.0 を Red Hat の Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして使用できます。RHTAS のデプロイメント中、または後で Google OAuth を設定するかどうかを決定できます。
同じ設定で複数の異なる OIDC プロバイダーを定義できます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 -
ocおよびpodmanバイナリーがインストールされたワークステーション。 Google Cloud Console から、次の設定を使用して OAuth クライアント ID を作成している。
- アプリケーションタイプを “Web Application” に設定します。
- 承認されたリダイレクト URI には http://localhost/auth/callback が含まれている必要があります。
手順
ワークステーションでターミナルを開き、OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTAS 設定を更新します。
Securesignリソースを開いて編集します。構文
oc edit Securesign NAME -n NAMESPACE例
oc edit Securesign securesign-sample -n trusted-artifact-signer注記RHTAS インストール用に作成されたプロジェクト名を namespace として使用する必要があります。
OIDCIssuersセクションで、Google クライアント ID、発行者の URL を含む新しいサブセクションを追加し、Type値をemailに設定します。構文
... OIDCIssuers: - Issuer: "https://accounts.google.com" IssuerURL: "https://accounts.google.com" ClientID: "CLIENT_ID" Type: email ...Google クライアント識別子を
ClientIDフィールドに追加します。- 変更を保存し、エディターを終了します。数秒後、Operator は RHTAS ソフトウェアスタックを自動的に再設定します。
OIDC 発行者とクライアント ID 環境変数を Google を使用するように変更します。
例
export OIDC_ISSUER_URL=https://accounts.google.com export COSIGN_OIDC_CLIENT_ID="314919563931-35zke44ouf2oiztjg7v8o8c2ge9usnd1.apps.googleexample.com"Google コンソールからプレーンテキストファイルにシークレットをコピーして貼り付けます。
構文
echo SECRET > my-google-client-secretRHTAS サービスがすでに実行されている場合は、テストコンテナーイメージに署名して更新された設定を確認できます。
空のコンテナーイメージを作成します。
例
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
podman push ttl.sh/rhtas/test-image:1h一時的な Docker ファイルを削除します。
例
rm ./tmp.Dockerfileコンテナーイメージに署名します。
構文
cosign sign -y --oidc-client-secret-file=SECRET_FILE IMAGE_NAME:TAG例
cosign sign -y --oidc-client-secret-file=my-google-client-secret ttl.sh/rhtas/test-image:1hWeb ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。
1.4.2. Red Hat SSO を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
Red Hat Single Sign-On (SSO) を、Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect プロバイダーとして使用できます。これにより、アプリケーションとセキュアなサービスに Keycloak 認証環境が提供されます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 - Keycloak PostgreSQL データベース用に 1 GB のコンテナーストレージを使用できる。
-
ocバイナリーがインストールされているワークステーション。
手順
-
cluster-adminロールを持つユーザーで OpenShift Web コンソールにログインします。 Keycloak サービスをデプロイする新規プロジェクトを作成します。
- Administrator パースペクティブのナビゲーションメニューから Home を展開し、Projects をクリックします。
- Create Project ボタンをクリックします。
-
新しい project name は
keycloak-systemで、Create ボタンをクリックします。
- ナビゲーションメニューから Operators を展開し、OperatorHub をクリックします。
- 検索フィールドに sso と入力し、Red Hat Single Sign-on タイルをクリックします。
- Install ボタンをクリックして、Operator の詳細を表示します。
-
まだ設定されていない場合は、Installed Namespace ドロップダウンメニューから
keycloak-systemを選択します。 - Install Operator ページで Install をクリックし、インストールが完了するまで待ちます。
- インストールが完了したら、View Operator をクリックします。
ワークステーションターミナルから、OpenShift クラスターにログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
Keycloak プロジェクトに切り替えます。
例
oc project keycloak-systemKeycloak インスタンスを作成します。
例
cat <<EOF | oc apply -f - apiVersion: keycloak.org/v1alpha1 kind: Keycloak metadata: labels: app: sso name: keycloak spec: externalAccess: enabled: true instances: 1 keycloakDeploymentSpec: imagePullPolicy: Always postgresDeploymentSpec: imagePullPolicy: Always EOFKeycloak レルムを作成します。
例
cat <<EOF | oc apply -f - apiVersion: keycloak.org/v1alpha1 kind: KeycloakRealm metadata: labels: app: sso name: trusted-artifact-signer spec: instanceSelector: matchLabels: app: sso realm: displayName: Red-Hat-Trusted-Artifact-Signer enabled: true id: trusted-artifact-signer realm: trusted-artifact-signer sslRequired: none EOFKeycloak クライアントを作成します。
例
cat <<EOF | oc apply -f - apiVersion: keycloak.org/v1alpha1 kind: KeycloakClient metadata: labels: app: sso name: trusted-artifact-signer spec: client: attributes: request.object.signature.alg: RS256 user.info.response.signature.alg: RS256 clientAuthenticatorType: client-secret clientId: trusted-artifact-signer defaultClientScopes: - profile - email description: Client for Red Hat Trusted Artifact Signer authentication directAccessGrantsEnabled: true implicitFlowEnabled: false name: trusted-artifact-signer protocol: openid-connect protocolMappers: - config: claim.name: email id.token.claim: "true" jsonType.label: String user.attribute: email userinfo.token.claim: "true" name: email protocol: openid-connect protocolMapper: oidc-usermodel-property-mapper - config: claim.name: email-verified id.token.claim: "true" user.attribute: emailVerified userinfo.token.claim: "true" name: email-verified protocol: openid-connect protocolMapper: oidc-usermodel-property-mapper - config: claim.name: aud claim.value: trusted-artifact-signer id.token.claim: "true" access.token.claim: "true" userinfo.token.claim: "true" name: audience protocol: openid-connect protocolMapper: oidc-hardcoded-claim-mapper publicClient: true standardFlowEnabled: true redirectUris: - "*" realmSelector: matchLabels: app: sso EOFKeycloak ユーザーを作成します。
例
cat <<EOF | oc apply -f - apiVersion: keycloak.org/v1alpha1 kind: KeycloakUser metadata: labels: app: sso name: jdoe spec: realmSelector: matchLabels: app: sso user: email: jdoe@redhat.com enabled: true emailVerified: true credentials: - type: "password" value: "secure" firstName: Jane lastName: Doe username: jdoe EOFユーザー名、ユーザーのメールアドレス、パスワードを設定するか、秘密オブジェクトを参照します。
- OpenShift Web コンソールに戻り、All instances タブをクリックして監視し、Keycloak システムが正常に初期化されるまで待ちます。
1.4.3. Red Hat build of Keycloak を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
Red Hat’s build of Keycloak (RHBK) を Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) として設定できます。この手順では、RHBK と RHTAS を統合する方法を説明します。
同じ SecureSign 設定で、Fulcio の複数の異なる OIDC プロバイダーを定義できます。
前提条件
手順
-
cluster-adminロールを持つユーザーで OpenShift Web コンソールにログインします。 Keycloak サービスをデプロイする新規プロジェクトを作成します。
- Administrator パースペクティブのナビゲーションメニューから Home を展開し、Projects をクリックします。
- Create Project ボタンをクリックします。
-
新しいプロジェクト名は
keycloak-systemで、Create ボタンをクリックします。
永続データを保存するために Keycloak が使用する PostgreSQL インスタンスをデプロイします。
重要Keycloak で使用するデータベースがすでに存在する場合は、データベースインスタンスに対応する
Secretリソースのusername、passwordおよびdatabase名の値を置き換えます。PostgreSQL サービスと StatefulSet の作成手順をスキップして、次の手順に進むことができます。データベース情報を保存するための
Secretリソースを作成します。- ナビゲーションメニューから Workloads を展開し、Secrets をクリックします。
-
Project ドロップダウンメニューから
keycloak-systemを選択します。 - Create ドロップダウンメニューをクリックし、Key/Value secret を選択します。
-
Secret name フィールドに
postgresql-dbと入力します。 -
Key フィールドに
usernameを入力します。 -
Value フィールドに
keycloakと入力します。これは、Keycloak が PostgreSQL データベースインスタンスへの認証に使用するユーザー名です。 - 別のキーと値のペアを追加するには、Add key/value リンクをクリックします。
-
Key フィールドに
passwordを入力します。 - Value フィールドに任意のパスワードを入力します。これは、Keycloak が PostgreSQL データベースインスタンスへの認証に使用するパスワードです。
- 別のキーと値のペアを追加するには、Add key/value リンクをクリックします。
-
Key フィールドに
databaseを入力します。 -
Value フィールドに
keycloakと入力します。これは、PostgreSQL データベースインスタンス内に Keycloak データを格納するためのデータベースの名前です。 - Create ボタンをクリックします。
PostgreSQL サービスと StatefulSet を作成します。
- + アイコンをクリックします。
- Service および StatefulSet YAML 設定テキスト をコピーし、Import YAML ページでテキストエディターボックスに テキストを貼り付けます。
-
Create ボタンをクリックして、Service と StatefulSet を
keycloak-systemプロジェクトに追加します。
ワークステーションからターミナルを開き、OpenShift クラスターにログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
Transport Layer Security (TLS) 証明書と対応する秘密鍵を含めて、新しい
Secretリソースを作成します。構文
oc create secret tls SECRET_NAME -n NAMESPACE --cert CERTIFICATE_FILE_NAME --key PRIVATE_KEY_FILE_NAME例
oc create secret tls keycloak-tls -n keycloak-system --cert certificate.pem --key key.pem注記OpenShift のサービス提供証明書は、Keycloak で使用する TLS 証明書の生成と管理を自動化できます。詳細は 付録 を参照してください。
- OpenShift Web コンソールで、ナビゲーションメニューから Operator を展開し、OperatorHub をクリックします。
- 検索フィールドに keycloak と入力し、認定済みの Red Hat カタログから Keycloak Operator タイルをクリックします。
- Install ボタンをクリックして、Operator の詳細を表示します。
-
Install Operator ページで、Installed Namespace ドロップダウンメニューから
keycloak-systemを選択し、Install ボタンをクリックします。インストールが完了するまで待ちます。 - インストールが完了したら、View Operator ボタンをクリックします。
- Keycloak タイルで Create instance をクリックします。
Create Keycloak ページで、YAML view を選択します。
-
nameの行で、example-keycloakをカスタム名 (例:keycloak) に置き換えます。 ホスト名は、
hostnameプロパティー内で明示的に指定することも、他のルートと同様に自動的に生成することもできます。hostnameの行で、example.orgをカスタムホスト名に置き換えます。注記OpenShift で Keycloak インスタンスのホスト名を生成するために必要な手順は、付録 を参照してください。
specセクションの下に、データベースの詳細を追加します。例
spec: ... db: vendor: postgres host: postgresql-db usernameSecret: name: postgresql-db key: username passwordSecret: name: postgresql-db key: password ...また、
specセクションのhttpプロパティーに、TLS 証明書を含むSecretリソースの名前を指定します。例
spec: ... http: tlsSecret: keycloak-tls ...- Create ボタンをクリックします。
-
- Networking ナビゲーションメニューを展開し、Routes をクリックします。
- Keycloak 管理コンソールを開くには、Keycloak インスタンスに関連付けられたルートへのリンクをクリックします。
-
adminユーザーのデフォルトの認証情報は keycloak-initial-admin という Secret に保存されます。パスワードを見つけるには、Workloads ナビゲーションメニューを展開し、Secrets をクリックします。 - keycloak-initial-admin シークレットを選択します。
-
Data セクションでパスワードキーを見つけて、
アイコンをクリックします。
-
Keycloak 管理コンソールのログインページで、ユーザー名として
adminと入力し、前の手順の内容をパスワードとして貼り付けます。 trusted-artifact-signerという新しいレルムを作成します。- ナビゲーションメニューで、Red Hat build of Keycloak ドロップダウンメニューを選択します。
- Create Realm を選択します。
-
リソース名 として
trusted-artifact-signerと入力します。 - Create をクリックして新しいレルムを作成します。
新しい ユーザー を作成します。新しいユーザーは、Keycloak 管理コンソールにログインでき、RHTAS を使用してコンテナーとコミットに署名することもできます。
- ナビゲーションメニューの Manage セクションで、Clients を選択します。
- Create Client ボタンをクリックします
-
Client Id フィールドに、
trusted-artifact-signerと入力します。 - オプションで、対応するフィールドに 名前 と 説明 を入力できます。
- Next をクリックします。
- 新しいクライアント作成プロセスの Capability Config ステップでデフォルトオプションを確定します。
- Next をクリックします。
-
Valid redirect URIs フィールドに
*と入力します。 - Save をクリックしてクライアントを作成します。
-
ナビゲーションメニューの Configure セクションで、Realm Settings を選択して、
trusted-artifact-signerレルムの Issuer URL を見つけます。 - Endpoints の横にある OpenID Endpoint Configuration リンクをクリックします。
-
issuerプロパティーから URL をコピーします。 RHTAS の
SecureSignリソースの.spec.fulcio.config.OIDCIssuersセクションで、CLIENT_ID をtrusted-artifact-signerに置き換え、URL コンテンツを貼り付けてRHBK_REALM_ISSUER_URL を置き換えます。構文
spec: ... fulcio: config: OIDCIssuers: - ClientID: CLIENT_ID Issuer: 'RHBK_REALM_ISSUER_URL' IssuerURL: 'RHBK_REALM_ISSUER_URL' Type: email ...例
spec: ... fulcio: config: OIDCIssuers: - ClientID: trusted-artifact-signer Issuer: 'https://keycloak-ingress-keycloak-system.apps.openshift.example.com/realms/trusted-artifact-signer' IssuerURL: 'https://keycloak-ingress-keycloak-system.apps.openshift.example.com/realms/trusted-artifact-signer' Type: email ...
1.4.4. Amazon STS を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
Amazon の Security Token Service (STS) を、Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして使用できます。RHTAS のデプロイメント時に、または後で Amazon STS を設定できます。
同じ設定で複数の異なる OIDC プロバイダーを定義できます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 -
oc、podman、awsバイナリーがインストールされたワークステーション。 - OpenShift 環境用に管理対象の Amazon Web Service (AWS) リソースを有効にする。
完全な権限を持つ 作成された Amazon アイデンティティーおよびアクセス管理 (IAM) ユーザー。これにより、IAM 操作の実行が可能になります。
- このユーザーのアクセスキーを作成している。
手順
ワークステーションでターミナルを開き、OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
AWS OIDC プロバイダー URL を検索します。
例
oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}'RHTAS の設定を更新します。
Securesignリソースを開いて編集します。構文
oc edit Securesign NAME -n NAMESPACE例
oc edit Securesign securesign-sample -n trusted-artifact-signer注記RHTAS インストール用に作成されたプロジェクト名を namespace として使用する必要があります。
OIDCIssuersセクションで、AWS STS クライアント識別子、発行者の URL を含む新しいサブセクションを追加し、Typeの値をkubernetesに設定します。例
... OIDCIssuers: - Issuer: "https://example.s3.us-east-1.aws.com/47bd6cg0vs5nn01mue83fbof94dj4m9c" IssuerURL: "https://example.s3.us-east-1.aws.com/47bd6cg0vs5nn01mue83fbof94dj4m9c" ClientID: "trusted-artifact-signer" Type: kubernetes ...- 変更を保存し、エディターを終了します。数秒後、Operator は RHTAS ソフトウェアスタックを自動的に再設定します。
アクセスキー、シークレットキー、デフォルトのリージョン、および出力形式を入力して、AWS コマンドラインツールを設定します。
例
aws configure以下の環境変数を設定します。
例
export account_id=$(aws sts get-caller-identity --query "Account" --output text) export oidc_provider="$(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}' | cut -d '/' -f3-)" export role_name=rhtas-sts export namespace=rhtas-sts export service_account=cosign-sts新しく作成された IAM ロールに関連付けられる信頼ポリシーを作成します。
例
cat >trust-relationship.json <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::${account_id}:oidc-provider/${oidc_provider}" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "${oidc_provider}:aud": "trusted-artifact-signer" } } } ] } EOF信頼ポリシーを使用して、RHTAS サービスの新しい IAM ロールを作成します。
例
aws iam create-role --role-name rhtas-sts --assume-role-policy-document file://trust-relationship.json --description "Red Hat Trusted Artifact Signer STS Role"STS が有効になっている OpenShift クラスターで、新しいプロジェクト namespace を作成します。
構文
oc new-project NAMESPACE例
oc new-project rhtas-stsIAM ロールを一時的に設定して、OpenShift プロジェクトの namespace でワークロードを実行するサービスアカウントを作成します。
サービスアカウントマニフェストを作成します。
例
cat >service_account.yaml <<EOF apiVersion: v1 kind: ServiceAccount metadata: name: $service_account namespace: $namespace annotations: eks.amazonaws.com/role-arn: "arn:aws:iam::${account_id}:role/${role_name}" # optional: Defaults to "sts.amazonaws.com" if not set eks.amazonaws.com/audience: "trusted-artifact-signer" # optional: When "true", adds AWS_STS_REGIONAL_ENDPOINTS env var to containers eks.amazonaws.com/sts-regional-endpoints: "true" # optional: Defaults to 86400 for expirationSeconds if not set eks.amazonaws.com/token-expiration: "86400" EOFサービスアカウントマニフェストを OpenShift に適用します。
例
oc apply -f service_account.yaml
イメージレジストリーに、コンテナーイメージに署名するデプロイメントワークロードを新たに作成します。
デプロイメントマニフェストを作成します。
例
cat >deployment.yaml <<EOF apiVersion: apps/v1 kind: Deployment metadata: name: cosign-sts namespace: ${namespace} spec: selector: matchLabels: app: cosign-sts template: metadata: labels: app: cosign-sts spec: securityContext: runAsNonRoot: true serviceAccountName: cosign-sts containers: - args: - -c - env; cosign initialize --mirror=\$COSIGN_MIRROR --root=\$COSIGN_ROOT; while true; do sleep 86400; done command: - /bin/sh name: cosign image: registry.redhat.io/rhtas-tech-preview/cosign-rhel9@sha256:f4c2cec3fc1e24bbe094b511f6fe2fe3c6fa972da0edacaf6ac5672f06253a3e pullPolicy: IfNotPresent env: - name: AWS_ROLE_SESSION_NAME value: signer-identity-session - name: AWS_REGION value: us-east-1 - name: OPENSHIFT_APPS_SUBDOMAIN value: $(oc get cm -n openshift-config-managed console-public -o go-template="{{ .data.consoleURL }}" | sed 's@https://@@; s/^[^.]*\.//') - name: OIDC_AUTHENTICATION_REALM value: "trusted-artifact-signer" - name: COSIGN_FULCIO_URL value: $(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) - name: COSIGN_OIDC_ISSUER value: $(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}') - name: COSIGN_CERTIFICATE_OIDC_ISSUER value: $(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}') - name: COSIGN_REKOR_URL value: $(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) - name: COSIGN_MIRROR value: $(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) - name: COSIGN_ROOT value: "$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)/root.json" - name: COSIGN_YES value: "true" securityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL dnsPolicy: ClusterFirst restartPolicy: Always schedulerName: default-scheduler securityContext: runAsNonRoot: true serviceAccount: ${service_account} serviceAccountName: ${service_account} terminationGracePeriodSeconds: 30 EOFデプロイメントマニフェストを OpenShift に適用します。
例
oc apply -f deployment.yaml
署名するテストコンテナーイメージを作成します。
空のコンテナーイメージを作成します。
例
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
podman push ttl.sh/rhtas/test-image:1h一時的な Docker ファイルを削除します。
例
rm ./tmp.Dockerfile
テストコンテナーイメージに署名して検証することで、設定を検証します。
実行中の Pod 内でリモートシェルセッションを開きます。
構文
oc rsh -n NAMESPACE deployment/cosign-sts env IMAGE=IMAGE_NAME:TAG /bin/sh例
oc rsh -n rhtas-sts deployment/cosign-sts env IMAGE=ttl.sh/rhtas/test-image:1h /bin/shコンテナーイメージに署名します。
例
cosign sign -y --identity-token=$(cat $AWS_WEB_IDENTITY_TOKEN_FILE) ttl.sh/rhtas/test-image:1h署名済みコンテナーイメージを確認します。
例
cosign verify --certificate-identity=https://kubernetes.io/namespaces/$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)/serviceaccounts/cosign-sts --certificate-oidc-issuer=$COSIGN_CERTIFICATE_OIDC_ISSUER ttl.sh/rhtas/test-image:1h
1.4.5. GitHub を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして Red Hat のシングルサインオン (SSO) サービスと連携する場合は、GitHub OAuth 2.0 を使用できます。この手順では、OpenShift 上の既存の Red Hat SSO デプロイメントと GitHub OAuth を統合する方法を説明します。
同じ設定で複数の異なる OIDC プロバイダーを定義できます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
- 実行中の Red Hat SSO インスタンス。
-
ocバイナリーがインストールされているワークステーション。 GitHub OAuth アプリを作成 し、アプリケーションを登録した後、クライアント識別子とシークレットの値をメモします。
重要新しい GitHub OAuth アプリケーションを登録するときは、ホームページ URL と 認証コールバック URL を指定する必要があります。これらの両方のフィールドにプレースホルダー値を入力します (例:
https://localhost:8080)。この手順の後半では、これらのフィールドの目的の値を使用して GitHub OAuth アプリケーションを変更します。
手順
ワークステーションでターミナルを開き、OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
Red Hat SSO コンソールにログインします。
コマンドラインから Red Hat SSO コンソール URL を見つけます。
例
oc get routes -n keycloak-system keycloak -o jsonpath='https://{.spec.host}'- Red Hat SSO コンソールの URL をコピーして、Web ブラウザーに貼り付けます。
- Administration Console をクリックします。
コマンドラインから
adminパスワードを取得します。例
oc get secret/credential-keycloak -n keycloak-system -o jsonpath='{ .data.ADMIN_PASSWORD }' | base64 -dこのコマンドの出力をコピーします。
-
Web ブラウザーから
adminユーザーとしてログインし、対応するフィールドにパスワードを貼り付けます。Sign In ボタンをクリックします。
- ナビゲーションメニューのドロップダウンからレルムを選択します。
GitHub アイデンティティープロバイダーを追加します。
- ナビゲーションメニューから、Identity Providers をクリックします。
- Add provider… ドロップダウンメニューから、GitHub を選択します。
- GitHub OAuth クライアント識別子を Client ID フィールドに追加します。
- GitHub OAuth クライアントシークレットを Client Secret フィールドに追加します。
- Trust Email オプションを on にします。
- Save ボタンをクリックします。
新しく作成されたアイデンティティープロバイダーにアイデンティティープロバイダーマッパーを追加します。
- Mapper タブをクリックします。
- Create ボタンをクリックします。
- 新しいマッパーに Name を付けます。
- Mapper Type を Hardcoded Attribute に変更します。
-
User Attribute フィールドを
emailVerifiedに設定します。 -
User Attribute Value フィールドを
trueに設定します。 - Save ボタンをクリックします。
-
GitHub Identity Provider Settings ページから、Redirect URI 値をコピーし、GitHub OAuth アプリケーション Authorization Callback URL フィールドに貼り付けます。また、同じ値を Homepage URL フィールドに貼り付けますが、URL 文字列の
broker/github/endpointの部分を削除します。 - Update Application をクリックします。GitHub を OIDC プロバイダーとして使用して、コミット や コンテナー に署名できるようになりました。
- アーティファクトに署名すると、Web ブラウザーが開き、Red Hat SSO アカウントにサインインするように求められます。GitHub ボタンをクリックして、認証情報でサインインします。
- Authorize ボタンをクリックして、Red Hat SSO が GitHub ユーザーの詳細にアクセスできるようにします。
1.4.6. Microsoft Entra ID を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する
Microsoft Entra ID を、Red Hat の Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして使用できます。Microsoft Entra ID は RHTAS のデプロイ中または後に設定できます。
Microsoft Entra ID を RHTAS に統合するのにサブスクリプションは必要ありません。
同じ設定で複数の異なる OIDC プロバイダーを定義できます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
- リソースを作成する権限を持つ Microsoft Azure アカウント
- アーティファクトに署名するユーザーの Azure 検証済みメールアドレス
- Microsoft Azure コマンドラインインターフェイスへのアクセス
-
oc、cosign、podman、azバイナリーがインストールされたワークステーション
手順
- ワークステーションでターミナルを開きます。
クライアントを表す Microsoft Entra ID 内にアプリケーション登録を作成します。
例
export RHTAS_APP_REGISTRATION=$(az ad app create --display-name=rhtas --web-redirect-uris=http://localhost:0/auth/callback --enable-id-token-issuance --query appId -o tsv)ユーザーがアプリケーション登録を使用して ID トークンを取得できるようにする新しいクライアントシークレットを作成します。
例
export RHTAS_APP_REGISTRATION_CLIENT_SECRET=$(az ad app credential reset --id=$RHTAS_APP_REGISTRATION --display-name="RHTAS Client Secret" -o tsv --query 'password')注記デフォルトでは、クライアントシークレットの有効期間は 1 年間のみです。この値は
--yearsまたは--end-dateフラグを使用してカスタマイズできます。新しいクレームマッピングポリシーを作成して、
email_verifiedという名前の新しい JWT クレームを定義し、静的な値trueを使用します。例
az rest -m post --headers Content-Type=application/json --uri https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies --body '{"definition": ["{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\", \"ClaimsSchema\":[{\"value\":\"true\",\"JwtClaimType\":\"email_verified\"}]}}"],"displayName": "EmailVerified"}'アプリケーション登録オブジェクト ID を取得します。
例
export RHTAS_APP_REGISTRATION_OBJ_ID=$(az ad app show --id $RHTAS_APP_REGISTRATION --output tsv --query id)アプリケーション登録のマニフェストを更新します。
例
az rest --method PATCH --uri https://graph.microsoft.com/v1.0/applications/${RHTAS_APP_REGISTRATION_OBJ_ID} --headers 'Content-Type=application/json' --body "{\"api\":{\"acceptMappedClaims\":true}}"新しいサービスプリンシパルを作成し、それをアプリケーション登録に関連付けます。
例
export SERVICE_PRINCIPAL_ID=$(az ad sp create --id=${RHTAS_APP_REGISTRATION} -o tsv --query 'id')クレームマッピングポリシー ID を取得します。
例
export CLAIM_MAPPING_POLICY_ID=$(az rest --uri https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies -o tsv --query "value[?displayName=='EmailVerified'] | [0].id")クレームマッピングポリシーをサービスプリンシパルに関連付けます。
例
az rest -m post --headers Content-Type=application/json --uri "https://graph.microsoft.com/v1.0/servicePrincipals/${SERVICE_PRINCIPAL_ID}/claimsMappingPolicies/\$ref" --body "{\"@odata.id\": \"https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/${CLAIM_MAPPING_POLICY_ID}\"}"テナント ID を取得します。
例
export TENANT_ID=$(az account show -o tsv --query tenantId)OIDC エンドポイントを取得します。
例
export ENTRA_ID_OIDC_ENDPOINT=$(echo https://login.microsoftonline.com/${TENANT_ID}/v2.0)RHTAS 設定を更新します。
Securesignリソースを開いて編集します。構文
oc edit Securesign NAME -n NAMESPACE例
oc edit Securesign securesign-sample -n trusted-artifact-signer注記RHTAS インストール用に作成されたプロジェクト名を namespace として使用する必要があります。
OIDCIssuersセクションで、クライアント ID、発行者の URL を含む新しいサブセクションを追加し、Type値をemailに設定します。構文
... OIDCIssuers: - Issuer: "${ENTRA_ID_OIDC_ENDPOINT}" IssuerURL: "${ENTRA_ID_OIDC_ENDPOINT}" ClientID: "${RHTAS_APP_REGISTRATION}" Type: email ...- 変更を保存し、エディターを終了します。数秒後、Operator は RHTAS ソフトウェアスタックを自動的に再設定します。
ローカルクライアントシークレットファイルを作成します。
例
echo $RHTAS_APP_REGISTRATION_CLIENT_SECRET > rhtas-entra-id-client-secretアーティファクトに署名するためのシェル環境を設定します。
例
export TUF_URL=$(oc get tuf -n trusted-artifact-signer -o jsonpath='{.items[0].status.url}') export OIDC_ISSUER_URL=$(oc get securesign -n trusted-artifact-signer rhtas -o jsonpath='{ .spec.fulcio.config.OIDCIssuers[0].Issuer }') export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID=$RHTAS_APP_REGISTRATION export SIGSTORE_OIDC_CLIENT_ID=$COSIGN_OIDC_CLIENT_ID export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export COSIGN_OIDC_CLIENT_SECRET_FILE=$(pwd)/rhtas-entra-id-client-secret署名のためにローカルマシンを初期化します。
例
$ cosign initializeテストコンテナーイメージに署名して、更新された設定を確認します。
空のコンテナーイメージを作成します。
例
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
podman push ttl.sh/rhtas/test-image:1h一時的な Docker ファイルを削除します。
例
rm ./tmp.Dockerfileコンテナーイメージに署名します。
構文
cosign sign -y --oidc-client-secret-file=SECRET_FILE IMAGE_NAME:TAG例
cosign sign -y --oidc-client-secret-file=rhtas-entra-id-client-secret ttl.sh/rhtas/test-image:1hWeb ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}