第 4 章配置身份提供程序

创建 OpenShift Dedicated 集群后，您必须配置身份提供程序，以确定用户如何登录以访问集群。

4.1. 了解身份提供程序

OpenShift Dedicated 包含内置的 OAuth 服务器。开发人员和管理员获取 OAuth 访问令牌，以完成自身的 API 身份验证。作为管理员，您可以在安装集群后通过配置 OAuth 来指定身份提供程序。配置身份提供程序可让用户登录和访问集群。

您可以配置以下类型的身份提供程序：

用户身份提供程序	描述
Github 或 GitHub Enterprise	配置 GitHub 身份提供程序，针对 GitHub 或 GitHub Enterprise 的 OAuth 身份验证服务器验证用户名和密码。
GitLab	配置 GitLab 身份提供程序，以使用 GitLab.com 或任何其他 GitLab 实例作为身份提供程序。
Google	使用 Google’s OpenID Connect integration 配置 Google 身份提供程序。
LDAP	配置 LDAP 身份提供程序，使用简单绑定身份验证来针对 LDAPv3 服务器验证用户名和密码。
OpenID Connect	配置 OpenID Connect (OIDC) 身份提供程序，以使用授权代码流与 OIDC 身份提供程序集成。
htpasswd	为单个静态管理用户配置 htpasswd 身份提供程序。您可以以用户身份登录到集群来排除问题。重要 htpasswd 身份提供程序选项仅用于创建单一静态管理用户。htpasswd 不支持作为 OpenShift Dedicated 的通用身份提供程序。有关配置单个用户的步骤，请参阅配置 htpasswd 身份提供程序。

以下是所有身份提供程序通用的参数：

参数描述

参数	描述
`name`	此提供程序名称作为前缀放在提供程序用户名前，以此组成身份名称。
`mappingMethod`	定义在用户登录时如何将新身份映射到用户。输入以下值之一： claim 默认值。使用身份的首选用户名置备用户。如果具有该用户名的用户已映射到另一身份，则失败。 lookup 查找现有的身份、用户身份映射和用户，但不自动置备用户或身份。这允许集群管理员手动或使用外部流程设置身份和用户。使用此方法需要手动置备用户。 add 使用身份的首选用户名置备用户。如果已存在具有该用户名的用户，此身份将映射到现有用户，添加到该用户的现有身份映射中。如果配置了多个身份提供程序并且它们标识同一组用户并映射到相同的用户名，则需要进行此操作。

name

此提供程序名称作为前缀放在提供程序用户名前，以此组成身份名称。

mappingMethod

定义在用户登录时如何将新身份映射到用户。输入以下值之一：

claim: 默认值。使用身份的首选用户名置备用户。如果具有该用户名的用户已映射到另一身份，则失败。
lookup: 查找现有的身份、用户身份映射和用户，但不自动置备用户或身份。这允许集群管理员手动或使用外部流程设置身份和用户。使用此方法需要手动置备用户。
add: 使用身份的首选用户名置备用户。如果已存在具有该用户名的用户，此身份将映射到现有用户，添加到该用户的现有身份映射中。如果配置了多个身份提供程序并且它们标识同一组用户并映射到相同的用户名，则需要进行此操作。

注意

在添加或更改身份提供程序时，您可以通过把 mappingMethod 参数设置为 add，将新提供程序中的身份映射到现有的用户。