15.2. 将 Google Workspace 配置为 OIDC 身份提供程序

流程

1. 创建新的 Google Cloud Platform (GCP)项目，请参阅 Google 文档主题 创建和管理项目。
2. 创建项目后，打开 Google API 控制台中的 Credentials 页面。
3. 验证左上角列出的项目名称，以确保您正在使用正确的项目。
4. 要创建新凭据，请转至 Create Credentials OAuth 客户端 ID。
5. 选择 Web application 作为 Application type。
6. 在 Name 框中，输入应用程序的名称，如 RHACS。

7. 在 Authorized 重定向 URIs 框中，输入 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback。

   • 将 <stackrox_hostname > 替换为您公开 Central 实例的主机名。
   • 将 <port_number > 替换为您公开 Central 的端口号。如果您使用标准 HTTPS 端口 443， 您可以省略端口号。
8. 点 Create。这会创建一个应用程序和凭证，并将您重新重定向到凭据页面。
9. 此时会打开一个信息框，显示新创建的应用程序的详细信息。关闭信息框。
10. 复制并保存以 .apps.googleusercontent.com 结尾的 客户端 ID。您可以使用 Google API 控制台来检查此客户端 ID。

11. 从左侧的导航菜单中选择 OAuth consent 屏幕。

    注意

    OAuth consent 屏幕配置对整个 GCP 项目有效，而不仅仅是您在前面的步骤中创建的应用程序。如果您已经在这个项目中配置了 OAuth 同意屏幕，并希望为 Red Hat Advanced Cluster Security for Kubernetes 登录应用不同的设置，请创建一个新的 GCP 项目。

12. 在 OAuth consent 屏幕页面中：

    1. 选择 Application type 作为 Internal。如果您选择 Public，则具有 Google 帐户的任何人都可以登录。
    2. 输入描述性 应用程序名称。当用户登录后，此名称显示在同意屏幕上的用户。例如，使用 RHACS 或 <organization_name> SSO for Red Hat Advanced Cluster Security for Kubernetes。
    3. 验证 Google API 的范围是否 仅列出 电子邮件、配置集和 openid 范围。单点登录只需要这些范围。如果您授予其他范围，它会增加公开敏感数据的风险。

流程

1. 在 RHACS 门户中，进入到 Platform Configuration Access Control。
2. 点 Create auth provider，并从下拉列表中选择 OpenID Connect。

3. 在以下字段中输入信息：

   • 名称 ：用于标识身份验证提供程序的名称，如 Google Workspace。集成名称显示在登录页面上，以帮助用户选择正确的登录选项。

   • 回调模式 ：选择 Auto-select （推荐），这是默认值，除非身份提供程序需要其他模式。

     注意

     片段 模式围绕单页应用程序(SPAs)的限制而设计。红帽只支持早期 集成的 Fragment 模式，我们不推荐将其用于后续集成。

   • 签发者 ：身份提供程序的根 URL；例如，Google Workspace 的 https://accounts.google.com。如需更多信息，请参阅您的身份提供程序文档。

     注意

     如果您使用 RHACS 版本 3.0.49 及更新的版本，对于 Issuer，您可以执行以下操作：

     • 为您的 root URL 为 https+insecure:// 前缀，以跳过 TLS 验证。此配置不安全，我们不推荐这样做。仅将其用于测试目的。
     • 指定查询字符串；例如，?key1=value1&key2=value2 和 root URL。当您将其输入到授权端点时，RHACS 将 Issuer 的值附加到授权端点。您可以使用它来自定义供应商的登录屏幕。例如，您可以使用 hd 参数将 Google Workspace 登录屏幕优化到特定的托管域，或使用 pfidpadapterid 参数在 PingFederate 中预选一个验证方法。
   • 客户端 ID ：您配置的项目的 OIDC 客户端 ID。
   • Client Secret ：输入身份提供程序(IdP)提供的客户端 secret。如果您不使用客户端 secret （不推荐），请选择 Do not use Client Secret。

4. 为使用所选 身份提供程序访问 RHACS 的用户分配最小 访问角色。

   提示

   完成设置时，将最小访问角色设置为 Admin。之后，您可以返回 Access Control 页面，根据您的身份提供程序中的用户元数据设置更多定制的访问规则。

5. 要为访问 RHACS 的用户和组添加访问规则，请点击 Rules 部分中的 Add new rule。例如，要为名为 administrator 的用户提供 Admin 角色，您可以使用以下键值对创建访问规则：

   Expand

   键	值
   名称	Administrator
   角色	Admin

   Show more
6. 点 Save。

验证

1. 在 RHACS 门户中，进入到 Platform Configuration Access Control。
2. 选择 Auth provider 选项卡。
3. 选择您要验证配置的身份验证供应商。
4. 从 Auth Provider 部分标头中选择 Test login。Test 登录页面 将在新的浏览器标签页中打开。

5. 使用您的凭证登录。

   • 如果您成功登录，RHACS 会显示用于登录到该系统的凭证的身份提供程序的用户 ID 和 用户属性。
   • 如果您的登录尝试失败，RHACS 会显示描述无法处理身份提供程序的响应信息。
6. 关闭 Test Login 浏览器标签页。