6.9.4. OpenID Connect CR 示例

以下自定义资源 (CR) 显示 OpenID Connect 身份提供程序的参数和可接受值。

如果您必须指定自定义证书捆绑包、额外范围、额外授权请求参数或 userInfo URL，请使用完整的 OpenID Connect CR。

标准 OpenID Connect CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp 
    mappingMethod: claim 
    type: OpenID
    openID:
      clientID: ... 
      clientSecret: 
        name: idp-secret
      claims: 
        preferredUsername:
        - preferred_username
        name:
        - name
        email:
        - email
      issuer: https://www.idp-issuer.com

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp


    mappingMethod: claim


    type: OpenID
    openID:
      clientID: ...


      clientSecret:


        name: idp-secret
      claims:


        preferredUsername:
        - preferred_username
        name:
        - name
        email:
        - email
      issuer: https://www.idp-issuer.com

Copy to Clipboard

Toggle word wrap

1: 此提供程序名称作为前缀放在身份声明值前，以此组成身份名称。它还可用来构建的重定向 URL。
2: 控制如何在此提供程序的身份和 User 对象之间建立映射。
3: 在 OpenID 提供程序中注册的客户端的客户端 ID。该客户端必须能够重定向到 https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>。
4: 对包含客户端 secret 的 OpenShift Container Platform Secret 对象的引用。
5: 用作身份的声明的列表。使用第一个非空声明。至少需要一个声明。如果列出的声明都没有值，身份验证会失败。例如，这使用返回的 id_token 中的 sub 声明的值作为用户的身份。
6: OpenID 规范中描述的签发者标识符。必须使用 https，且不带查询或分段组件。

完整 OpenID Connect CR

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp
    mappingMethod: claim
    type: OpenID
    openID:
      clientID: ...
      clientSecret:
        name: idp-secret
      ca: 
        name: ca-config-map
      extraScopes: 
      - email
      - profile
      extraAuthorizeParameters: 
        include_granted_scopes: "true"
      claims:
        preferredUsername: 
        - preferred_username
        - email
        name: 
        - nickname
        - given_name
        - name
        email: 
        - custom_email_claim
        - email
      issuer: https://www.idp-issuer.com

apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
  name: cluster
spec:
  identityProviders:
  - name: oidcidp
    mappingMethod: claim
    type: OpenID
    openID:
      clientID: ...
      clientSecret:
        name: idp-secret
      ca:


        name: ca-config-map
      extraScopes:


      - email
      - profile
      extraAuthorizeParameters:


        include_granted_scopes: "true"
      claims:
        preferredUsername:


        - preferred_username
        - email
        name:


        - nickname
        - given_name
        - name
        email:


        - custom_email_claim
        - email
      issuer: https://www.idp-issuer.com

Copy to Clipboard

Toggle word wrap

1: 可选：对包含 PEM 编码证书颁发机构捆绑包的 OpenShift Container Platform 配置映射的引用，以用于验证所配置 URL 的服务器证书。
2: 除 openid 范围外的可选请求范围列表，在授权令牌请求期间使用。
3: 添加至授权令牌请求的附加参数的可选映射。
4: 为此身份置备用户时用作首选用户名的声明的列表。使用第一个非空声明。
5: 用作显示名称的声明列表。使用第一个非空声明。
6: 用作电子邮件地址的声明列表。使用第一个非空声明。

返回顶部

6.9.4. OpenID Connect CR 示例

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links