13.3. 将 OpenShift Container Platform OAuth 服务器配置为身份提供程序

OpenShift Container Platform 包含一个内置 OAuth 服务器，您可以用作 Red Hat Advanced Cluster Security for Kubernetes(RHACS)的身份验证供应商。

要将内置的 OpenShift Container Platform OAuth 服务器集成为 Red Hat Advanced Cluster Security for Kubernetes(RHACS)的身份供应商，请使用本节中的说明。

先决条件

您必须具有 AuthProvider 权限才能在 RHACS 中配置身份提供程序。
您必须已通过身份提供程序在 OpenShift Container Platform OAuth 服务器中配置了用户和组。有关身份提供程序要求的详情，请参阅了解身份提供程序配置。

注意

以下流程只为 OpenShift Container Platform OAuth 服务器配置一个名为 central 的主路由。

流程

在 RHACS 门户网站中，导航至 Platform Configuration Access Control。
打开 Add a Auth Provider 菜单，然后选择 OpenShift Auth。
在 Name 字段中输入身份验证提供程序的名称。
使用所选身份提供程序为访问 RHACS 的用户选择 最小访问权限角色。
提示
为安全起见，红帽建议在完成设置 时将最低访问角色 设置为 None。之后，您可以返回到 Access Control 页面，根据身份提供程序的用户元数据设置更定制的访问规则。

要添加访问 RHACS 的用户和组的访问规则，请使用 Rules 部分。例如：

要为名为 administrator 的用户提供 Admin 角色，您可以使用以下键值对来创建访问规则：

Expand

如果您使用 HTPasswd 身份提供程序，其用户名 UserA 是组 GroupA 的一部分，您可以使用以下键值对来创建访问规则：

Expand

重要

如果您将自定义 TLS 证书用于 OpenShift Container Platform OAuth 服务器，您必须将 CA 的 root 证书添加到 Red Hat Advanced Cluster Security for Kubernetes 中作为可信 root CA。否则，Central 无法连接到 OpenShift Container Platform OAuth 服务器。
在使用 roxctl CLI 安装 Red Hat Advanced Cluster Security for Kubernetes 时启用 OpenShift Container Platform OAuth 服务器集成，在 Central 中将 ROX_ENABLE_OPENSHIFT_AUTH 环境变量设置为 true ：
```
oc -n stackrox set env deploy/central ROX_ENABLE_OPENSHIFT_AUTH=true
```
```
$ oc -n stackrox set env deploy/central ROX_ENABLE_OPENSHIFT_AUTH=true
```
Copy to Clipboard Toggle word wrap
要访问规则，您应该使用键 Name 来引用 OpenShift Container Platform OAuth 服务器返回的用户名。
对于访问规则，OpenShift Container Platform OAuth 服务器不会返回密钥 电子邮件。

返回顶部