3.3. 管理外部用户的 OAuth2 令牌创建

Red Hat Ansible Automation Platform 设计了一个默认安全功能，它可防止通过外部供应商（如 LDAP、SAML 或 SSO）进行身份验证的用户创建用于编程 API 访问的 OAuth2 令牌。当外部用户尝试生成此类令牌时，会出现以下消息： 403: Forbidden' error with the message: '(access_denied) OAuth2 Tokens 不能由与外部身份验证提供程序关联的用户创建。

这个默认行为是临时的安全措施。Ansible Automation Platform 优先选择对令牌生成进行集中式控制，从而鼓励管理员选择适当的方法为外部身份验证提供程序启用 OAuth 2.0 用户令牌生成。

务必要了解在 Ansible Automation Platform 中创建 OAuth2 令牌，Ansible Automation Platform 本身会管理其生命周期，包括其过期时间。这个生命周期独立于用户与外部身份提供程序(IdP)的会话。例如，如果用户生成 Ansible Automation Platform 令牌，并且以后在外部 IdP 中禁用其帐户，Ansible Automation Platform 令牌将保持有效，直到它过期或被手动撤销。了解这种交互对于安全配置至关重要，因为如果为外部用户启用令牌创建，它突出显示了补充控制的需要。