12.2. 将 Google Workspace 配置为 OIDC 身份提供程序

流程

1. 创建新的 Google Cloud Platform(GCP)项目，请参阅 Google 文档主题 创建和管理项目。
2. 创建了项目后，在 Google API 控制台中打开 Credentials 页面。
3. 验证徽标旁边列出的项目名称，以确保您正在使用正确的项目。
4. 要创建新凭证，请转至 Create Credentials OAuth 客户端 ID。
5. 选择 Web 应用程序 作为 应用程序类型。
6. 在 Name 框中输入应用程序名称，例如： RHACS。

7. 在 Authorized redirect URIs 框中，输入 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback。

   • 将 <stackrox_hostname > 替换为您公开您的 Central 实例的主机名。
   • 将 <port_number > 替换为您 expose Central 的端口号。如果您使用标准 HTTPS 端口 443， 可以省略端口号。
8. 点 Create。这会创建一个应用程序和凭证，并将您重新指向 credentials 页面。
9. 此时会打开一个信息框，显示新创建的应用程序的详细信息。关闭信息框。
10. 复制并保存以 .apps.googleusercontent.com 结尾的 客户端 ID。您可以使用 Google API 控制台检查此客户端 ID。

11. 从左侧的导航菜单中选择 OAuth consent 屏幕。

    注意

    OAuth 批准屏幕配置对整个 GCP 项目有效，而不仅仅是您在前面的步骤中创建的应用程序。如果您已经在这个项目中配置了 OAuth 批准屏幕，并希望为 Red Hat Advanced Cluster Security for Kubernetes 登录应用不同的设置，请创建一个新的 GCP 项目。

12. 在 OAuth 批准屏幕上：

    1. 选择 应用程序类型 作为 Internal。如果选择 公共，则具有 Google 帐户的任何人都可以登录。
    2. 输入描述性 应用程序名称。此名称显示在同意屏幕上的用户。例如，将 RHACS 或 &lt ;organization_name> SSO 用于 Red Hat Advanced Cluster Security for Kubernetes。
    3. 验证 Google API 的 Scope 只列出 电子邮件、配置集和 openid 范围。只有这些范围才需要单点登录。如果您向其他范围授予额外的范围，这会增加公开敏感数据的风险。