18.4. ID 공급자 구성
18.4.1. Okta Identity Cloud를 SAML 2.0 ID 공급자로 구성
Okta를 RHACS(Red Hat Advanced Cluster Security for Kubernetes)의 SSO(Single Sign-On) 공급자로 사용할 수 있습니다.
18.4.1.1. Okta 앱 생성
Okta를 Red Hat Advanced Cluster Security for Kubernetes의 SAML 2.0 ID 공급자로 사용하려면 Okta 앱을 생성해야 합니다.
Okta의 개발자 콘솔은 사용자 지정 SAML 2.0 애플리케이션 생성을 지원하지 않습니다. 개발자 콘솔 을 사용하는 경우 먼저 관리 콘솔(Classic UI)으로 전환해야 합니다. 전환하려면 페이지 왼쪽 상단에 있는 개발자 콘솔 을 클릭하고 Classic UI 를 선택합니다.
사전 요구 사항
- Okta 포털에 대한 관리 권한이 있는 계정이 있어야 합니다.
프로세스
- Okta 포털의 메뉴 모음에서 애플리케이션을 선택합니다.
- 애플리케이션 추가 를 클릭한 다음 새 앱 만들기 를 선택합니다.
- 새 애플리케이션 통합 생성 대화 상자에서 웹 을 플랫폼으로 두고 SAML 2.0 을 사용자가 로그인하려는 프로토콜로 선택합니다.
- 생성을 클릭합니다.
- 일반 설정 페이지에서 앱 이름 필드에 앱의 이름을 입력합니다.
- 다음을 클릭합니다.
SAML 설정 페이지에서 다음 필드에 대한 값을 설정합니다.
SSO(Single Sign on URL)
-
https://<RHACS_portal_hostname>/sso/providers/saml/acs로 지정합니다. - Recipient URL 및 Destination URL 옵션에 이 사용을 선택된 상태로 둡니다.
- 다른 URL에서 RHACS 포털에 액세스할 수 있는 경우 Allow this app to request other SSO URLs 옵션을 선택하고 지정된 형식을 사용하여 대체 URL을 추가하여 여기에 추가할 수 있습니다.
-
대상 URI(SP 엔터티 ID)
- 값을 RHACS 또는 선택한 다른 값으로 설정합니다.
- 선택한 값을 기억합니다. Kubernetes용 Red Hat Advanced Cluster Security를 구성할 때 이 값이 필요합니다.
특성 정책
- 하나 이상의 attribute 문을 추가해야 합니다.
이메일 속성을 사용하는 것이 좋습니다.
- 이름: email
- 형식: 지정되지 않음
- 값: user.email
- 계속하기 전에 하나 이상의 속성 정책을 구성했는지 확인합니다.
- 다음을 클릭합니다.
- 피드백 페이지에서 사용자에게 적용되는 옵션을 선택합니다.
- 적절한 앱 유형을 선택합니다.
- 완료를 클릭합니다.
구성이 완료되면 새 앱의 Sign On 설정 페이지로 리디렉션됩니다. 노란색 상자에는 Red Hat Advanced Cluster Security for Kubernetes를 구성하는 데 필요한 정보에 대한 링크가 포함되어 있습니다.
앱을 생성한 후 Okta 사용자를 이 애플리케이션에 할당합니다. Assignments (할당) 탭으로 이동하여 Red Hat Advanced Cluster Security for Kubernetes에 액세스할 수 있는 개별 사용자 또는 그룹 집합을 할당합니다. 예를 들어 조직의 모든 사용자가 Red Hat Advanced Cluster Security for Kubernetes에 액세스할 수 있도록 Everyone 그룹을 할당합니다.
18.4.1.2. SAML 2.0 ID 공급자 구성
이 섹션의 지침을 사용하여 SAML(Security Assertion Markup Language) 2.0 ID 공급자를 RHCS(Red Hat Advanced Cluster Security for Kubernetes)와 통합하십시오.
사전 요구 사항
- RHACS에서 ID 공급자를 구성할 수 있는 권한이 있어야 합니다.
- Okta ID 공급자의 경우 RHACS용으로 구성된 Okta 앱이 있어야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 인증 공급자 생성 을 클릭하고 드롭다운 목록에서 SAML 2.0 을 선택합니다.
- 이름 필드에 이 인증 공급자를 식별할 이름을 입력합니다(예: Okta 또는 Google ). 사용자가 올바른 로그인 옵션을 선택할 수 있도록 통합 이름이 로그인 페이지에 표시됩니다.
-
ServiceProvider 발행자 필드에 Okta의
Audience URI또는SP Entity ID로 사용하는 값 또는 다른 공급자의 유사한 값을 입력합니다. 구성 유형을 선택합니다.
- 옵션 1: 동적 구성: 이 옵션을 선택하는 경우 IdP 메타데이터 URL 또는 ID 공급자 콘솔에서 사용할 수 있는 ID 공급자 메타데이터 의 URL을 입력합니다. 구성 값은 URL에서 가져옵니다.
옵션 2: 정적 구성: Okta 콘솔의 View Setup instructions 링크 또는 다른 공급자의 유사한 위치에서 필요한 정적 필드를 복사합니다.
- IdP Issuer
- IdP SSO URL
- 이름/ID 형식
- IDP 인증서(PEM)
SAML을 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다.
작은 정보설정을 완료하는 동안 최소 액세스 권한을 Admin 으로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터를 기반으로 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.
- 저장을 클릭합니다.
SAML ID 공급자의 인증 응답이 다음 기준을 충족하는 경우:
-
NotValidAfter어설션이 포함됩니다. 사용자 세션은NotValidAfter필드에 지정된 시간이 경과할 때까지 유효합니다. 사용자 세션이 만료된 후 사용자는 다시 인증해야 합니다. -
NotValidAfter어설션은 포함되지 않습니다. 사용자 세션은 30일 동안 유효하며 사용자는 다시 인증해야 합니다.
검증
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - Auth Providers 탭을 선택합니다.
- 구성을 확인할 인증 공급자를 클릭합니다.
- Auth Provider 섹션 헤더에서 로그인 테스트를 선택합니다. 테스트 로그인 페이지가 새 브라우저 탭에서 열립니다.
인증 정보로 로그인합니다.
-
성공적으로 로그인하면 RHACS에서 시스템에 로그인하는 데 사용한 인증 정보에 대해
ID 공급자가 보낸표시합니다.사용자 ID및 사용자 속성을 - 로그인 시도가 실패하면 RHACS에 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지가 표시됩니다.
-
성공적으로 로그인하면 RHACS에서 시스템에 로그인하는 데 사용한 인증 정보에 대해
Test login browser 탭을 닫습니다.
참고응답이 성공적인 인증을 나타내는 경우에도 ID 공급자의 사용자 메타데이터를 기반으로 추가 액세스 규칙을 생성해야 할 수 있습니다.
18.4.2. Google Workspace를 OIDC ID 공급자로 구성
Red Hat Advanced Cluster Security for Kubernetes의 SSO(Single Sign-On) 공급자로 Google Workspace 를 사용할 수 있습니다.
18.4.2.1. GCP 프로젝트에 대한 OAuth 2.0 인증 정보 설정
Google Workspace를 Red Hat Advanced Cluster Security for Kubernetes의 ID 공급자로 구성하려면 먼저 GCP 프로젝트에 대한 OAuth 2.0 인증 정보를 구성해야 합니다.
사전 요구 사항
- 새 프로젝트를 생성하려면 조직의 Google Workspace 계정에 대한 관리자 수준 액세스 권한이 있거나 기존 프로젝트에 대한 OAuth 2.0 인증 정보를 생성하고 구성할 수 있는 권한이 있어야 합니다. Red Hat Advanced Cluster Security for Kubernetes에 대한 액세스를 관리하기 위해 새 프로젝트를 생성하는 것이 좋습니다.
프로세스
- 새 GCP(Google Cloud Platform) 프로젝트를 생성합니다. 프로젝트를 생성하고 관리하는 Google 설명서 주제를 참조하십시오.
- 프로젝트를 생성한 후 Google API 콘솔에서 인증 정보 페이지를 엽니다.
- 로고 옆에 있는 왼쪽 상단에 나열된 프로젝트 이름을 확인하여 올바른 프로젝트를 사용하고 있는지 확인합니다.
-
새 인증 정보를 생성하려면 인증 정보 생성
OAuth 클라이언트 ID 로 이동합니다. - 애플리케이션 유형으로 웹 애플리케이션을 선택합니다.
- 이름 상자에 애플리케이션의 이름을 입력합니다(예: RHACS ).
인증 리디렉션 URI 상자에
https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback을 입력합니다.-
&
lt;stackrox_hostname>을 중앙 인스턴스를 노출하는 호스트 이름으로 바꿉니다. -
&
lt;port_number>를 중앙을 노출하는 포트 번호로 바꿉니다. 표준 HTTPS 포트443을 사용하는 경우 포트 번호를 생략할 수 있습니다.
-
&
- 생성을 클릭합니다. 그러면 애플리케이션 및 인증 정보가 생성되고 인증 정보 페이지로 다시 리디렉션됩니다.
- 새로 생성된 애플리케이션에 대한 세부 정보가 표시되는 정보 상자가 열립니다. 정보 상자를 닫습니다.
-
.apps.googleusercontent.com으로 끝나는 클라이언트 ID 를 복사하고 저장합니다. Google API 콘솔을 사용하여 이 클라이언트 ID를 확인할 수 있습니다. 왼쪽의 탐색 메뉴에서 OAuth 동의 화면을 선택합니다.
참고OAuth 동의 화면 구성은 전체 GCP 프로젝트에 유효하며 이전 단계에서 생성한 애플리케이션에만 유효합니다. 이 프로젝트에 OAuth 승인 화면이 이미 구성되어 있고 Red Hat Advanced Cluster Security for Kubernetes 로그인에 대해 다른 설정을 적용하려면 새 GCP 프로젝트를 생성합니다.
OAuth 동의 화면 페이지에서 다음을 수행합니다.
- 애플리케이션 유형을 Internal 로 선택합니다. 공개를 선택하면 Google 계정이 있는 모든 사용자가 로그인할 수 있습니다.
- 설명이 포함된 애플리케이션 이름을 입력합니다. 이 이름은 로그인할 때 동의 화면에 있는 사용자에게 표시됩니다. 예를 들어 Kubernetes용 Red Hat Advanced Cluster Security에는 RHACS 또는 <organization_name> SSO 를 사용합니다.
- Google API의 범위가 이메일,프로필 및 openid 범위만 나열되는지 확인합니다. 이러한 범위만 Single Sign-On에 필요합니다. 추가 범위를 부여하면 중요한 데이터를 노출할 위험이 증가합니다.
18.4.2.2. 클라이언트 시크릿 지정
Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.39 이상에서는 클라이언트 시크릿을 지정할 때 OAuth 2.0 인증 코드 권한 부여 인증 흐름을 지원합니다. 이 인증 흐름을 사용하는 경우 Red Hat Advanced Cluster Security for Kubernetes는 새로 고침 토큰을 사용하여 사용자가 OIDC ID 공급자에 구성된 토큰 만료 시간 이상으로 로그인할 수 있도록 합니다.
사용자가 로그아웃하면 Kubernetes용 Red Hat Advanced Cluster Security가 클라이언트 측에서 새로 고침 토큰을 삭제합니다. 또한 ID 공급자 API에서 새로 고침 토큰 해지를 지원하는 경우 Red Hat Advanced Cluster Security for Kubernetes도 ID 공급자에게 새로 고침 토큰을 취소하도록 요청을 보냅니다.
OIDC ID 공급자와 통합하도록 Red Hat Advanced Cluster Security for Kubernetes를 구성할 때 클라이언트 시크릿을 지정할 수 있습니다.
- Fragment 콜백 모드에서 는 클라이언트 시크릿 을 사용할 수 없습니다.
- 기존 인증 공급자에 대한 구성은 편집할 수 없습니다.
- 클라이언트 시크릿 을 사용하려면 Red Hat Advanced Cluster Security for Kubernetes에서 새로운 OIDC 통합을 생성해야 합니다.
Red Hat Advanced Cluster Security for Kubernetes를 OIDC ID 공급자와 연결할 때 클라이언트 시크릿을 사용하는 것이 좋습니다. 클라이언트 시크릿을 사용하지 않으려면 Do not use Client Secret (not recommended) 옵션을 선택해야 합니다.
18.4.2.3. OIDC ID 공급자 구성
OIDC(OpenID Connect) ID 공급자를 사용하도록 RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 구성할 수 있습니다.
사전 요구 사항
- Google Workspace와 같은 ID 공급자에 애플리케이션을 이미 구성해야 합니다.
- RHACS에서 ID 공급자를 구성할 수 있는 권한이 있어야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 인증 공급자 생성 을 클릭하고 드롭다운 목록에서 OpenID Connect 를 선택합니다.
다음 필드에 정보를 입력합니다.
- 이름: 인증 공급자를 식별하는 이름입니다(예: Google Workspace ). 사용자가 올바른 로그인 옵션을 선택할 수 있도록 통합 이름이 로그인 페이지에 표시됩니다.
콜백 모드: ID 공급자에 다른 모드가 필요하지 않는 한 기본값인 자동 선택(권장)을 선택합니다.
참고조각모드에서는 SPAs(Single Page Applications)의 제한 사항을 중심으로 설계되었습니다. Red Hat은 초기 통합을 위해Fragment모드만 지원하며 이후의 통합에는 사용하지 않는 것이 좋습니다.issuer: ID 공급자의 루트 URL입니다(예: Google Workspace의 경우 https://accounts.google.com).
자세한 내용은 ID 공급자 설명서를 참조하십시오.참고RHACS 버전 3.0.49 이상을 사용하는 경우 발급 자의 경우 다음 작업을 수행할 수 있습니다.
-
루트 URL 앞에
https+insecure://를 접두사로 지정하여 TLS 검증을 건너뜁니다. 이 구성은 안전하지 않으며 Red Hat은 권장되지 않습니다. 테스트 목적으로만 사용하십시오. -
쿼리 문자열을 지정합니다. 예를 들면 root URL과 함께
?key1=value1&key2=value2입니다. RHACS는 Issuer 값을 권한 부여 끝점에 입력한 대로 추가합니다. 이를 사용하여 공급자의 로그인 화면을 사용자 지정할 수 있습니다. 예를 들어hd매개변수를 사용하여 특정 호스팅 도메인에 대한 Google Workspace 로그인 화면을 최적화하거나pfidpadapterid매개변수를 사용하여PingFederate에서 인증 방법을 사전 선택할 수 있습니다.
-
루트 URL 앞에
- Client ID: 구성된 프로젝트의 OIDC 클라이언트 ID입니다.
- 클라이언트 시크릿: ID 공급자(IdP)에서 제공하는 클라이언트 시크릿을 입력합니다. 권장되지 않는 클라이언트 시크릿을 사용하지 않는 경우 Do not use Client Secret 을 선택합니다.
선택한 ID 공급자를 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다.
작은 정보설정을 완료하는 동안 최소 액세스 권한을 Admin 으로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터를 기반으로 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.
RHACS에 액세스하는 사용자 및 그룹에 대한 액세스 규칙을 추가하려면 규칙 섹션에서 새 규칙 추가 를 클릭합니다. 예를 들어 관리자 역할을
administrator라는 사용자에게 부여하려면 다음 키-값 쌍을 사용하여 액세스 규칙을 생성할 수 있습니다.키
현재의
이름
관리자
Role
관리자
- 저장을 클릭합니다.
검증
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - Auth providers 탭을 선택합니다.
- 구성을 확인할 인증 공급자를 선택합니다.
- Auth Provider 섹션 헤더에서 로그인 테스트를 선택합니다. 테스트 로그인 페이지가 새 브라우저 탭에서 열립니다.
자격 증명을 사용하여 로그인합니다.
-
성공적으로 로그인하면 RHACS에서 시스템에 로그인하는 데 사용한 인증 정보에 대해
ID 공급자가 보낸표시합니다.사용자 ID및 사용자 속성을 - 로그인 시도가 실패하면 RHACS에 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지가 표시됩니다.
-
성공적으로 로그인하면 RHACS에서 시스템에 로그인하는 데 사용한 인증 정보에 대해
- 테스트 로그인 브라우저 탭을 닫습니다.
18.4.3. OpenShift Container Platform OAuth 서버를 ID 공급자로 구성
OpenShift Container Platform에는 RHACS(Red Hat Advanced Cluster Security for Kubernetes)의 인증 공급자로 사용할 수 있는 기본 제공 OAuth 서버가 포함되어 있습니다.
18.4.3.1. OpenShift Container Platform OAuth 서버를 ID 공급자로 구성
기본 제공 OpenShift Container Platform OAuth 서버를 RHACS의 ID 공급자로 통합하려면 이 섹션의 지침을 사용하십시오.
사전 요구 사항
-
RHACS에서 ID 공급자를 구성할 수 있는
액세스권한이 있어야 합니다. - ID 공급자를 통해 OpenShift Container Platform OAuth 서버에 사용자 및 그룹이 이미 구성되어 있어야 합니다. ID 공급자 요구 사항에 대한 자세한 내용은 ID 공급자 구성 이해를 참조하십시오.
다음 절차에서는 OpenShift Container Platform OAuth 서버에 대해 central 이라는 단일 기본 경로만 구성합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 인증 공급자 생성 을 클릭하고 드롭다운 목록에서 OpenShift Auth 를 선택합니다.
- 이름 필드에 인증 공급자의 이름을 입력합니다.
선택한 ID 공급자를 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다. 사용자에게 이 역할에 부여된 권한 또는 RHACS에 로그인하려면 더 높은 권한이 있는 역할이 있어야 합니다.
작은 정보보안을 위해 Red Hat은 설정을 완료하는 동안 먼저 최소 액세스 역할을 None 으로 설정하는 것이 좋습니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터를 기반으로 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.
선택 사항: RHACS에 액세스하는 사용자 및 그룹에 대한 액세스 규칙을 추가하려면 규칙 섹션에서 새 규칙 추가 를 클릭한 다음 규칙 정보를 입력하고 저장을 클릭합니다. 액세스를 구성할 수 있도록 사용자 또는 그룹에 대한 속성이 필요합니다.
작은 정보그룹 매핑은 일반적으로 팀 또는 권한 세트와 연결되며 사용자보다 덜 자주 수정이 필요하기 때문에 더 강력합니다.
OpenShift Container Platform에서 사용자 정보를 가져오려면 다음 방법 중 하나를 사용할 수 있습니다.
-
사용자 관리
사용자 & lt; username > YAML 을 클릭합니다. -
k8s/cluster/user.openshift.io~v1~User/<username>/yaml파일에 액세스하고이름uid(RHACS의userid) 및그룹값을 확인합니다. - OpenShift Container Platform API 참조에 설명된 대로 OpenShift Container Platform API 를 사용합니다.
다음 구성 예제에서는 다음 특성을 사용하여 Admin 역할에 대한 규칙을 구성하는 방법을 설명합니다.
-
이름:관리자 -
groups:["system:authenticated", "system:authenticated:oauth", "myAdministratorsGroup"] -
uid:12345-00aa-1234-123b-123fcdef1234
다음 단계 중 하나를 사용하여 이 관리자 역할에 대한 규칙을 추가할 수 있습니다.
-
이름에 대한 규칙을 구성하려면 키 드롭다운 목록에서
이름을선택하고 Value 필드에administrator를 입력한 다음 Role 에서 Administrator 를 선택합니다. -
그룹에 대한 규칙을 구성하려면 키 드롭다운 목록에서
그룹을선택하고 Value 필드에myAdministratorsGroup을 입력한 다음 Role 에서 Admin 을 선택합니다. -
사용자 이름에 대한 규칙을 구성하려면 키 드롭다운 목록에서
userid를 선택하고 Value 필드에12345-00aa-1234-123b-123fc1234를 입력한 다음 Role 에서 Admin 을 선택합니다.
-
사용자 관리
- OpenShift Container Platform OAuth 서버의 사용자 정의 TLS 인증서를 사용하는 경우 신뢰할 수 있는 루트 CA로 Red Hat Advanced Cluster Security for Kubernetes에 CA의 루트 인증서를 추가해야 합니다. 그렇지 않으면 Central이 OpenShift Container Platform OAuth 서버에 연결할 수 없습니다.
roxctlCLI를 사용하여 Red Hat Advanced Cluster Security for Kubernetes를 설치할 때 OpenShift Container Platform OAuth 서버 통합을 활성화하려면ROX_ENABLE_OPENSHIFT_AUTH환경 변수를 Central에서true로 설정합니다.$ oc -n stackrox set env deploy/central ROX_ENABLE_OPENSHIFT_AUTH=true
-
액세스 규칙의 경우 OpenShift Container Platform OAuth 서버에서 키
이메일을반환하지 않습니다.
추가 리소스
18.4.3.2. OpenShift Container Platform OAuth 서버에 대한 추가 경로 생성
Red Hat Advanced Cluster Security for Kubernetes 포털을 사용하여 OpenShift Container Platform OAuth 서버를 ID 공급자로 구성하는 경우 RHACS는 OAuth 서버의 단일 경로만 구성합니다. 그러나 중앙 사용자 지정 리소스에서 주석으로 지정하여 추가 경로를 생성할 수 있습니다.
사전 요구 사항
프로세스
RHACS Operator를 사용하여 RHACS를 설치한 경우:
Central 사용자 지정 리소스에 대한 패치가 포함된
CENTRAL_ADDITIONAL_ROUTES환경 변수를 생성합니다.$ CENTRAL_ADDITIONAL_ROUTES=' spec: central: exposure: loadBalancer: enabled: false port: 443 nodePort: enabled: false route: enabled: true persistence: persistentVolumeClaim: claimName: stackrox-db customize: annotations: serviceaccounts.openshift.io/oauth-redirecturi.main: sso/providers/openshift/callback 1 serviceaccounts.openshift.io/oauth-redirectreference.main: "{\"kind\":\"OAuthRedirectReference\",\"apiVersion\":\"v1\",\"reference\":{\"kind\":\"Route\",\"name\":\"central\"}}" 2 serviceaccounts.openshift.io/oauth-redirecturi.second: sso/providers/openshift/callback 3 serviceaccounts.openshift.io/oauth-redirectreference.second: "{\"kind\":\"OAuthRedirectReference\",\"apiVersion\":\"v1\",\"reference\":{\"kind\":\"Route\",\"name\":\"second-central\"}}" 4 '중앙 사용자 지정 리소스에
CENTRAL_ADDITIONAL_ROUTES패치를 적용합니다.$ oc patch centrals.platform.stackrox.io \ -n <namespace> \ 1 <custom-resource> \ 2 --patch "$CENTRAL_ADDITIONAL_ROUTES" \ --type=merge
또는 Helm을 사용하여 RHACS를 설치한 경우:
values-public.yaml파일에 다음 주석을 추가합니다.customize: central: annotations: serviceaccounts.openshift.io/oauth-redirecturi.main: sso/providers/openshift/callback 1 serviceaccounts.openshift.io/oauth-redirectreference.main: "{\"kind\":\"OAuthRedirectReference\",\"apiVersion\":\"v1\",\"reference\":{\"kind\":\"Route\",\"name\":\"central\"}}" 2 serviceaccounts.openshift.io/oauth-redirecturi.second: sso/providers/openshift/callback 3 serviceaccounts.openshift.io/oauth-redirectreference.second: "{\"kind\":\"OAuthRedirectReference\",\"apiVersion\":\"v1\",\"reference\":{\"kind\":\"Route\",\"name\":\"second-central\"}}" 4helm upgrade를 사용하여 중앙 사용자 정의 리소스에 사용자 정의 주석을 적용합니다.$ helm upgrade -n stackrox \ stackrox-central-services rhacs/central-services \ -f <path_to_values_public.yaml> 1- 1
-f옵션을 사용하여values-public.yaml구성 파일의 경로를 지정합니다.
18.4.4. SSO 구성을 사용하여 Azure AD를 RHACS에 연결
SSO(Sign-On) 구성을 사용하여 Azure Active Directory(AD)를 RHACS에 연결하려면 특정 클레임(예: 토큰에 그룹 클레임)을 추가하고 사용자, 그룹 또는 둘 다를 엔터프라이즈 애플리케이션에 할당해야 합니다.
18.4.4.1. SSO 구성을 사용하여 SAML 애플리케이션의 토큰에 그룹 클레임 추가
토큰에 그룹 클레임을 포함하도록 Azure AD에서 애플리케이션 등록을 구성합니다. 자세한 내용은 SSO 구성을 사용하여 SAML 애플리케이션의 토큰에 그룹 클레임 추가 를 참조하십시오.
최신 버전의 Azure AD를 사용하고 있는지 확인합니다. Azure AD를 최신 버전으로 업그레이드하는 방법에 대한 자세한 내용은 이전 버전에서 최신 버전으로 Azure AD Connect: Upgrade를 참조하십시오.
