Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.5. 配置身份验证类型

Ansible Automation Platform 提供多个验证器插件,您可以配置它们来简化机构的登录体验。这些是提供的验证器插件:

3.5.1. 配置本地身份验证
复制链接

作为平台管理员,您可以配置本地系统身份验证。使用本地身份验证时,会根据本地系统帐户检查用户及其密码。

注意

Ansible Automation Platform 安装过程会自动创建本地验证器,并在安装前使用清单文件中的指定 admin 凭证进行配置。成功安装后,您可以使用这些凭证登录到 Ansible Automation Platform。

步骤

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此 Local 配置的 Name。配置名称是必需的,在所有验证器间都必须是唯一的,且不得超过 512 个字符。
  4. Authentication type 列表中选择 Local
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  7. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  8. 要在创建时启用此验证方法,请选择 Enabled
  9. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  10. 点击 Next

3.5.2. 配置 LDAP 身份验证
复制链接

作为平台管理员,您可以将 LDAP 配置为 Ansible Automation Platform 用户的帐户身份验证信息的来源。

注意

如果要连接的 LDAP 服务器有由内部证书颁发机构(CA)自签名或签名的证书,则必须将 CA 证书添加到系统的可信 CA 中。否则,到 LDAP 服务器的连接会导致证书签发者无法识别的错误。

配置 LDAP 后,会为使用 LDAP 用户名和密码登录的任何用户创建一个帐户,并可作为常规用户或机构管理员自动将其放置到机构中。

Ansible Automation Platform 将用户名视为 LDAP 中不区分大小写。它将在不修改的情况下输入的用户名发送到 LDAP 供应商以进行身份验证。身份验证成功后,平台会将用户名转换为小写,并将其存储在数据库中。例如,如果用户以 JDOE 身份登录,其平台用户名是 jdoe。如果用户再次以 JDoe 身份登录,其用户名仍会是 jdoe

但是,如果 Ansible Automation Platform 配置了多个 LDAP 验证器,并且其中存在相同的用户 ID,则它们的用户名可能会有所不同。例如,JDOE 可能具有用户名 jdoe,而 jDOE 可以分配 jdoe-<some hash& gt;。

注意

如果用户之前使用其用户名的不同问题单变体登录,Ansible Automation Platform 会将所有问题单更改映射到小写的用户名。对于交互式登录,具有其他案例变化的现有用户无效。但是,混合问题单用户名的任何现有 OAuth 令牌仍允许身份验证。如果需要,系统管理员可以删除这些案例变体用户。

通过 LDAP 登录创建的用户不应为自己更改用户名、名、姓或设置本地密码。下次登录平台时,对此信息所做的任何更改都会被覆盖。

重要

在平台 UI 中,2.4 不支持将 LDAP 身份验证设置迁移到 2.5。如果您要从 Ansible Automation Platform 2.4 升级到 2.5,请务必在升级前保存身份验证供应商数据。

步骤

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 LDAPAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤
  6. LDAP Server URI 字段中,输入或修改您要连接的 LDAP 服务器列表。此字段支持多个地址。

  7. LDAP 绑定 DN 文本字段中,输入 Distinguished Name (DN)以指定 Ansible Automation Platform 用来连接到 LDAP 服务器的用户,如下例所示: 

    CN=josie,CN=users,DC=website,DC=com
    Copy to Clipboard Toggle word wrap
  8. LDAP Bind Password 文本字段中,输入用于绑定用户的密码。

  9. LDAP Group Type 列表中选择一个组类型。

    group type 定义组的类名称,后者管理 LDAP 目录中与用户关联的组,并由此流程的第 14 步中指定的搜索返回。组类型以及组参数和组搜索用于在登录期间查找和为用户分配组,也可以在映射过程中评估。下表列出了可用的组类型,以及它们的描述以及每个组所需的参数。默认情况下,通过获取 cn 属性的第一个值,LDAP 组将映射到 Django 组。您可以使用 name_attr 指定不同的属性。例如,name_attr='cn'

    Expand
    表 3.1. 可用的 LDAP 组类型
    LDAP 组类型描述initializer 方法(init)

    PosixGroupType

    处理 posixGroup 对象类。这会检查主组和组成员资格。

    name_attr='cn'

    MemberDNGroupType

    处理 group 对象中包含其成员 DN 列表的分组机制。

    member_attr, name_attr='cn'

    GroupOfNamesType

    处理 groupOfNames 对象类。等同于 MemberDNGroupType ('member')

    name_attr='cn'

    GroupOfUniqueNamesType

    处理 groupOfUniqueNames 对象类。等同于 MemberDNGroupType ('uniqueMember')

    name_attr='cn'

    ActiveDirectoryGroupType

    处理 Active Directory 组。等同于 MemberDNGroupType ('member')

    name_attr='cn'

    OrganizationalRoleGroupType

    处理 organizationalRole 对象类。等同于 MemberDNGroupType ('roleOccupant')

    name_attr='cn'

    NestedGroupOfNamesType

    处理 groupOfNames 对象类。等同于 NestedMemberDNGroupType ('member')

    member_attr, name_attr='cn'

    NestedGroupOfUniqueNamesType

    处理 groupOfUniqueNames 对象类。等同于 NestedMemberDNGroupType ('uniqueMember')

    name_attr='cn'

    NestedActiveDirectoryGroupType

    处理 Active Directory 组。等同于 NestedMemberDNGroupType ('member')

    name_attr='cn'

    NestedOrganizationalRoleGroupType

    处理 organizationalRole 对象类。等同于 NestedMemberDNGroupType ('roleOccupant')

    name_attr='cn'

    注意

    Ansible Automation Platform 支持的组类型使用底层 django-auth-ldap 库。要为所选组类型指定参数,请参阅此步骤的第 14 步。

  10. 您可以使用 LDAP 用户 DN 模板 作为用户搜索的替代选择。这种方法对于用户查找效率要高,而不是搜索在您的机构环境中。输入模板的名称,如下例所示: 

    uid=%(user)s,cn=users,cn=accounts,dc=example,dc=com
    Copy to Clipboard Toggle word wrap

    其中: uid 是用户标识符,cn 是通用名称,dc 是域组件。

    注意

    如果此设置具有值,它将被使用,而不是 LDAP 用户搜索设置

  11. LDAP Start TLS 默认禁用。STARTTLS 允许您的 LDAP 连接使用传输层安全(TLS)从未加密的连接升级到安全连接。要在 LDAP 连接没有使用 SSL 时启用 StartTLS,请将开关设置为 On

  12. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  13. 输入为 LDAP 连接 设置的任何 LDAP 连接选项。默认情况下不禁用 LDAP 引用。禁用此设置以防止登录流超时并确保成功的用户登录。选项名称应该是字符串,如下例所示: 

    OPT_REFERRALS: 0
OPT_NETWORK_TIMEOUT: 30
    Copy to Clipboard Toggle word wrap

    有关可设置的选项和值,请参阅 python-LDAP 参考

  14. 根据所选的 LDAP 组类型, LDAP Group Type Parameters 字段中提供了不同的参数。LDAP_GROUP_TYPE_PARAMS 是一个字典,它转换为 kwargs,并传递给所选的 LDAP 组类型 类。组类型使用两种常用参数: name_attrmember_attr。其中 name_attr 默认为 cnmember_attr 默认为 member

    {"name_attr": "cn", "member_attr": "member"}
    Copy to Clipboard Toggle word wrap

    要确定特定 LDAP 组类型需要的参数,请参阅类 init 参数上的 django_auth_ldap 文档

  15. LDAP Group Search 字段中,指定应搜索哪些组以及如何搜索它们,如下例所示: 

    [
"dc=example,dc=com",
"SCOPE_SUBTREE",
"(objectClass=group)"
 ]
    Copy to Clipboard Toggle word wrap

  16. LDAP User Attribute Map 字段中,输入用户属性,将 LDAP 字段映射到您的 Ansible Automation Platform 用户,如 emailfirst_name,如下例所示: 

    {
"first_name": "givenName",
"last_name": "sn",
"email": "mail"
}
    Copy to Clipboard Toggle word wrap

  17. LDAP User Search 字段中输入在身份验证期间搜索用户的位置,如下例所示: 

    [
"OU=Users,DC=website,DC=com",
"SCOPE_SUBTREE",
"(cn=%(user)s)"
]
    Copy to Clipboard Toggle word wrap

    如果没有设置 LDAP 用户 DN 模板,Ansible Automation Platform 会使用 绑定 DN 模板和 LDAP 绑定 密码对 LDAP 进行身份验证。身份验证后,将执行 LDAP 搜索来查找此字段指定的用户。如果找到了用户,Ansible Automation Platform 会根据 LDAP 搜索发现的用户验证提供的密码。通过输入多个搜索术语,支持带有 LDAPUnion 的用户支持多个搜索查询,如下例所示: 

    [
    [
        "ou=users,dc=example,dc=com",
        "SCOPE_SUBTREE",
        "uid=%(user)s"
    ],
     [
        "ou=employees,dc=subdivision,dc=com",
        "SCOPE_SUBTREE",
        "uid=%(user)s"
     ]
]
    Copy to Clipboard Toggle word wrap

    如果在多次搜索过程中找到非唯一的用户,则这些用户将无法登录到 Ansible Automation Platform。根据提供的示例,如果在 ou=users,dc=example,dc=comou=employees,dc=subdivision,dc=com 中都找不到带有 uid=jdoe 的用户,则 jdoe 用户都无法登录。在任一分支中找到的所有其他唯一用户仍然可以登录。

    注意

    如果填充了字段 LDAP 用户 DN 模板,它将优先于 LDAP User Search 字段,只有模板才会用于验证用户。

  18. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  19. 要在创建时启用此验证方法,请选择 Enabled
  20. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  21. 单击 Create Authentication Method

3.5.3. 配置 SAML 身份验证
复制链接

SAML 允许身份提供程序(IdP)和服务提供商(SP)交换身份验证和授权数据。Ansible Automation Platform 是一个 SAML SP,您可以配置与一个或多个 SAML IdP 通信来验证用户。

根据 SAML IdP 提供的组和属性,可以根据与这个验证器关联的验证器映射,将用户放置到 Ansible Automation Platform 中的团队和机构中。此映射可确保用户通过 SAML 登录时,Ansible Automation Platform 可以正确识别用户并分配正确的属性,如名字、姓氏、电子邮件和组成员资格。

先决条件

在 Ansible Automation Platform 中配置 SAML 身份验证前,请确定您执行以下操作:

  • 配置 SAML 身份提供程序(IdP)。

  • 使用与 Ansible Automation Platform 集成所需的设置预配置 SAML IdP。例如,在 Microsoft Entra ID 中,您可以配置以下内容:

    • Identifier (Entity ID): 这可以是您想要的任何值,但需要与 Ansible Automation Platform 中配置的值匹配。
    • 回复 URL (Assertion Consumer Service (ACS) URL : 当 Ansible Automation Platform 中配置了 SAML 方法时,会自动生成此 URL。该值必须从 Ansible Automation Platform 复制,并粘贴到 IdP 设置中。
  • 为 SAML IdP 应用程序收集用户属性。不同的 IdP 可能会使用不同的属性名称和格式。有关确切的属性名称和预期值,请参阅特定 IdP 的文档。

  • 使用以下命令生成私钥和公共证书: 

    $ openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes
    Copy to Clipboard Toggle word wrap

步骤

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此 SAML 配置的 Name
  4. Authentication type 列表中选择 SAMLAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤
  6. SAML Service Provider Entity ID 字段中输入应用程序定义的唯一标识符,用作 SAML 服务提供商实体 ID 字段中的 SAML 服务提供商配置的使用者。这通常是服务供应商的基本 URL,但实际值取决于您的 IdP 所预期的实体 ID。
  7. SAML Service Provider Public Certificate 字段中包含证书内容。此信息包含在您作为先决条件创建的 cert.pem 中,必须包含-- BEGIN CERTIFICATE-- 和-- END CERTIFICATE--
  8. SAML Service Provider Private Key 字段中包含私钥内容。此信息包含在您作为先决条件创建的 key.pem 中,必须包含-- BEGIN PRIVATE KEY-- 和-- END PRIVATE KEY--
  9. IdP Login URL 字段中输入要重定向至 的登录登录的 URL。这是 SAML IdP 应用程序的登录 URL。

  10. 在 IdP Public Cert 字段中输入来自 IdP 的 secret 的公共证书。这是可从 IdP 下载的 SAML 证书。

    注意

    IdP Public Cert 字段中的 IdP 应包含整个证书,包括-- BEGIN CERTIFICATE-- 和-- END CERTIFICATE--。如果 IdP 没有包含前缀和后缀,则必须手动输入前缀和后缀。

  11. 在实体 ID 中输入断言返回的 实体 ID。这是 IdP SAML 应用程序的标识符。您可以在 IdP 提供的 SAML 元数据中找到这个值。
  12. Groups, User Email, Username, User Last Name and User First Name 中输入用户详细信息。

  13. User Permanent ID 字段中输入用户的永久 ID。此字段是必需的。

    注意

    其他属性可能通过 SAML IdP 提供。这些值必须包含在 Additional Authenticators 字段或 SAML IDP to extra_data 属性映射 字段中。详情请参考这些步骤。

  14. SAML Assertion Consumer Service (ACS) URL 字段将服务注册为服务提供者(SP),其中包含您配置的每个身份提供程序(IdP)。将此字段留空。保存这个验证方法后,会自动生成它。此字段必须与 IdP 中的 Reply URL 设置匹配。

  15. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。例如,要确保为映射包含 Email, Username, Last Name, First Name 以外的所有 SAML IdP 属性,请输入: 

    GET_ALL_EXTRA_DATA: true
    Copy to Clipboard Toggle word wrap

    另外,您可以在 SAML IDP 到 extra_data 属性映射字段中包含 SAML IdP 属性 列表。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  16. SAML Service Provider Organization Info 字段中,提供 URL、显示名称和应用程序的名称。 

    {
  "en-US": {
    "url": "http://www.example.com",
    "displayname": "Example",
    "name": "example"
  }
}
    Copy to Clipboard Toggle word wrap

  17. SAML Service Provider Technical contact 字段中,为您的服务提供商提供技术联系人的名称和电子邮件地址。 

    {
"givenName": "Some User",
"emailAddress": "suser@example.com"
}
    Copy to Clipboard Toggle word wrap

  18. SAML Service Provider Support Contact 字段中,为您的服务提供商提供支持联系人的名称和电子邮件地址。 

    {
"givenName": "Some User",
"emailAddress": "suser@example.com"
}
    Copy to Clipboard Toggle word wrap

  19. 可选:在 SAML 服务提供商额外配置数据 字段中提供额外的配置数据。例如,您可以选择为添加的安全性启用签名请求: 

    {
"sign_request": True,
}
    Copy to Clipboard Toggle word wrap

    此字段等同于 API 中的 SOCIAL_AUTH_SAML_SP_EXTRA。如需更多信息,请参阅 OneLogin 的 SAML Python Toolkit 来了解有关有效的服务提供商额外(SP_EXTRA)参数的信息。

  20. 可选:在 SAML Security Config 字段中提供安全设置。此字段等同于 API 中的 SOCIAL_AUTH_SAML_SECURITY_CONFIG 字段。 

    // Indicates whether the <samlp:AuthnRequest> messages sent by this SP // will be signed. [Metadata of the SP will offer this info]
"authnRequestsSigned": false,

// Indicates a requirement for the <samlp:Response>, <samlp:LogoutRequest> // and <samlp:LogoutResponse> elements received by this SP to be signed.
"wantMessagesSigned": false,

// Indicates a requirement for the <saml:Assertion> elements received by // this SP to be signed. [Metadata of the SP will offer this info]
"wantAssertionsSigned": false,

// Authentication context.
// Set to false and no AuthContext will be sent in the AuthNRequest,
// Set true or don't present this parameter and you will get an AuthContext 'exact' 'urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport'
// Set an array with the possible auth context values: array ('urn:oasis:names:tc:SAML:2.0:ac:classes:Password', 'urn:oasis:names:tc:SAML:2.0:ac:classes:X509'),
"requestedAuthnContext": true,
    Copy to Clipboard Toggle word wrap

    如需更多信息和附加选项,请参阅 OneLogin 的 SAML Python Toolkit

  21. 可选:在 SAML IDP 到 extra_data 属性映射 字段中,输入值以将 IDP 属性映射到 extra_data 属性。这些值会包括除要映射的标准属性外的其他用户信息,如 Email 或 Username。例如: 

    - Department
- UserType
- Organization
    Copy to Clipboard Toggle word wrap

    有关您可以包含的值的更多信息,请参阅高级 SAML 设置

    重要

    确保包含所有相关值,以便所有内容都为您的配置正确映射。或者,您可以在 Additional Authenticator 字段中包含 GET_ALL_EXTRA_DATA: true,以允许映射所有可用的 SAML IdP 属性。

  22. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  23. 要在创建时启用此验证方法,请选择 Enabled
  24. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  25. 单击 Create Authentication Method
重要

您可以在基于 operator 的部署中为 SAML 配置 HTTPS 重定向,以简化用户的登录。有关配置此设置的步骤,请参阅 在 OpenShift Container Platform 上为平台网关启用单点登录(SSO)

3.5.3.1. 配置透明 SAML 登录
复制链接

要使透明登录正常工作,您必须首先使 IdP 启动的登录正常工作。

流程

  • 将 IdP 上的 RelayState 设置为 "IdP"。

3.5.4. 配置 TACACS+ 身份验证
复制链接

Terminal Access Controller Access-Control System Plus (TACACS+)是一个协议,它处理通过集中服务器进行联网访问控制的远程身份验证和相关服务。TACACS+ 提供身份验证、授权和核算(AAA)服务,您可以在其中配置 Ansible Automation Platform 以用作身份验证的来源。

注意

这个功能已被弃用并将在以后的发行版本中被删除。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 TACACS+Authentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 输入以下信息:

    • TACACS+ 服务器的主机名:提供要进行身份验证的 TACACS+ 服务器的主机名或 IP 地址。如果将此字段留空,则禁用 TACACS+ 身份验证。
    • TACACS+ 身份验证协议:TACACS+ 客户端使用的协议。这些选项是 ascii 或 pap。
    • 用于向 TACACS+ 服务器进行身份验证的共享机密:TACACS+ 身份验证服务器的 secret 密钥。
  7. 默认情况下,启用了 TACACS+ 客户端地址发送。要启用客户端地址发送,请选中复选框。

  8. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  9. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  10. 要在创建时启用此验证方法,请选择 Enabled

  11. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users

    单击 Create Authentication Method

3.5.5. 配置 Microsoft Entra ID 身份验证
复制链接

要为 Microsoft Entra ID (以前称为 Microsoft Azure Active Directory (AD))设置企业级身份验证,请按照以下步骤操作:

  1. 使用此流程中的步骤将 Ansible Automation Platform 配置为使用 Microsoft Entra ID 身份验证。
  2. 按照 Quickstart: 将应用程序注册到 Microsoft Entra ID,在 Microsoft Entra ID 中注册Ansible Automation Platform 。这个过程为您提供了应用程序(客户端)ID 和应用程序 secret。
  3. 在 Microsoft Entra ID 中添加重定向 URL。在平台中为 Microsoft Entra ID 身份验证完成配置向导后,复制 Azure AD OAuth2 Callback URL 字段中显示的 URL。然后,进入您在 Azure 中注册的企业应用,并将此 URL 添加为 Redirect URL (也称为 Ansible Automation Platform 中的 回调 URL ),如 如何将重定向 URI 添加到您的应用程序 中所述。登录流正常工作需要这一步。

Microsoft Entra ID 提供的属性不在 Ansible Automation Platform 配置中为此身份验证类型设置。相反,social_core azuread 后端 提供 Microsoft Entra ID 提供的声明转换。允许 Ansible Automation Platform 正确识别用户并分配正确的属性,如名字、姓氏、电子邮件和用户名,包括:

Expand
Ansible Automation Platform 属性Microsoft Entra ID 参数

authenticator_uid

UPN

用户名

name

First Name

given_name

Last Name

family_name

Email

电子邮件(备份至上)

每个密钥和 secret 必须属于一个唯一的应用,且不能在不同的身份验证后端之间共享或重复使用。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 AzureadAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤
  6. Edit,将 Microsoft 的应用(客户端)ID 复制并粘贴到 OIDC Key 字段中。

  7. 如果您的 Microsoft Entra ID 配置为在组声明中提供用户组信息,请确保平台配置了与您的 Microsoft Entra ID 配置匹配的 Groups Claim 名称。这允许平台通过 Microsoft Entra ID 正确识别和关联用户登录的组。

    注意

    来自 Microsoft Entra ID 的组可以使用唯一的 ID 或组名称来识别。为 Microsoft Entra ID 验证器创建组映射时,您可以使用唯一的 ID 或组名称。

    默认情况下,Microsoft Entra ID 使用 groups 作为默认组声明名称。因此,请确保将值设置为默认值,或设置为 IdP 中设置的任何自定义覆盖。除非明确更改,否则当前默认会被设置为保留现有行为。

  8. 按照将 应用程序注册到 Microsoft 身份平台 的说明,向客户端提供密钥(仅显示一次)以进行身份验证。
  9. 将为 Microsoft Entra ID/Microsoft Azure AD 应用程序创建的 secret 密钥复制并粘贴到 OIDC Secret 字段中。

  10. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  11. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  12. 要在创建时启用此验证方法,请选择 Enabled
  13. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  14. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.6. 配置 Google OAuth2 身份验证
复制链接

要为 Google 设置社交身份验证,您必须获取 web 应用程序的 OAuth2 密钥和 secret。要做到这一点,您必须首先创建一个项目并使用 Google 设置。

具体步骤,请参阅 Google API 控制台帮助文档中的 设置 OAuth 2.0

如果您已经完成了设置过程,可以通过进入 Google API Manager Console 的 Credentials 部分来访问这些凭证。OAuth2 密钥(客户端 ID)和机密(客户端机密)用于提供 UI 中的必填字段。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 Google OAuthAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. Google OAuth2 KeyGoogle OAuth2 Secret 字段已预先填充。

    如果没有,在 web 应用程序设置过程中使用提供的 Google 凭证。在以下步骤中保存这些设置以供使用。

  7. 将 Google 的客户端 ID 复制并粘贴到 Google OAuth2 Key 字段中。
  8. 将 Google 的客户端 secret 复制并粘贴到 Google OAuth2 Secret 字段中。

  9. 可选:使用为说明和所需格式提供的工具提示输入以下字段的信息:

    • 访问令牌 URL
    • 访问令牌方法
    • 授权 URL
    • 撤销令牌方法
    • 撤销令牌 URL
    • OIDC JWT 算法
    • OIDC JWT

  10. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  11. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  12. 要在创建时启用此验证方法,请选择 Enabled

  13. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users

    单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.7. 配置通用 OIDC 身份验证
复制链接

OpenID Connect (OIDC)使用 OAuth 2.0 框架。它可让第三方应用程序验证身份并获取基本最终用户信息。OIDC 和 SAML 的主要区别在于 SAML 具有服务供应商(SP)到-IdP 信任关系,而 OIDC 与用于获取安全令牌的频道(HTTPS)建立信任。要获得使用 Ansible Automation Platform 设置 OIDC 所需的凭证,请参阅您选择的 IdP 中的支持 OIDC 支持的文档。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 Generic OIDCAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 输入以下信息:

    • OIDC Provider URL: 您的 OIDC 供应商的 URL。
    • OIDC Key: 您的第三方 IdP 中的客户端 ID。
    • OIDC Secret :来自 IdP 的客户端 secret。
  7. 可选:从 Access Token Method 列表中选择请求访问令牌时要使用的 HTTP 方法。默认方法是 POST

  8. (可选)使用为说明和所需格式提供的工具提示输入以下字段的信息:

    • 访问令牌方法 - 默认方法是 POST
    • 访问令牌 URL
    • 访问令牌方法
    • 授权 URL
    • 回调 URL - OIDC Callback URL 字段使用您配置的每个 OIDC 供应商将服务注册为服务供应商(SP)。将此字段留空。保存这个验证方法后,会自动生成它。将您的 IdP 配置为允许重定向到此 URL,作为身份验证流程的一部分。
    • ID 密钥
    • ID Token Issuer
    • JWKS URI
    • OIDC 公钥
    • 撤销令牌方法 - 默认方法是 GET
    • 撤销令牌 URL
    • 响应类型
    • 令牌端点身份验证方法
    • userinfo URL
    • 用户名键
  9. 使用 Verify OIDC Provider Certificate 来启用或禁用 OIDC 供应商 SSL 证书验证。
  10. 使用 Redirect State 来启用或禁用重定向 URI 中的 state 参数。建议启用此设置来防止跨站点请求 Forgery (CSRF)攻击。

  11. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  12. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  13. 要在创建时启用此验证方法,请选择 Enabled
  14. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  15. 单击 Create Authentication Method

3.5.8. 配置 keycloak 身份验证
复制链接

您可以配置 Ansible Automation Platform 以集成 Keycloak 以管理用户身份验证。

注意

当使用这个验证器时,需要在您的 Keycloak 实例中进行一些特定的设置。如需了解更多详细信息,请参阅 Python Keycloak 参考

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 KeycloakAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤
  6. Keycloak Access Token URL 字段中输入用户令牌检索的位置。
  7. 可选:在 Keycloak Provider URL 字段中的登录流中输入用户要指向的重定向位置。
  8. Keycloak OIDC Key 字段中输入 Keycloak 安装中的客户端 ID。
  9. Keycloak Public Key 字段中输入您的 Keycloak 域提供的 RS256 公钥。
  10. Keycloak OIDC Secret 字段中输入来自 Keycloak 安装的 OIDC secret (客户端 Secret)。

  11. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  12. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  13. 要在创建时启用此验证方法,请选择 Enabled
  14. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  15. 单击 Create Authentication Method

故障排除

如果您收到 jwt.exceptions.InvalidAudienceError: Audience doesn't match 错误,则必须通过执行以下操作重新启用 audience:

  1. 在 Keycloak 配置的导航中,选择 Client scopes YOUR-CLIENT-ID-dedicated Add mapper Audience
  2. 为映射器选择一个名称。
  3. Included Client Audience中,选择与您的客户端对应的客户端 ID

3.5.9. 配置 GitHub 身份验证
复制链接

您可以使用 OAuth 将 GitHub 身份连接到 Ansible Automation Platform。要设置 GitHub 身份验证,您需要使用 将新 应用程序注册到 GitHub,从 GitHub 注册您的机构拥有的应用,从 GitHub 获取 OAuth2 密钥和 secret。

OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 GitHubAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 注册应用程序时,GitHub 会显示 客户端 ID 和客户端 Secret

    1. 将 GitHub 客户端 ID 复制并粘贴到 GitHub OAuth2 Key 字段中。
    2. 将 GitHub Client Secret 复制并粘贴到 GitHub OAuth2 Secret 字段中。

  7. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  8. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  9. 要在创建时启用此验证方法,请选择 Enabled
  10. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  11. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.10. 配置 GitHub 机构身份验证
复制链接

当使用机构或机构中的团队定义帐户身份验证时,您应该使用特定的机构和团队设置。帐户身份验证可以被机构和机构中的团队限制。您还可以通过指定基于非机构或非团队的设置来选择允许所有设置。您可以通过只限制机构或机构中的团队来限制可以登录到平台的用户。

要为 GitHub 组织设置社交身份验证,您必须使用 将新应用程序注册到 GitHub 来获取 web 应用程序的 OAuth2 密钥和 secret。

OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 GitHub organizationAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 注册应用程序时,GitHub 会显示 客户端 ID 和客户端 Secret

    1. 将 GitHub 客户端 ID 复制并粘贴到 GitHub OAuth2 Key 字段中。
    2. 将 GitHub Client Secret 复制并粘贴到 GitHub OAuth2 Secret 字段中。
  7. 输入 GitHub 机构的名称,如您的组织 URL 中使用,例如,GitHub OAuth Organization Name 字段中的 https://github.com/<yourorg >/。

  8. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  9. GitHub OAuth2 Scope 字段中输入用户的授权范围。默认为 read:org
  10. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  11. 要在创建时启用此验证方法,请选择 Enabled
  12. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  13. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.11. 配置 GitHub 团队身份验证
复制链接

要为 GitHub 团队设置社交身份验证,您必须使用将 新应用注册到 GitHub 中的说明获取 web 应用程序的 OAuth2 密钥和 secret。

OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的 回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

每个密钥和 secret 必须属于一个唯一的应用,且不能在不同的身份验证后端之间共享或重复使用。OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 GitHub teamAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 注册应用程序时,GitHub 会显示 客户端 ID 和客户端 Secret

    1. 将 GitHub 客户端 ID 复制并粘贴到 GitHub OAuth2 Key 字段中。
    2. 将 GitHub Client Secret 复制并粘贴到 GitHub OAuth2 Secret 字段中。
  7. GitHub OAuth2 Team ID 字段中复制并粘贴 GitHub 团队 ID。
  8. 在 GitHub OAuth2 Scope 字段中输入用户的授权范围。默认为 read:org

  9. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  10. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  11. 要在创建时启用此验证方法,请选择 Enabled
  12. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  13. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.12. 配置 GitHub 企业级身份验证
复制链接

要为 GitHub 企业设置社交身份验证,您必须获取 web 应用程序的 GitHub Enterprise URL、API URL、OAuth2 密钥和 secret。

要获取 URL,请参阅 GitHub Enterprise 管理文档

OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的 回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

每个密钥和 secret 必须属于一个唯一的应用,且不能在不同的身份验证后端之间共享或重复使用。OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 GitHub enterpriseAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 注册应用程序时,GitHub 会显示 客户端 ID 和客户端 Secret

    1. 将 GitHub 客户端 ID 复制并粘贴到 GitHub OAuth2 Key 字段中。
    2. 将 GitHub Client Secret 复制并粘贴到 GitHub OAuth2 Secret 字段中。
  7. Base URL 字段中,输入 GitHub Enterprise 实例的主机名,例如 https://github.example.com
  8. Github OAuth2 Enterprise API URL 字段中,输入 GitHub Enterprise 实例的 API URL,例如 https://github.example.com/api/v3

  9. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  10. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  11. 要在创建时启用此验证方法,请选择 Enabled
  12. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  13. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.13. 配置 GitHub 企业机构身份验证
复制链接

要为 GitHub 企业组织设置社交身份验证,您必须获取 GitHub 企业机构 URL、机构 API URL、机构 OAuth2 密钥和 web 应用程序的 secret。

要获取 URL,请参阅 GitHub Enterprise 管理文档

OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的 回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

每个密钥和 secret 必须属于一个唯一的应用,且不能在不同的身份验证后端之间共享或重复使用。OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 GitHub enterprise organizationAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 注册应用程序时,GitHub 会显示 客户端 ID 和客户端 Secret

    1. 将 GitHub 客户端 ID 复制并粘贴到 GitHub OAuth2 Key 字段中。
    2. 将 GitHub Client Secret 复制并粘贴到 GitHub OAuth2 Secret 字段中。
  7. Base URL 字段中,输入 GitHub Enterprise 实例的主机名,例如 https://github.example.com
  8. Github OAuth2 Enterprise API URL 字段中,输入 GitHub Enterprise 实例的 API URL,例如 https://github.example.com/api/v3
  9. 输入 GitHub 企业机构的名称,如您的组织 URL 中使用,例如 GitHub OAuth2 Enterprise Org Name 字段中的 https://github.com/<yourorg >/。

  10. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  11. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  12. 要在创建时启用此验证方法,请选择 Enabled
  13. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  14. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.14. 配置 GitHub 企业团队身份验证
复制链接

要为 GitHub 企业团队设置社交身份验证,您必须获取 GitHub Enterprise Organization URL、机构 API URL、机构 OAuth2 密钥和 web 应用程序的 secret。

要获取 URL,请参阅 GitHub Enterprise 管理文档

要获取密钥和 secret,您必须首先在 https://github.com/organizations/<yourorg>/settings/applications 注册您的企业拥有的应用程序。

OAuth2 密钥(客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。要注册应用程序,您必须为其提供网页 URL,这是验证器配置的 Authenticator 详情中显示的 回调 URL。有关访问此信息的说明,请参阅 显示验证器详情

每个密钥和 secret 必须属于一个唯一的应用,且不能在不同的身份验证后端之间共享或重复使用。OAuth2key (客户端 ID)和机密(客户端 Secret)用于提供 UI 中的必填字段。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 GitHub enterprise teamAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤

  6. 注册应用程序时,GitHub 会显示 客户端 ID 和客户端 Secret

    1. 将 GitHub 客户端 ID 复制并粘贴到 GitHub OAuth2 Key 字段中。
    2. 将 GitHub Client Secret 复制并粘贴到 GitHub OAuth2 Secret 字段中。
  7. Base URL 字段中,输入 GitHub Enterprise 实例的主机名,例如 https://github.orgexample.com
  8. Github OAuth2 Enterprise API URL 字段中,输入 GitHub Enterprise 实例的 API URL,例如 https://github.example.com/api/v3
  9. GitHub OAuth2 团队 ID 字段中,输入 GitHub 开发人员应用中的 OAuth2 密钥(客户端 ID)。

  10. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  11. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  12. 要在创建时启用此验证方法,请选择 Enabled
  13. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  14. 单击 Create Authentication Method

验证

要验证是否已正确配置了身份验证,请注销 Ansible Automation Platform,检查登录屏幕是否显示您选择的验证方法的徽标,以启用使用这些凭证登录。

3.5.15. 配置 RADIUS 身份验证
复制链接

您可以将 Ansible Automation Platform 配置为集中使用 RADIUS 作为身份验证信息的来源。

流程

  1. 在导航面板中,选择 Access Management Authentication Methods
  2. Create authentication
  3. 输入此身份验证配置的 Name
  4. Authentication type 列表中选择 RadiusAuthentication details 部分自动更新,以显示与所选验证类型相关的字段。
  5. Auto migrate users from 列表中选择一个旧的验证器方法。从 2.4 升级到 2.5 后,这是旧的验证器,用于从中自动将用户迁移到这个新的身份验证配置。有关迁移用户的重要信息,请参阅 RPM 升级和迁移指南中的 Ansible Automation Platform 升级后步骤
  6. RADIUS Server 字段中输入 RADIUS 服务器的主机或 IP。如果将此字段留空,则禁用 RADIUS 身份验证。
  7. 输入 Shared secret,以向 RADIUS 服务器进行身份验证

  8. 可选:输入此验证器可以采用的任何其他 身份验证器字段。这些字段不会被验证,并直接传递给验证器。

    注意

    此字段中定义的值覆盖 UI 中提供的专用字段。此处未定义的任何值都不提供给验证器。

  9. 要在成功登录时自动创建机构、用户和团队,请选择 Create objects
  10. 要在创建时启用此验证方法,请选择 Enabled
  11. 要在之前从此来源进行身份验证时添加的任何组删除用户,请选择 Remove users
  12. 单击 Create Authentication Method
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat