红帽全球峰会2.6. 对 ACS 控制台的默认访问权限
默认情况下,用户可用的身份验证机制是使用 Red Hat Single Sign-On (SSO)进行身份验证。您不能删除或更改 Red Hat SSO 身份验证提供程序。但是,您可以更改最小访问角色并添加额外规则,或者添加其他身份提供程序。
要了解身份验证供应商如何在 ACS 中工作,请访问 了解身份验证提供程序。
为每个 ACS 控制台创建一个 sso.redhat.com 的专用 OIDC 客户端。所有 OIDC 客户端共享相同的 sso.redhat.com 域。sso.redhat.com 发布的令牌中的声明映射到 ACS 发布的令牌,如下所示:
-
realm_access.roles到groups -
org_idtorh_org_id -
is_org_admintorh_is_org_admin -
sub到userid
内置的 Red Hat SSO 身份验证提供程序将所需的属性 rh_org_id 设置为分配给创建 ACSCS 实例的用户的组织 ID。这是用户所属的机构帐户的 ID。这可以被视为用户所具备的"租户",并且归其所有。只有具有相同组织帐户的用户才能使用 Red Hat SSO 身份验证提供程序访问 ACS 控制台。
要更好地控制对 ACS 控制台的访问权限,请配置另一个身份提供程序,而不依赖于 Red Hat SSO 身份验证提供程序。在置备后,您可以使用 Operating
要将此身份验证提供程序配置为登录页面上的第一个身份验证选项,其名称应小于 Red Hat SSO。
最小访问角色设置为 None。为此字段分配不同的值可向具有相同机构帐户的所有用户访问 ACSCS 实例。
在内置 Red Hat SSO 身份验证提供程序中设置的其他规则包括:
-
将
userid映射到Admin的规则 -
将机构的管理员映射到
Admin的规则
您可以添加更多规则,将 ACS 控制台的访问权限授予同一组织帐户的其他人;例如,将电子邮件 用作密钥。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}