红帽全球峰会第 4 章 将身份代理添加到 Ansible Automation Platform 中央身份验证中
Ansible Automation Platform Central Authentication 支持社交供应商和基于协议的提供程序。您可以将身份代理添加到中央身份验证中,以便为域启用社交身份验证,允许用户使用现有的社交网络帐户(如 Google、Facebook、GitHub 等)登录。
有关支持的社交网络列表以及启用它们的更多信息,请参阅本节。
基于协议的供应商是指那些依赖特定协议来验证和授权用户的供应商。它们允许您连接到符合特定协议的任何身份提供程序。Ansible Automation Platform Central Authentication 提供对 SAML v2.0 和 OpenID Connect v1.0 协议的支持。
流程
- 以管理员用户身份登录 Ansible Automation Platform 中央身份验证。
- 在侧面导航栏上的 Configure 部分下,点 。
- 利用标记为 Add provider 的下拉菜单,选择您的身份提供程序以前往身份提供程序配置页面。
下表列出了您的身份提供程序配置的可用选项:
| 配置选项 | Description |
| Alias |
alias 是身份提供程序的唯一标识符。它用于在内部引用身份提供程序。 |
| Enabled | 打开/关闭提供程序。 |
| 在登录页中隐藏 |
如果启用,此提供程序不会在登录页面中显示为登录选项。客户端仍然可以通过在用于请求登录的 URL 中使用 |
| 仅限客户链接 | 如果启用,则此提供程序无法用于登录用户,也不会在登录页面中显示为选项。现有帐户仍可与此供应商相关联。 |
| 存储令牌 | 是否存储从身份提供程序收到的令牌。 |
| 存储的令牌可读 | 是否允许用户检索已存储的身份提供商令牌。这也适用于代理客户端级别的角色读取令牌。 |
| 信任电子邮件 | 身份提供商提供的电子邮件地址是否受信任。如果域需要验证电子邮件,则从此 IDP 登录的用户不必通过电子邮件验证过程。 |
| GUI 顺序 | 登录页面中列出了如何列出可用 IDP 的排序顺序号。 |
| 第一个登录流 | 选择将为首次通过此 IDP 登录集中身份验证的用户触发的身份验证流程。 |
| 后登录流 | 选择用户完成与外部身份提供程序登录后触发的身份验证流。 |
您可以通过为用户组分配特定权限来管理 Ansible Automation Platform 上的用户访问权限。当用户第一次登录 Ansible Automation Platform 时,它们的组将出现在自动化 hub 中的用户访问页面中,允许您为各个组分配用户访问权限和权限。
4.1.1. 为组分配权限
您可以为自动化中心中的组分配权限,以便用户访问系统中的特定功能。
先决条件
以 hubadmin 用户身份登录。
流程
- 登录到您的本地自动化中心。
- 进入 Groups。
- 点击组名称。
- 点 Edit。
- 在字段中点击权限类型,然后选择列表中显示的权限。
- 完成后,点 Save 来分配权限。
组现在可以访问自动化 hub 中的功能,与其分配的权限相关联。
4.1.2. Automation Hub 权限
权限为每个组提供了在给定对象上执行的一组定义的操作的权利。根据以下权限确定您的组所需的访问权限级别:
| 对象 | 权限 | 描述 |
|---|---|---|
| namespace | Add namespace(添加命名空间) Upload to namespace(上传到命名空间) 更改命名空间 删除命名空间 | 具有这些权限的组可以创建、上传集合或删除命名空间。 |
| collections | 修改 Ansible repo 内容 删除集合 | 具有此权限的组可以使用 Approval 功能在存储库间移动内容,认证或拒绝功能,将内容从 staging 移到 published 或 rejected 存储库,abd 删除集合。 |
| users | 查看用户 Delete user(删除用户) Add user(添加用户) 更改用户 | 具有这些权限的组群可以在 Automation Hub 中管理用户配置和访问。 |
| groups | View group(查看组) Delete group(删除组) Add group(添加组) 更改组 | 使用这些权限的组可以在 Automation Hub 中管理组配置和访问。 |
| collection remotes | 更改集合远程 查看集合远程 |
具有这些权限的组可以通过进入到 |
| containers | 更改容器命名空间权限 更改容器 更改镜像标签 创建新容器 推送到现有容器 删除容器仓库 | 具有这些权限的组可以在 automation hub 中管理容器存储库。 |
| remote registries | 添加远程 registry 更改远程 registry 删除远程 registry | 具有这些权限的组可以添加、更改或删除添加到 automation hub(自动化中心)的远程 registry。 |
| task management | 更改任务 删除任务 查看所有任务 | 带有这些权限的组可以管理加入到 automation hub 中的 Task Management 中的任务。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}