7.5.4. 요청 헤더 CR 샘플
다음 CR(사용자 정의 리소스)에는 요청 헤더 ID 공급자에 대한 매개변수 및 허용 가능한 값이 표시되어 있습니다.
요청 헤더 CR
apiVersion: config.openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: requestheaderidp 1 mappingMethod: claim 2 type: RequestHeader requestHeader: challengeURL: "https://www.example.com/challenging-proxy/oauth/authorize?${query}" 3 loginURL: "https://www.example.com/login-proxy/oauth/authorize?${query}" 4 ca: 5 name: ca-config-map clientCommonNames: 6 - my-auth-proxy headers: 7 - X-Remote-User - SSO-User emailHeaders: 8 - X-Remote-User-Email nameHeaders: 9 - X-Remote-User-Display-Name preferredUsernameHeaders: 10 - X-Remote-User-Login
- 1
- 이 공급자 이름은 요청 헤더에서 사용자 이름 앞에 접두어로 지정되어 ID 이름을 형성합니다.
- 2
- 이 공급자의 ID와
User
오브젝트 간 매핑 설정 방법을 제어합니다. - 3
- 선택 사항: 인증되지 않은
/oauth/authorize
요청을 로 리디렉션하는 URL로, 브라우저 기반 클라이언트를 인증한 다음 해당 요청을https://<namespace_route>/oauth/authorize로 프록시합니다
. OAuth 승인 흐름이 제대로 작동하려면https://<namespace_route>/oauth/authorize
로 프록시되는 URL은 /authorize
(후행 슬래시 없음) 및 프록시 하위 경로로 끝나야 합니다.${url}
은 현재 URL로 교체되고 쿼리 매개변수에서 안전하도록 이스케이프됩니다.${query}
는 현재 쿼리 문자열로 교체됩니다. 이 속성이 정의되어 있지 않으면loginURL
을 사용해야 합니다. - 4
- 선택 사항: 인증되지 않은
/oauth/authorize
요청을 리디렉션할 URL로,WWW-Authenticate 챌린지를
예상하는 클라이언트를 인증한 다음https://<namespace_route>/oauth/authorize로 프록시합니다
.${url}
은 현재 URL로 교체되고 쿼리 매개 변수에서 안전하도록 이스케이프됩니다.${query}
는 현재 쿼리 문자열로 교체됩니다. 이 속성이 정의되지 않은 경우challengeURL
을 사용해야 합니다. - 5
- PEM 인코딩 인증서 번들이 포함된 OpenShift Container Platform
ConfigMap
오브젝트에 대한 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 확인하는 신뢰 앵커로 사용됩니다.중요OpenShift Container Platform 4.1부터는 이 ID 공급자에
ca
필드가 있어야 합니다. 이는 프록시에서 상호 TLS를 지원해야 함을 의미합니다. - 6
- 선택 사항: 공통 이름(
cn
) 목록. 설정된 경우 요청 헤더에서 사용자 이름을 확인하기 전에 지정된 목록에 공통 이름(cn
)이 있는 유효한 클라이언트 인증서를 제공해야 합니다. 비어 있는 경우 모든 공통 이름이 허용됩니다.ca
와 함께만 사용할 수 있습니다. - 7
- 사용자 ID에 대해 순서대로 확인할 헤더 이름입니다. 값을 포함하는 첫 번째 헤더가 ID로 사용됩니다. 필수 항목이며 대소문자를 구분하지 않습니다.
- 8
- 이메일 주소를 순서대로 확인할 헤더 이름입니다. 값을 포함하는 첫 번째 헤더가 이메일 주소로 사용됩니다. 선택 항목이며 대소문자를 구분하지 않습니다.
- 9
- 표시 이름을 순서대로 확인할 헤더 이름입니다. 값을 포함하는 첫 번째 헤더가 표시 이름으로 사용됩니다. 선택 항목이며 대소문자를 구분하지 않습니다.
- 10
headers
에 지정된 헤더에서 결정된 불변 ID와 다른 경우, 기본 사용자 이름을 순서대로 확인하는 헤더 이름입니다. 값이 포 된 첫 번째 헤더는 프로비저닝시 기본 사용자 이름으로 사용됩니다. 선택 항목이며 대소문자를 구분하지 않습니다.
추가 리소스
-
모든 ID 공급자에 공통되는
mappingMethod
와 같은 매개변수에 대한 자세한 내용은 ID 공급자 매개변수를 참조하십시오.