第 13 章 管理用户访问权限

流程

1. 在 Okta 门户上，从菜单栏中选择 Applications。
2. 单击 Add Application，然后选择 Create New App。
3. 在 Create a New Application Integration 对话框中，保留 Web 作为平台，然后选择 SAML 2.0 作为您要登录的协议。
4. 点 Create。
5. 在 General Settings 页面中，在 App name 字段中输入 app 的名称。
6. 点击 Next。

7. 在 SAML Settings 页面中，为以下字段设置值：

   1. 单点登录

      • 将它指定为 https://<RHACS_portal_hostname>/sso/providers/saml/acs。
      • 将 Use this for Recipient URL 和 Destination URL 选项选中。
      • 如果您的 RHACS 门户可以通过不同的 URL 访问，您可以通过选中 Allow this app 来请求其他 SSO URL 选项来添加它们，并使用指定格式添加替代 URL。

   2. 使用者 URI(SP Entity ID)

      • 将值设为 RHACS 或您选择的另一个值。
      • 请记住，您选择的值；当您配置 Red Hat Advanced Cluster Security for Kubernetes 时，您将需要这个值。

   3. 属性声明

      • 您必须至少添加一个属性语句。

      • 红帽建议使用 email 属性：

        • 名称： mail
        • 格式： 未指定
        • Value: user.email
8. 在继续操作前，验证您是否至少配置 了一条属性语句。
9. 点击 Next。
10. 在 反馈 页面中，选择适合您的选项。
11. 选择适当的应用程序 类型。
12. 点 Finish。

流程

1. 在 RHACS 门户网站中，导航至 Platform Configuration Access Control。
2. 打开 Add an Auth Provider 菜单，然后选择 SAML 2.0。

3. 填写以下详情：

   • 集成名称： 用于标识此身份验证提供程序的名称，如 Okta 或 Google。集成名称显示在登录页面中，以帮助用户选择正确的符号选项。
   • ServiceProvider Issuer： 用作 Okta 中的 Audience URI 或 SP Entity ID 的值，或其他提供程序中的类似值。
   • IdP 元数据 URL： 使用 身份提供程序控制台提供的身份提供程序元数据的 URL。如果您不想使用 IdP 元数据 URL，您可以在 Okta 控制台中复制 View Setup 指令 链接中的所需的静态字段，或者为其他供应商处复制类似的位置。

4. 使用所选身份提供程序 访问 Red Hat Advanced Cluster Security for Kubernetes 的用户，选择最小访问角色。

   提示

   在完成设置时，将 Minimum access role 设置为 Admin。之后，您可以返回到 Access Control 页面，根据身份提供程序的用户元数据设置更定制的访问规则。

5. 点击 Save。

验证

1. 在 RHACS 门户网站中，导航至 Platform Configuration Access Control。
2. 选择 Auth Provider Rules 选项卡。
3. 在 Auth Providers 部分下，选择您要验证配置的身份验证提供程序。
4. 从 Auth Provider 部分标头选择 Test Login。Test Login 页面将在新的浏览器标签页中打开。

5. 使用您的凭据登录。

   • 成功后，Red Hat Advanced Cluster Security for Kubernetes 显示您为登录的凭证发送的用户 ID 和 用户属性。
   • 在失败时，Red Hat Advanced Cluster Security for Kubernetes 会显示一条信息来描述身份提供程序无法处理的响应的原因。

6. 关闭 Test Login browser 选项卡。

   注意

   即使响应指示成功的身份验证，您可能需要根据身份提供程序中的用户元数据创建额外的访问规则。