13.3.2. 在 master 配置文件中配置身份提供程序
您可以通过修改 master 主配置文件,配置 master 主机以使用所需的身份提供程序进行身份验证。
例 13.1. master 配置文件中的身份提供程序配置示例
...
oauthConfig:
identityProviders:
- name: htpasswd_auth
challenge: true
login: true
mappingMethod: "claim"
...
当设置为默认的 声明 值时,如果身份映射到之前存在的用户名,OAuth 将失败。
13.3.2.1. 使用 lookup 映射方法时手动置备用户
使用 lookup 映射方法时,用户置备由外部系统通过 API 进行。通常,身份在登录时自动映射到用户。'lookup' 映射方法自动禁用这个自动映射,这需要您手动置备用户。
如需有关身份对象的更多信息,请参阅 Identity user API obejct。
如果使用 lookup 映射方法,请在配置身份提供程序后为每个用户执行以下步骤:
如果还没有创建,创建一个 OpenShift Container Platform 用户:
$ oc create user <username>
例如,以下命令会创建一个 OpenShift Container Platform 用户
bob:$ oc create user bob
如果尚未创建,请创建一个 OpenShift Container Platform 身份。使用身份提供程序的名称,并在身份提供程序范围内唯一代表此身份的名称:
$ oc create identity <identity-provider>:<user-id-from-identity-provider>
&
lt;identity-provider> 是 master 配置中身份提供程序的名称,如下面的相应身份提供程序部分所示。例如,以下命令会创建一个身份提供程序
ldap_provider和身份提供程序用户名bob_s的身份。$ oc create identity ldap_provider:bob_s
为创建用户和身份创建 user/identity 映射:
$ oc create useridentitymapping <identity-provider>:<user-id-from-identity-provider> <username>
例如,以下命令将身份映射到用户:
$ oc create useridentitymapping ldap_provider:bob_s bob
