第 15 章 管理用户访问权限

流程

1. 在 Okta 门户上，从菜单栏中选择 Applications。
2. 单击 Add Application，然后选择 Create New App。
3. 在 Create a New Application Integration 对话框中，将 Web 保留为平台，然后选择 SAML 2.0 作为您要登录到用户的协议。
4. 点 Create。
5. 在 General Settings 页面中，在 App name 字段中输入应用程序的名称。
6. 点击 Next。

7. 在 SAML Settings 页面中，为以下字段设置值：

   1. 单点登录

      • 将它指定为 https://<RHACS_portal_hostname>/sso/providers/saml/acs。
      • 请保留 Use this for Recipient URL 和 Destination URL 选项。
      • 如果您的 RHACS 门户可以通过不同的 URL 访问，您可以通过选中 Allow this app 来请求其他 SSO URL 选项并使用指定的格式添加替代 URL。

   2. 受众 URI (SP 实体 ID)

      • 将值设为 RHACS 或您选择的另一个值。
      • 请记住，您选择的值 ; 在配置 Red Hat Advanced Cluster Security for Kubernetes 时，您将需要这个值。

   3. 属性值

      • 您必须至少添加一个属性语句。

      • 红帽建议您使用 email 属性：

        • Name: email
        • 格式： 未指定
        • value: user.email
8. 在继续操作前，验证您是否至少配置了一个 属性语句。
9. 点击 Next。
10. 在 反馈 页面中，选择适用于您的选项。
11. 选择适当的应用程序 类型。
12. 点 Finish。

流程

1. 在 RHACS 门户网站中，导航到 Platform Configuration Access Control。
2. 点击 Create auth provider，然后从下拉列表中选择 SAML 2.0。
3. 在 Name 字段中输入可识别此身份验证提供程序的名称，例如： Okta 或 Google。在登录页面上会显示集成名称，以帮助用户选择正确的登录选项。
4. 在 ServiceProvider issuer 字段中，输入您用作 Okta 中的 Audience URI 或 SP Entity ID 的值，或者输入类似供应商中的值。

5. 选择 Configuration 的类型：

   • 选项 1：动态配置 ：如果您选择此选项，请输入 IdP 元数据 URL 或身份供应商控制台中提供的 Identity Provider 元数据 URL。配置值从 URL 获取。

   • 选项 2：静态配置 ：复制 Okta 控制台中的 View Setup 指令中所需的静态字段，或者其它提供程序的类似位置：

     • IdP 问题
     • IdP SSO URL
     • 名称/ID 格式
     • IdP Certificate(s) (PEM)

6. 为使用 SAML 访问 RHACS 的用户分配 最小访问权限角色。

   提示

   在完成设置时，将 Minimum access role 设置为 Admin。之后，您可以返回到 Access Control 页面，根据身份提供程序中的用户元数据设置更定制的访问规则。

7. 点 Save。

验证

1. 在 RHACS 门户网站中，导航到 Platform Configuration Access Control。
2. 选择 Auth Providers 选项卡。
3. 点击您要验证配置的身份验证供应商。
4. 从 Auth Provider 部分标头选择 Test 登录。Test 登录页面 将在新的浏览器标签页中打开。

5. 登录凭证。

   • 如果您成功登录，RHACS 会显示 User ID 和 User Attributes，用于显示您用于登录系统的凭证的身份提供商。
   • 如果您的登录尝试失败，RHACS 会显示一条信息，描述为什么无法处理身份提供程序的响应。

6. 关闭 Test 登录 浏览器标签页。

   注意

   即使响应指示了成功的身份验证，您可能也需要根据身份提供程序中的用户元数据创建额外的访问规则。