Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 4 章 将身份代理添加到 Ansible Automation Platform 中央身份验证中

Ansible Automation Platform Central Authentication 支持社交供应商和基于协议的提供程序。您可以将身份代理添加到中央身份验证中,以便为域启用社交身份验证,允许用户使用现有的社交网络帐户(如 Google、Facebook、GitHub 等)登录。

注意

有关支持的社交网络列表以及启用它们的更多信息,请参阅本节

基于协议的供应商是指那些依赖特定协议来验证和授权用户的供应商。它们允许您连接到符合特定协议的任何身份提供程序。Ansible Automation Platform Central Authentication 提供对 SAML v2.0 和 OpenID Connect v1.0 协议的支持。

流程

  1. 以管理员用户身份登录 Ansible Automation Platform 中央身份验证。
  2. 在侧面导航栏上的 Configure 部分下,点 Identity Providers
  3. 利用标记为 Add provider 的下拉菜单,选择您的身份提供程序以前往身份提供程序配置页面。

下表列出了您的身份提供程序配置的可用选项:

Expand
表 4.1. Identity Broker 配置选项

配置选项

Description

Alias

alias 是身份提供程序的唯一标识符。它用于在内部引用身份提供程序。OpenID Connect 等协议需要重定向 URI 或回调 URL,以便与身份提供程序通信。在这种情况下,别名用于构建重定向 URL。

Enabled

打开/关闭提供程序。

在登录页中隐藏

如果启用,此提供程序不会在登录页面中显示为登录选项。客户端仍然可以通过在用于请求登录的 URL 中使用 kc_idp_hint 参数来请求使用此提供程序。

仅限客户链接

如果启用,则此提供程序无法用于登录用户,也不会在登录页面中显示为选项。现有帐户仍可与此供应商相关联。

存储令牌

是否存储从身份提供程序收到的令牌。

存储的令牌可读

是否允许用户检索已存储的身份提供商令牌。这也适用于代理客户端级别的角色读取令牌。

信任电子邮件

身份提供商提供的电子邮件地址是否受信任。如果域需要验证电子邮件,则从此 IDP 登录的用户不必通过电子邮件验证过程。

GUI 顺序

登录页面中列出了如何列出可用 IDP 的排序顺序号。

第一个登录流

选择将为首次通过此 IDP 登录集中身份验证的用户触发的身份验证流程。

后登录流

选择用户完成与外部身份提供程序登录后触发的身份验证流。

您可以通过将特定权限分组到角色中来管理 Ansible Automation Platform 上的用户访问权限,然后将这些角色分配到组。当您第一次登录到 Ansible Automation Platform 时,Users, Groups, and Roles 会出现在自动化中心的用户访问页面中,然后您可以为每个组分配用户访问权限和角色。

Automation hub 包括了一组与您可能会遇到的用例兼容的受管角色。您可以创建自己的一组受管角色,或使用 User Access 页的 Roles 部分中的预定义角色。

4.1.1. 将权限分组到角色中
复制链接

您可以将权限分组到角色中,使特定用户对系统中的功能具有访问权限。

先决条件

  • hubadmin 用户身份登录。

流程

  1. 登录到您的本地自动化中心。
  2. 进入到 User Access 下拉菜单。
  3. Roles
  4. Add roles
  5. Name 字段中输入角色名称。
  6. Description 字段中输入角色描述。
  7. 点每个 Permissions 类型旁边的下拉菜单,并为角色选择适当的权限。
  8. 点击 Save

您已创建了具有特定权限的新角色。现在,您可以将此角色分配给组。

4.1.1.1. 将角色分配给组
复制链接

您可以将角色分配给组,从 Groups 菜单和 Namespaces 菜单中授予用户对系统中特定功能的访问权限。从 Groups 菜单中分配给组的角色具有全局范围。例如,如果用户被分配一个命名空间所有者角色,则该权限适用于所有命名空间。但是,从 Namespaces 菜单中分配给组的角色将只授予用户对对象的特定实例的访问权限。

先决条件

  • hubadmin 用户身份登录。

流程

Groups 菜单分配角色。

  1. 登录到您的本地自动化中心。
  2. 进入到 User Access 下拉菜单。
  3. Groups 并选择组的名称。
  4. Add roles
  5. 点您要添加的角色旁边的复选框。
  6. Next 以预览将应用到该组的角色。
  7. Add 将所选角色应用到组。
注意

Back 以返回到角色菜单,或者点 Cancel 以返回到上一页。

流程

Namespaces 菜单中分配角色。

  1. 登录到您的本地自动化中心。
  2. 进入到 Collections 下拉菜单。
  3. My Namespaces 选项卡,然后选择一个命名空间。
  4. Namespace owners 选项卡编辑。

用户现在可以访问自动化 hub 中的功能,与其分配的权限相关联。

4.1.2. Automation hub 权限
复制链接

权限为每个组提供了在给定对象上执行的一组定义的操作的权利。根据以下权限确定您的组所需的访问权限级别:

Expand
表 4.2. 权限参考表
对象权限描述

集合命名空间

添加命名空间

Upload to namespace(上传到命名空间)

更改命名空间

删除命名空间

具有这些权限的组可以创建、上传集合或删除命名空间。

collections

修改 Ansible repo 内容

删除集合

具有此权限的组可以使用 Approval 功能在存储库间移动内容,认证或拒绝功能,将内容从 staging 移到 publishedrejected 存储库,abd 删除集合。

users

查看用户

Delete user(删除用户)

Add user(添加用户)

更改用户

具有这些权限的组群可以在 Automation Hub 中管理用户配置和访问。

groups

View group(查看组)

Delete group(删除组)

Add group(添加组)

更改组

使用这些权限的组可以在 Automation Hub 中管理组配置和访问。

collection remotes

更改集合远程

查看集合远程

具有这些权限的组可以通过进入到 Collections Repo Management 来配置远程存储库。

containers

更改容器命名空间权限

更改容器

更改镜像标签

创建新容器

推送到现有容器

删除容器仓库

具有这些权限的组可以在 automation hub 中管理容器存储库。

remote registries

添加远程 registry

更改远程 registry

删除远程 registry

具有这些权限的组可以添加、更改或删除添加到 automation hub(自动化中心)的远程 registry。

task management

更改任务

删除任务

查看所有任务

带有这些权限的组可以管理加入到 automation hub 中的 Task Management 中的任务。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat