红帽全球峰会3.2. 为 Ansible Automation Platform 设置 OAuth 应用程序
在 Ansible Automation Platform UI 中,有两个选项可用于手动设置 OAuth 应用程序,可以在 Ansible Automation Platform UI 中手动或自动设置。
3.2.1. 自动设置 OAuth 应用程序
通过在 Ansible Automation Platform 中生成 OAuth 令牌并将其添加到您的配置文件中,自动设置 OAuth 应用程序。服务启动后,会自动创建应用并更新客户端 ID。
流程
在 Ansible Automation Platform 中生成 OAuth 令牌:
-
在导航面板中,选择
。 - 选择对 Default 机构(建议 admin 用户)具有写入权限的用户。
- 单击该用户的 Tokens 选项卡。
点 并输入相关详情。
- Scope :选择 Write。
-
在导航面板中,选择
-
前往 Integrating with Ansible Automation Platform 部分,以了解编辑
service-config.yaml文件的步骤,并自动完成 OAuth 应用程序设置。
3.2.2. 手动设置 OAuth 应用程序
在 Ansible Automation Platform 实例中手动设置 OAuth 应用程序。这对于启用基于令牌的身份验证和集成外部应用程序(如 Red Hat Edge Manager)非常重要。
流程
-
在 Ansible Automation Platform 实例的导航面板中,前往
。 - 单击 。
输入以下详情:
- 名称 :输入名称,如 "Red Hat Edge Manager"。这是 Ansible Automation Platform UI 中可见的名称。
-
URL: 使用
https://Red Hat Edge Manager UI 的baseDomain。 - Organization: 选择 默认。
- 授权授权类型 :选择 授权代码。
- 客户端 :选择 Public。
重定向 URI :
-
为 UI 配置的重定向是您的
baseDomain,并附加了 /callback 路由,如https://your-edge-manager-ip-or-domain:443/callback。如果您有多个 URI,请在此字段中输入它们,用空格分开,而不是逗号或其他分隔符。 -
要为 CLI 使用提供重定向(
flightctl login),请配置一个重定向 URI,如http://127.0.0.1/callback。
-
为 UI 配置的重定向是您的
- 单击 。现在,在导航面板中可以看到 Application Links 部分。
-
根据需要复制 客户端 ID,以使用此值更新
service-config.yaml文件中的 oAuthApplicationClientId。 -
前往 Integrating with Ansible Automation Platform 部分,以了解编辑
service-config.yaml文件的步骤,并手动完成 OAuth 应用程序设置。
3.2.3. 与 Ansible Automation Platform 集成
通过修改 service-config.yaml 文件将 Red Hat Edge Manager 与 Ansible Automation Platform 实例集成,使其包含验证类型、API URL、OAuth 客户端 ID 和可选的 OAuth 令牌,然后重启服务。
流程
在编辑
service-config.yaml文件前停止 flightctl 服务:sudo systemctl stop flightctl.target通过编辑配置文件来配置集成设置:
sudo vi /etc/flightctl/service-config.yaml更新配置文件,以便与 Ansible Automation Platform 集成:
global: baseDomain: <your-edge-manager-ip-or-domain>1 auth: type: aap2 insecureSkipTlsVerify: false3 aap: apiUrl: https://your-aap-instance.example.com4 externalApiUrl: https://your-aap-instance.example.com5 oAuthApplicationClientId: <client-id-from-oauth-app>6 oAuthToken: <your-oauth-token>7 - 1
- 主机的域名或 IP,它会在安装 RPM 时自动设置,但您可以覆盖它。它是必需的唯一字段。
- 2
- 把它设置为
aap以启用 Ansible Automation Platform 身份验证。 - 3
- 设置为
false。仅将其设置为true,以跳过 Ansible Automation Platform URL 的 TLS 证书验证。对于生产环境,请考虑配置 CA 证书(请参阅自签名证书部分)。 - 4
- 正在运行的 Ansible Automation Platform 实例的面向内部的 API URL,用于发出请求。您可以将此 URL 配置为正在运行的 Ansible Automation Platform 实例的内部可访问的 URL。例如,如果存在单独的内部或外部入口。
- 5
- 运行 Ansible Automation Platform 实例的外部访问 URL。
- 6
- 如果您使用自动方法,则不需要此字段。这是在 Red Hat Edge Manager 的 Ansible Automation Platform 中配置的 OAuth 应用程序的客户端 ID。如果您还没有此空,则可以将此留空,并提供一个
oAuthToken以允许设置创建它。 - 7
- 如果您使用手动方法,则不需要此字段。这是一个 OAuth 令牌,具有 Ansible Automation Platform 实例中"Default"机构的写入权限。只有在您希望设置过程自动创建 OAuth 应用程序时才需要。创建后,不再需要此令牌。
启动服务:
sudo systemctl start flightctl.target
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}