7.8. 配置 Google 身份提供程序

7.8.1. 关于 OpenShift Container Platform 中的身份提供程序
复制链接

默认情况下，集群中只有 kubeadmin 用户。要指定身份提供程序，您必须创建一个自定义资源（CR）来描述该身份提供程序并把它添加到集群中。

注意

OpenShift Container Platform 用户名不能包括 /、: 和 %。

7.8.2. 关于 Google 身份验证
复制链接

使用 Google 作为身份提供程序时，任何 Google 用户都能与您的服务器进行身份验证。您可以使用 hostedDomain 配置属性，将身份验证限制为特定托管域的成员。

注意

使用 Google 作为身份提供程序要求用户使用 <namespace_route>/oauth/token/request 来获取令牌，以便用于命令行工具。

7.8.3. 创建 secret
复制链接

身份提供程序使用 openshift-config 命名空间中的 OpenShift Container Platform Secret 对象来包含客户端 secret、客户端证书和密钥。

流程

使用以下命令创建一个包含字符串的 Secret 对象：

oc create secret generic <secret_name> --from-literal=clientSecret=<secret> -n openshift-config

$ oc create secret generic <secret_name> --from-literal=clientSecret=<secret> -n openshift-config

Copy to Clipboard

Toggle word wrap

提示

您还可以应用以下 YAML 来创建 secret：

apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: Opaque
data:
  clientSecret: <base64_encoded_client_secret>

apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: openshift-config
type: Opaque
data:
  clientSecret: <base64_encoded_client_secret>

Copy to Clipboard

Toggle word wrap

您可以使用以下命令定义一个包含文件内容的 Secret 对象，如证书文件：

oc create secret generic <secret_name> --from-file=<path_to_file> -n openshift-config

$ oc create secret generic <secret_name> --from-file=<path_to_file> -n openshift-config

Copy to Clipboard

Toggle word wrap

7.8.4. Google CR 示例
复制链接

以下自定义资源 (CR) 显示 Google 身份提供程序的参数和可接受值。

Google CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: googleidp 
    mappingMethod: claim 
    type: Google
    google:
      clientID: {...} 
      clientSecret: 
        name: google-secret
      hostedDomain: "example.com"

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: googleidp

1


    mappingMethod: claim

2


    type: Google
    google:
      clientID: {...}

3


      clientSecret:

4


        name: google-secret
      hostedDomain: "example.com"

5

Copy to Clipboard

Toggle word wrap

1: 此提供程序名称作为前缀放在 Google 数字用户 ID 前，以此组成身份名称。它还可用来构建的重定向 URL。
2: 控制如何在此提供程序的身份和 User 对象之间建立映射。
3: 注册的 Google 项目的客户端 ID 。项目必须配置有重定向 URI https://oauth-openshift.apps.<cluster-name>.<cluster-domain>/oauth2callback/<idp-provider-name>。
4: 对包含 Google 发布的客户端 Secret 的 OpenShift Container Platform Secret 的引用。
5: 用于限制登录帐户的托管域。如果使用了 lookup mappingMethod，则可选。如果为空，任何 Google 帐户都可进行身份验证。

7.8.5. 在集群中添加身份提供程序
复制链接

安装集群之后，请在其中添加一个身份提供程序，以便您的用户可以进行身份验证。

先决条件

创建 OpenShift Container Platform 集群。
为身份提供程序创建自定义资源（CR）。
必须已经以管理员身份登录。

流程

应用定义的 CR：
```
oc apply -f </path/to/CR>
```
```
$ oc apply -f </path/to/CR>
```
Copy to Clipboard Toggle word wrap
注意
如果一个 CR 不存在，oc apply 会创建一个新的 CR，并可能会触发以下警告 Warning: oc apply should be used on resources created by either oc create --save-config or oc apply。在这种情况下，您可以忽略这个警告。
从 OAuth 服务器获取令牌。
只要 kubeadmin 用户已被删除，oc login 命令就会提供如何访问可以获得令牌的网页的说明。
您还可以通过使用 web 控制台的 (?)访问此页面。 Help Command Line Tools Copy Login Command.
登录到集群，提供令牌进行身份验证。
```
oc login --token=<token>
```
```
$ oc login --token=<token>
```
Copy to Clipboard Toggle word wrap
注意
这个身份提供程序不支持使用用户名和密码登录。
确认用户登录成功，并显示用户名。
```
oc whoami
```
```
$ oc whoami
```
Copy to Clipboard Toggle word wrap

7.8.1. 关于 OpenShift Container Platform 中的身份提供程序
复制链接

7.8.2. 关于 Google 身份验证
复制链接

7.8.3. 创建 secret
复制链接

7.8.4. Google CR 示例
复制链接

7.8.5. 在集群中添加身份提供程序
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.8. 配置 Google 身份提供程序

7.8.1. 关于 OpenShift Container Platform 中的身份提供程序复制链接链接已复制到粘贴板!

7.8.2. 关于 Google 身份验证复制链接链接已复制到粘贴板!

7.8.3. 创建 secret复制链接链接已复制到粘贴板!

7.8.4. Google CR 示例复制链接链接已复制到粘贴板!

7.8.5. 在集群中添加身份提供程序复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.8.1. 关于 OpenShift Container Platform 中的身份提供程序
复制链接

7.8.2. 关于 Google 身份验证
复制链接

7.8.3. 创建 secret
复制链接

7.8.4. Google CR 示例
复制链接

7.8.5. 在集群中添加身份提供程序
复制链接