7.9.4. OpenID Connect CR 示例
以下自定义资源 (CR) 显示 OpenID Connect 身份提供程序的参数和可接受值。
如果您必须指定自定义证书捆绑包、额外范围、额外授权请求参数或 userInfo URL,请使用完整的 OpenID Connect CR。
标准 OpenID Connect CR
apiVersion: config.openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: oidcidp 1 mappingMethod: claim 2 type: OpenID openID: clientID: ... 3 clientSecret: 4 name: idp-secret claims: 5 preferredUsername: - preferred_username name: - name email: - email issuer: https://www.idp-issuer.com 6
- 1
- 此提供程序名称作为前缀放在身份声明值前,以此组成身份名称。它还可用来构建的重定向 URL。
- 2
- 控制如何在此提供程序的身份和
User对象之间建立映射。 - 3
- 在 OpenID 提供程序中注册的客户端的客户端 ID。该客户端必须能够重定向到
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>。 - 4
- 对包含客户端 secret 的 OpenShift Container Platform
Secret对象的引用。 - 5
- 用作身份的声明的列表。使用第一个非空声明。至少需要一个声明。如果列出的声明都没有值,身份验证会失败。例如,这使用返回的
id_token中的sub声明的值作为用户的身份。 - 6
- OpenID 规范中描述的签发者标识符。必须使用
https,且不带查询或分段组件。
完整 OpenID Connect CR
apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
name: cluster
spec:
identityProviders:
- name: oidcidp
mappingMethod: claim
type: OpenID
openID:
clientID: ...
clientSecret:
name: idp-secret
ca: 1
name: ca-config-map
extraScopes: 2
- email
- profile
extraAuthorizeParameters: 3
include_granted_scopes: "true"
claims:
preferredUsername: 4
- preferred_username
- email
name: 5
- nickname
- given_name
- name
email: 6
- custom_email_claim
- email
issuer: https://www.idp-issuer.com
其他资源
-
有关适用于所有身份供应商的参数(如
mappingMethod)信息,请参阅身份供应商参数。
