Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 8 章 使用外部 OIDC 身份提供程序启用直接身份验证

虽然内置的 OpenShift OAuth 服务器支持与各种身份提供程序集成,包括外部 OpenID Connect (OIDC) 身份提供程序,但它仅限于 OAuth 服务器本身的功能。您可以将 OpenShift Container Platform 配置为使用外部 OIDC 身份提供程序,来签发令牌以替代内置的 OpenShift OAuth 服务器。

重要

使用 OIDC 身份提供程序直接验证只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围

8.1. 关于使用外部 OIDC 身份提供程序直接验证
复制链接

您可以启用直接与外部 OpenID Connect (OIDC) 身份提供程序集成来发布令牌以进行身份验证。这会绕过内置的 OAuth 服务器,并直接使用外部身份提供程序。

通过直接与外部 OIDC 供应商集成,您可以利用首选 OIDC 供应商的高级功能,而不受内置 OAuth 服务器的功能的限制。您的机构可以从单一接口管理用户和组,同时简化跨多个集群和混合环境的身份验证。您还可以与现有工具和解决方案集成。

重要

目前,您只能配置一个 OIDC 供应商进行直接身份验证。

在切换到直接身份验证后,无法保证现有的身份验证配置会被保留。在启用直接身份验证前,请备份任何现有的用户、组、oauthclient 或身份提供程序配置,以防您需要使用内置的 OAuth 服务器进行身份验证。

在将内置 OAuth 服务器替换为外部提供程序之前,请确保可以使用集群管理员权限登录长期方法,例如:

  • 基于证书的用户 kubeconfig 文件,如安装程序生成的文件
  • 长期服务帐户令牌 kubeconfig 文件
  • 基于证书的服务帐户 kubeconfig 文件

如果外部身份提供程序存在任何问题,则需要一种方法在紧急情况下访问 OpenShift Container Platform 集群。

8.1.1. 直接身份验证身份提供程序
复制链接

直接身份验证已使用以下 OpenID Connect (OIDC)身份提供程序进行测试:

  • Keycloak
  • Microsoft Entra ID
注意

红帽没有测试与第三方身份提供程序功能关联的所有因素。有关第三方支持的更多信息,请参阅红帽第三方支持政策

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat