18.4. 配置身份提供程序

流程

1. 在 Okta 门户上，从菜单栏中选择 Applications。
2. 单击 Add Application，然后选择 Create New App。
3. 在 Create a New Application Integration 对话框中，保留 Web 作为平台，然后选择 SAML 2.0 作为您要登录的协议。
4. 点 Create。
5. 在 General Settings 页面中，在 App name 字段中输入应用程序的名称。
6. 点击 Next。

7. 在 SAML Settings 页面中，为以下字段设置值：

   1. 单点登录

      • 将它指定为 https://<RHACS_portal_hostname>/sso/providers/saml/acs。
      • 请选中 Use this for Recipient URL 和 Destination URL 选项。
      • 如果您的 RHACS 门户可在不同的 URL 中访问，您可以通过检查 Allow this app to request other SSO URL 选项并使用 指定格式添加替代 URL 来添加它们。

   2. 受众 URI (SP Entity ID)

      • 将值设为 RHACS 或您选择的其他值。
      • 记住您选择的值；在配置 Red Hat Advanced Cluster Security for Kubernetes 时，您将需要这个值。

   3. 属性声明

      • 您必须至少添加一个属性语句。

      • 红帽建议使用 email 属性：

        • 名称： email
        • 格式： Unspecified
        • 值 ： user.email
8. 在继续操作前，验证您至少配置一个 Attribute 语句。
9. 点击 Next。
10. 在 Feedback 页面中，选择一个适用于您的选项。
11. 选择适当的应用程序 类型。
12. 点 Finish。

流程

1. 在 RHACS 门户中，进入 Platform Configuration Access Control。
2. 点 Create auth provider，然后从下拉列表中选择 SAML 2.0。
3. 在 Name 字段中输入用于标识此身份验证提供程序的名称；例如，Okta 或 Google。集成名称显示在登录页面中，以帮助用户选择正确的登录选项。
4. 在 ServiceProvider issuer 字段中，输入您用作 Okta 中的 Audience URI 或 SP Entity ID 的值，或者在其他提供程序中输入类似值。

5. 选择 Configuration 类型：

   • 选项 1：动态配置 ：如果您选择这个选项，请输入 IdP 元数据 URL，或者 身份提供程序控制台中提供的身份提供程序元数据的 URL。配置值从 URL 获取。

   • 选项 2：静态配置 ：从 Okta 控制台中的 View Setup instructions s 链接或其它供应商的类似位置复制所需的静态字段：

     • IdP Issuer
     • IdP SSO URL
     • 名称/ID格式
     • IdP 证书(PEM)

6. 为使用 SAML 访问 RHACS 的用户分配 最小访问权限角色。

   提示

   在完成 设置时，将最小访问角色设置为 Admin。之后，您可以返回到 Access Control 页面，以根据身份提供程序中的用户元数据设置更为定制的访问规则。

7. 点击 Save。

验证

1. 在 RHACS 门户中，进入 Platform Configuration Access Control。
2. 选择 Auth Providers 选项卡。
3. 点您要验证配置的身份验证供应商。
4. 从 Auth Provider 部分标题选择 Test login。Test 登录页面 将在新的浏览器标签页中打开。

5. 使用您的凭证登录。

   • 如果您成功登录，RHACS 会显示 用户 ID 和 用户属性，用于为您登录到系统的凭证发送身份提供程序。
   • 如果您的登录尝试失败，RHACS 会显示一条信息，描述无法处理身份提供程序的响应的原因。

6. 关闭 Test 登录 浏览器标签页。

   注意

   即使响应指出身份验证成功，您可能需要根据身份提供程序的用户元数据创建额外的访问规则。

流程

1. 创建新的 Google Cloud Platform (GCP)项目，请参阅 Google 文档主题 创建和管理项目。
2. 创建项目后，打开 Google API 控制台中的 Credentials 页面。
3. 验证左上角的项目名称（位于徽标附近），以确保您使用正确的项目。
4. 要创建新凭证，请转至 Create Credentials OAuth 客户端 ID。
5. 选择 Web application 作为 Application type。
6. 在 Name 框中输入应用程序名称，如 RHACS。

7. 在 Authorized redirect URIs 框中，输入 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback。

   • 将 <stackrox_hostname > 替换为您公开 Central 实例的主机名。
   • 将 <port_number > 替换为您要公开 Central 的端口号。如果您使用标准 HTTPS 端口 443， 可以省略端口号。
8. 点 Create。这会创建一个应用程序和凭证，并将您重定向到 credentials 页面。
9. 此时会打开一个信息框，显示新创建的应用程序的详细信息。关闭信息框。
10. 复制并保存以 .apps.googleusercontent.com 结尾的 客户端 ID。您可以使用 Google API 控制台检查此客户端 ID。

11. 从左侧的导航菜单中选择 OAuth consent 屏幕。

    注意

    OAuth 同意屏幕配置对整个 GCP 项目有效，而不仅仅是您在上一步中创建的应用程序。如果您已在此项目中配置了 OAuth consent 屏幕，并希望为 Red Hat Advanced Cluster Security for Kubernetes 登录应用不同的设置，请创建一个新的 GCP 项目。

12. 在 OAuth consent 屏幕页面中：

    1. 将 Application type 选择为 Internal。如果您选择 Public，则具有 Google 帐户的任何人都可以登录。
    2. 输入描述性 应用程序名称。登录时，用户会在同意屏幕上显示此名称。例如，使用 RHACS 或 &lt ;organization_name> SSO for Red Hat Advanced Cluster Security for Kubernetes。
    3. 验证 Google API 的 Scopes 是否 只列出 电子邮件、配置集 和 openid 范围。单点登录只需要这些范围。如果您授予其他范围，它会增加公开敏感数据的风险。

流程

1. 在 RHACS 门户中，进入 Platform Configuration Access Control。
2. 点 Create auth provider，然后从下拉列表中选择 OpenID Connect。

3. 在以下字段中输入信息：

   • 名称 ：用于标识身份验证提供程序的名称；例如，Google Workspace。集成名称显示在登录页面中，以帮助用户选择正确的登录选项。

   • 回调模式 ：选择 Auto-select （推荐），这是默认值，除非身份提供程序需要另一个模式。

     注意

     片段 模式围绕单一页面应用程序(SPAs)的限制。红帽只支持早期 集成的 Fragment 模式，不建议将其用于后续集成。

   • issuer: 身份提供程序的根 URL；例如，Google Workspace https://accounts.google.com。如需更多信息，请参阅您的身份提供程序文档。

     注意

     如果使用 RHACS 版本 3.0.49 及更新的版本，对于 Issuer，您可以执行以下操作：

     • 使用 https+insecure:// 前缀您的 root URL，以跳过 TLS 验证。此配置不安全，红帽不推荐这样做。仅使用它进行测试。
     • 指定查询字符串；例如，?key1=value1&key2=value2 和 root URL。当您将其输入到授权端点时，RHACS 将 Issuer 的值附加到授权端点。您可以使用它来自定义供应商的登录屏幕。例如，您可以使用 hd 参数将 Google Workspace 登录屏幕优化到特定的托管域，或使用 pfidpadapterid 参数在 PingFederate 中预选一个验证方法。
   • 客户端 ID ：您配置的项目的 OIDC 客户端 ID。
   • Client Secret ：输入身份提供程序(IdP)提供的客户端 secret。如果不使用客户端 secret （不推荐），请选择 Do not use Client Secret。

4. 为使用所选身份提供程序访问 RHACS 的用户分配 最小访问权限角色。

   提示

   在完成 设置时，将最小访问角色设置为 Admin。之后，您可以返回到 Access Control 页面，以根据身份提供程序中的用户元数据设置更为定制的访问规则。

5. 要为访问 RHACS 的用户和组添加访问规则，请点击 Rules 部分中的 Add new rule。例如，要为名为 administrator 的用户提供 Admin 角色，您可以使用以下键值对创建访问规则：

   键	值
   名称	Administrator
   角色	Admin

6. 点 Save。

验证

1. 在 RHACS 门户中，进入 Platform Configuration Access Control。
2. 选择 Auth provider 选项卡。
3. 选择您要为其验证配置的身份验证供应商。
4. 从 Auth Provider 部分标题选择 Test login。Test 登录页面 将在新的浏览器标签页中打开。

5. 使用您的凭证登录。

   • 如果您成功登录，RHACS 会显示 用户 ID 和 用户属性，用于为您登录到系统的凭证发送身份提供程序。
   • 如果您的登录尝试失败，RHACS 会显示一条信息，描述无法处理身份提供程序的响应的原因。
6. 关闭 Test Login 浏览器选项卡。

流程

1. 在 RHACS 门户中，进入 Platform Configuration Access Control。
2. 点 Create auth provider，然后从下拉列表中选择 OpenShift Auth。
3. 在 Name 字段中输入身份验证提供程序的名称。

4. 为使用所选身份提供程序访问 RHACS 的用户分配 最小访问权限角色。用户必须具有授予此角色的权限或具有较高权限的角色才能登录到 RHACS。

   提示

   为安全起见，红帽建议在完成设置时 将最小访问角色设置为 None。之后，您可以返回到 Access Control 页面，以根据身份提供程序中的用户元数据设置更为定制的访问规则。

5. 可选： 要为用户和组添加访问 RHACS 的访问规则，请点 Rules 部分中的 Add new rule，然后输入规则信息并点 Save。您需要用户或组的属性，以便您可以配置访问权限。

   提示

   组映射更为可靠，因为组通常与团队或权限集关联，需要比用户更频繁修改。

   要在 OpenShift Container Platform 中获取用户信息，您可以使用以下方法之一：

   • 点 User Management Users < username &gt; YAML。
   • 访问 k8s/cluster/user.openshift.io~v1~User/<username>/yaml 文件，并记录 名称、uid ( RHACS 中的userid ) 和组。
   • 使用 OpenShift Container Platform API，如 OpenShift Container Platform API 参考 中所述。

   以下配置示例描述了如何使用以下属性为 Admin 角色配置规则：

   • 名称 ：管理员
   • groups: ["system:authenticated", "system:authenticated:oauth", "myAdministratorsGroup"]
   • uid:12345-00aa-1234-123b-123def1234

   您可以使用以下方法之一为此管理员角色添加一条规则：

   • 要为名称配置规则，请从 Key 下拉列表中选择 name，在 Value 字段中输入 administrator，然后在 Role 下选择 Administrator。
   • 要为组配置规则，请从 Key 下拉列表中选择 groups，在 Value 字段中输入 myAdministratorsGroup，然后在 Role 下选择 Admin。
   • 要为用户名配置规则，请从 Key 下拉列表中选择 userid，在 Value 字段中输入 12345-00aa-1234-123b-123fcdef1234，然后在 Value 字段中选择 Admin。