4.2. 对 ACS 控制台的默认访问权限

默认情况下，用户可用的身份验证机制是使用 Red Hat Single Sign-On (SSO)进行身份验证。您不能删除或更改 Red Hat SSO 身份验证提供程序。但是，您可以更改最小访问角色并添加额外规则，或者添加其他身份提供程序。

为每个 ACS 控制台创建一个 sso.redhat.com 的专用 OIDC 客户端。所有 OIDC 客户端共享相同的 sso.redhat.com 域。sso.redhat.com 发布的令牌中的声明映射到 ACS 发布的令牌，如下所示：

内置的 Red Hat SSO 身份验证提供程序将所需的属性 rh_org_id 设置为分配给创建 RHACS 云服务实例的用户的机构 ID。这是用户所属的机构帐户的 ID。这可以被视为用户所具备的"租户"，并且归其所有。只有具有相同组织帐户的用户才能使用 Red Hat SSO 身份验证提供程序访问 ACS 控制台。

最小访问角色设置为 None。为此字段分配不同的值，可以将 RHACS Cloud Service 实例访问到具有相同机构帐户的所有用户。

在内置 Red Hat SSO 身份验证提供程序中设置的其他规则包括：

您可以添加更多规则，将 ACS 控制台的访问权限授予具有相同机构帐户的人员。例如，您可以使用 email 作为密钥。