第 15 章 管理用户访问权限

流程

1. 在 Okta 门户上，从菜单栏中选择 Applications。
2. 单击 Add Application，然后选择 Create New App。
3. 在 Create a New Application Integration 对话框中，将 Web 保留为平台，然后选择 SAML 2.0 作为您要登录用户的协议。
4. 点 Create。
5. 在 General Settings 页面中，在 App name 字段中输入应用程序的名称。
6. 点击 Next。

7. 在 SAML Settings 页面中，为以下字段设置值：

   1. 单点登录 URL

      • 将它指定为 https://<RHACS_portal_hostname>/sso/providers/saml/acs。
      • 请选中 Use this for Recipient URL 和 Destination URL 选项。
      • 如果您的 RHACS 门户可以通过不同的 URL 访问，您可以通过选中 Allow this application 来请求其他 SSO URL 选项，并使用指定格式添加替代 URL。

   2. 受众 URI (SP 实体 ID)

      • 将值设为 RHACS 或者您选择的另一个值。
      • 请记住，在配置 Red Hat Advanced Cluster Security for Kubernetes 时，需要这个值。

   3. 属性声明

      • 您必须至少添加一个 attribute 语句。

      • 红帽建议使用 email 属性：

        • Name: email
        • 格式： 未指定
        • 值 ： user.email
8. 在继续操作前，验证您是否至少配置了一个 Attribute 语句。
9. 点击 Next。
10. 在 Feedback 页面中，选择一个适用于您的选项。
11. 选择一个合适 的应用程序类型。
12. 点 Finish。

流程

1. 在 RHACS 门户中，进入到 Platform Configuration Access Control。
2. 点 Create auth provider，并从下拉列表中选择 SAML 2.0。
3. 在 Name 字段中输入用于标识此身份验证提供程序的名称；例如，Okta 或 Google。集成名称显示在登录页面上，以帮助用户选择正确的登录选项。
4. 在 ServiceProvider issuer 字段中输入您用作 Okta 中的 Audience URI 或 SP Entity ID 的值，或者在其他供应商中输入类似的值。

5. 选择 配置 类型：

   • 选项 1：动态配置 ：如果您选择了这个选项，请输入 IdP 元数据 URL 或 身份提供程序控制台中提供的身份提供程序元数据的 URL。配置值从 URL 获取。

   • 选项 2：静态配置 ：从 Okta 控制台中的 View Setup instructionss 链接复制所需的静态字段，或者其它供应商的类似位置：

     • IdP Issuer
     • IdP SSO URL
     • 名称/ID 格式
     • IdP 证书(PEM)

6. 为使用 SAML 访问 RHACS 的用户分配最小 访问角色。

   提示

   完成设置时，将最小访问角色设置为 Admin。之后，您可以返回 Access Control 页面，根据您的身份提供程序中的用户元数据设置更多定制的访问规则。

7. 点击 Save。

验证

1. 在 RHACS 门户中，进入到 Platform Configuration Access Control。
2. 选择 Auth Providers 选项卡。
3. 点击您要验证配置的身份验证供应商。
4. 从 Auth Provider 部分标头中选择 Test login。Test 登录页面 将在新的浏览器标签页中打开。

5. 使用您的凭证登录。

   • 如果您成功登录，RHACS 会显示用于登录到该系统的凭证的身份提供程序的用户 ID 和 用户属性。
   • 如果您的登录尝试失败，RHACS 会显示描述无法处理身份提供程序的响应信息。

6. 关闭 Test login 浏览器标签页。

   注意

   即使响应指示身份验证成功，您可能需要根据身份提供程序中的用户元数据创建额外的访问规则。