3.9. 管理身份和授权

本节论述了管理 Red Hat OpenShift Dev Spaces 的身份和授权的不同方面。

第 3.9.3 节 “删除用户数据”

3.9.1. OAuth 用于 GitHub、GitLab 或 Bitbucket

允许用户使用远程 Git 存储库：

3.9.1.1. 为 GitHub 配置 OAuth 2.0

允许用户使用托管在 GitHub 上的远程 Git 存储库：

设置 GitHub OAuth 应用程序(OAuth 2.0)。
应用 GitHub OAuth App Secret。

3.9.1.1.1. 设置 GitHub OAuth 应用程序

使用 OAuth 2.0 设置 GitHub OAuth 应用程序。

先决条件

已登陆到 GitHub。
base64 安装在您正在使用的操作系统中。

流程

进入 https://github.com/settings/applications/new。
输入以下值：
1. 应用程序名称 ：OpenShift Dev Spaces。
2. 主页 URL:"https://devspaces-<openshift_deployment_name>.<domain_name>"/
3. 授权回调 URL:"https://devspaces-<openshift_deployment_name>.<domain_name>"/api/oauth/callback
点击 Register application。
点 Generate new client secret。
复制 GitHub OAuth 客户端 ID 并将其编码为 Base64，以便在应用 GitHub OAuth App Secret 时使用：
```
echo -n '<github_oauth_client_id>' | base64
```
```
$ echo -n '<github_oauth_client_id>' | base64
```
Copy to Clipboard
复制 GitHub OAuth 客户端 Secret 并将其编码为 Base64，以便在应用 GitHub OAuth App Secret 时使用：
```
echo -n '<github_oauth_client_secret>' | base64
```
```
$ echo -n '<github_oauth_client_secret>' | base64
```
Copy to Clipboard

其他资源

GitHub Docs：创建 OAuth 应用程序

3.9.1.1.2. 应用 GitHub OAuth 应用程序 Secret

准备并应用 GitHub OAuth App Secret。

先决条件

设置 GitHub OAuth 应用程序已完成。
设置 GitHub OAuth App 时生成的 Base64 编码的值已准备好：
- GitHub OAuth 客户端 ID
- GitHub OAuth 客户端机密
一个活跃的 oc 会话，具有到目标 OpenShift 集群的管理权限。请参阅 CLI 入门。

流程

准备 Secret：

kind: Secret
apiVersion: v1
metadata:
  name: github-oauth-config
  namespace: openshift-devspaces 
  labels:
    app.kubernetes.io/part-of: che.eclipse.org
    app.kubernetes.io/component: oauth-scm-configuration
  annotations:
    che.eclipse.org/oauth-scm-server: github
    che.eclipse.org/scm-server-endpoint: <github_server_url> 
type: Opaque
data:
  id: <Base64_GitHub_OAuth_Client_ID> 
  secret: <Base64_GitHub_OAuth_Client_Secret>

kind: Secret
apiVersion: v1
metadata:
  name: github-oauth-config
  namespace: openshift-devspaces


  labels:
    app.kubernetes.io/part-of: che.eclipse.org
    app.kubernetes.io/component: oauth-scm-configuration
  annotations:
    che.eclipse.org/oauth-scm-server: github
    che.eclipse.org/scm-server-endpoint: <github_server_url>


type: Opaque
data:
  id: <Base64_GitHub_OAuth_Client_ID>


  secret: <Base64_GitHub_OAuth_Client_Secret>

Copy to Clipboard

1: OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces。
2: GitHub Enterprise Server URL.默认情况下 ，https://github.com 用于 SAAS 版本。
3: base64 编码的 GitHub OAuth 客户端 ID。
4: Base64 编码的 GitHub OAuth 客户端 Secret。

应用 Secret：

oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

$ oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

Copy to Clipboard

验证在创建 Secret 的输出中。

3.9.1.2. 为 GitLab 配置 OAuth 2.0

要使用户能够使用 GitLab 实例托管的远程 Git 存储库：

设置 GitLab 授权应用程序(OAuth 2.0)。
应用 GitLab 授权应用 Secret。

3.9.1.2.1. 设置 GitLab 授权应用程序

使用 OAuth 2.0 设置 GitLab 授权应用程序。

先决条件

您已登录到 GitLab。
base64 安装在您正在使用的操作系统中。

流程

点击您的 avatar，再转到 Edit profile Applications。
输入 OpenShift Dev Spaces 作为 Name。
输入 "https://devspaces-<openshift_deployment_name>.<domain_name>"/api/oauth/callback 作为 Redirect URI。
选中 机密和 过期访问令牌 复选框。
在 Scopes 下，选中 api、write_repository 和 openid 复选框。
点 Save application。
复制 GitLab 应用 ID 并将其编码为 Base64，以便在应用 GitLab-authorized 应用 Secret 时使用：
```
echo -n '<gitlab_application_id>' | base64
```
```
$ echo -n '<gitlab_application_id>' | base64
```
Copy to Clipboard
复制 GitLab 客户端 Secret 并将其编码为 Base64，以便在应用 GitLab-authorized 应用 Secret 时使用：
```
echo -n '<gitlab_client_secret>' | base64
```
```
$ echo -n '<gitlab_client_secret>' | base64
```
Copy to Clipboard

其他资源

GitLab Docs：授权应用程序

3.9.1.2.2. 应用 GitLab-authorized 应用程序 Secret

准备并应用 GitLab-authorized 应用 Secret。

先决条件

设置 GitLab 授权应用程序已完成。
设置 GitLab 授权应用程序时生成的 Base64 编码的值已准备好：
- GitLab Application ID
- GitLab 客户端机密
一个活跃的 oc 会话，具有到目标 OpenShift 集群的管理权限。请参阅 CLI 入门。

流程

准备 Secret：

kind: Secret
apiVersion: v1
metadata:
  name: gitlab-oauth-config
  namespace: openshift-devspaces 
  labels:
    app.kubernetes.io/part-of: che.eclipse.org
    app.kubernetes.io/component: oauth-scm-configuration
  annotations:
    che.eclipse.org/oauth-scm-server: gitlab
    che.eclipse.org/scm-server-endpoint: <gitlab_server_url> 
type: Opaque
data:
  id: <Base64_GitLab_Application_ID> 
  secret: <Base64_GitLab_Client_Secret>

kind: Secret
apiVersion: v1
metadata:
  name: gitlab-oauth-config
  namespace: openshift-devspaces


  labels:
    app.kubernetes.io/part-of: che.eclipse.org
    app.kubernetes.io/component: oauth-scm-configuration
  annotations:
    che.eclipse.org/oauth-scm-server: gitlab
    che.eclipse.org/scm-server-endpoint: <gitlab_server_url>


type: Opaque
data:
  id: <Base64_GitLab_Application_ID>


  secret: <Base64_GitLab_Client_Secret>

Copy to Clipboard

1: OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces。
2: GitLab 服务器 URL.使用 https://gitlab.com 作为 SAAS 版本。
3: Base64 编码的 GitLab 应用 ID。
4: Base64 编码的 GitLab 客户端 Secret。

应用 Secret：

oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

$ oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

Copy to Clipboard

验证在创建 Secret 的输出中。

3.9.1.3. 为 Bitbucket 服务器配置 OAuth 1.0

要让用户使用在 Bitbucket 服务器上托管的远程 Git 存储库：

在 Bitbucket 服务器上设置应用链接(OAuth 1.0)。
为 Bitbucket 服务器应用应用链接 Secret。

3.9.1.3.1. 在 Bitbucket 服务器上设置应用程序链接

在 Bitbucket 服务器上为 OAuth 1.0 设置应用链接。

先决条件

您已登录到 Bitbucket 服务器。
openssl 安装在使用的操作系统中。
base64 安装在您正在使用的操作系统中。

流程

在命令行中，运行命令为后续步骤创建必要的文件，并在应用应用程序链接 Secret 时使用：

openssl genrsa -out private.pem 2048 && \
openssl pkcs8 -topk8 -inform pem -outform pem -nocrypt -in private.pem -out privatepkcs8.pem && \
cat privatepkcs8.pem | sed 's/-----BEGIN PRIVATE KEY-----//g' | sed 's/-----END PRIVATE KEY-----//g' | tr -d '\n' | base64 | tr -d '\n' > privatepkcs8-stripped.pem && \
openssl rsa -in private.pem -pubout > public.pub && \
cat public.pub | sed 's/-----BEGIN PUBLIC KEY-----//g' | sed 's/-----END PUBLIC KEY-----//g' | tr -d '\n' > public-stripped.pub && \
openssl rand -base64 24 > bitbucket-consumer-key && \
openssl rand -base64 24 > bitbucket-shared-secret

$ openssl genrsa -out private.pem 2048 && \
openssl pkcs8 -topk8 -inform pem -outform pem -nocrypt -in private.pem -out privatepkcs8.pem && \
cat privatepkcs8.pem | sed 's/-----BEGIN PRIVATE KEY-----//g' | sed 's/-----END PRIVATE KEY-----//g' | tr -d '\n' | base64 | tr -d '\n' > privatepkcs8-stripped.pem && \
openssl rsa -in private.pem -pubout > public.pub && \
cat public.pub | sed 's/-----BEGIN PUBLIC KEY-----//g' | sed 's/-----END PUBLIC KEY-----//g' | tr -d '\n' > public-stripped.pub && \
openssl rand -base64 24 > bitbucket-consumer-key && \
openssl rand -base64 24 > bitbucket-shared-secret

Copy to Clipboard

前往 Administration Application Links。
在 URL 字段中输入 "https://devspaces-<openshift_deployment_name>.<domain_name>"/，然后点击 Create new link。
在提供的 Application URL 下，选中 Use this URL 复选框，再单击 Continue。
输入 OpenShift Dev Spaces 作为 Application Name。
选择 Generic Application 作为 应用程序类型。
输入 OpenShift Dev Spaces 作为 Service Provider Name。
粘贴 bitbucket-consumer-key 文件的内容作为 Consumer 键。
粘贴 bitbucket-shared-secret 文件的内容作为 Shared secret。
输入 <bitbucket_server_url> /plugins/servlet/oauth/request-token 作为 Request Token URL。
输入 <bitbucket_server_url> /plugins/servlet/oauth/access-token 作为 Access token URL。
输入 <bitbucket_server_url> /plugins/servlet/oauth/authorize 作为 Authorize URL。
选中 创建传入链接 复选框，再单击继续。
粘贴 bitbucket_consumer_key 文件的内容作为 Consumer Key。
输入 OpenShift Dev Spaces 作为 Consumer 名称。
将 public-stripped.pub 文件的内容作为公钥粘贴，然后单击 Continue。

其他资源

ATLASSIAN 文档：链接到其他应用程序

3.9.1.3.2. 为 Bitbucket 服务器应用应用程序链接 Secret

为 Bitbucket 服务器准备并应用应用链接 Secret。

先决条件

应用链接在 Bitbucket 服务器上设置。
设置应用程序链接时创建的以下 Base64 编码文件已准备好：
- privatepkcs8-stripped.pem
- bitbucket_consumer_key
- bitbucket-shared-secret
一个活跃的 oc 会话，具有到目标 OpenShift 集群的管理权限。请参阅 CLI 入门。

流程

准备 Secret：

kind: Secret
apiVersion: v1
metadata:
  name: bitbucket-oauth-config
  namespace: openshift-devspaces 
  labels:
    app.kubernetes.io/component: oauth-scm-configuration
    app.kubernetes.io/part-of: che.eclipse.org
  annotations:
    che.eclipse.org/oauth-scm-server: bitbucket
    che.eclipse.org/scm-server-endpoint: <bitbucket_server_url> 
type: Opaque
data:
  private.key: <Base64_content_of_privatepkcs8-stripped.pem> 
  consumer.key: <Base64_content_of_bitbucket_server_consumer_key> 
  shared_secret: <Base64_content_of_bitbucket-shared-secret>

kind: Secret
apiVersion: v1
metadata:
  name: bitbucket-oauth-config
  namespace: openshift-devspaces


  labels:
    app.kubernetes.io/component: oauth-scm-configuration
    app.kubernetes.io/part-of: che.eclipse.org
  annotations:
    che.eclipse.org/oauth-scm-server: bitbucket
    che.eclipse.org/scm-server-endpoint: <bitbucket_server_url>


type: Opaque
data:
  private.key: <Base64_content_of_privatepkcs8-stripped.pem>


  consumer.key: <Base64_content_of_bitbucket_server_consumer_key>


  shared_secret: <Base64_content_of_bitbucket-shared-secret>

Copy to Clipboard

1: OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces。
2: Bitbucket 服务器的 URL。
3: privatepkcs8-stripped.pem 文件的 Base64 编码内容。
4: bitbucket_consumer_key 文件的 Base64 编码内容。
5: bitbucket-shared-secret 文件的 Base64 编码内容。

应用 Secret：

oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

$ oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

Copy to Clipboard

验证在创建 Secret 的输出中。

3.9.1.4. 为 Bitbucket 云配置 OAuth 2.0

您可以允许用户使用在 Bitbucket 云上托管的远程 Git 存储库：

在 Bitbucket 云中设置 OAuth 使用者(OAuth 2.0)。
为 Bitbucket 云应用 OAuth 使用者 Secret。

3.9.1.4.1. 在 Bitbucket 云中设置 OAuth 使用者

在 Bitbucket 云中为 OAuth 2.0 设置 OAuth 使用者。

先决条件

您已登录到 Bitbucket 云。
base64 安装在您正在使用的操作系统中。

流程

点 avatar，再进入 All workspaces 页面。
选择一个工作区并点它。
前往 Settings OAuth consumer Addconsumer。
输入 OpenShift Dev Spaces 作为 Name。
输入 "https://devspaces-<openshift_deployment_name>.<domain_name>"/api/oauth/callback 作为 Callback URL。
在 Permissions 下，选中所有 帐户和 存储库 复选框，然后单击保存。
扩展添加的消费者，然后复制 Key 值并将其编码为 Base64，以便在应用 Bitbucket OAuth 消费者 Secret 时使用：
```
echo -n '<bitbucket_oauth_consumer_key>' | base64
```
```
$ echo -n '<bitbucket_oauth_consumer_key>' | base64
```
Copy to Clipboard
复制 Secret 值并将其编码为 Base64，以便在应用 Bitbucket OAuth 消费者 Secret 时使用：
```
echo -n '<bitbucket_oauth_consumer_secret>' | base64
```
```
$ echo -n '<bitbucket_oauth_consumer_secret>' | base64
```
Copy to Clipboard

其他资源

Bitbucket Docs：在 Bitbucket 云上使用 OAuth

3.9.1.4.2. 为 Bitbucket 云应用 OAuth 使用者 Secret

为 Bitbucket 云准备并应用 OAuth 使用者 Secret。

先决条件

OAuth 使用者在 Bitbucket 云中设置。
设置 Bitbucket OAuth 消费者时生成的 Base64 编码的值已准备好：
- Bitbucket OAuth 消费者密钥
- Bitbucket OAuth 消费者 Secret
一个活跃的 oc 会话，具有到目标 OpenShift 集群的管理权限。请参阅 CLI 入门。

流程

准备 Secret：

kind: Secret
apiVersion: v1
metadata:
  name: bitbucket-oauth-config
  namespace: openshift-devspaces 
  labels:
    app.kubernetes.io/part-of: che.eclipse.org
    app.kubernetes.io/component: oauth-scm-configuration
  annotations:
    che.eclipse.org/oauth-scm-server: bitbucket
type: Opaque
data:
  id: <Base64_Bitbucket_Oauth_Consumer_Key> 
  secret: <Base64_Bitbucket_Oauth_Consumer_Secret>

kind: Secret
apiVersion: v1
metadata:
  name: bitbucket-oauth-config
  namespace: openshift-devspaces


  labels:
    app.kubernetes.io/part-of: che.eclipse.org
    app.kubernetes.io/component: oauth-scm-configuration
  annotations:
    che.eclipse.org/oauth-scm-server: bitbucket
type: Opaque
data:
  id: <Base64_Bitbucket_Oauth_Consumer_Key>


  secret: <Base64_Bitbucket_Oauth_Consumer_Secret>

Copy to Clipboard

1: OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces。
2: base64 编码的 Bitbucket OAuth 消费者密钥。
3: Base64 编码的 Bitbucket OAuth 消费者 Secret。

应用 Secret：

oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

$ oc apply -f - <<EOF
<Secret_prepared_in_the_previous_step>
EOF

Copy to Clipboard

验证在创建 Secret 的输出中。

3.9.2. 配置管理用户

要在 OpenShift Dev Spaces 服务器上执行需要管理特权的操作，如删除用户数据，请激活具有管理特权的用户。默认安装为 admin 用户启用管理特权，无论它在 OpenShift 中存在。

流程

配置 CheCluster 自定义资源，以使用管理特权设置 & lt;admin > 用户。请参阅第 3.1.2 节 “使用 CLI 配置 CheCluster 自定义资源”。

spec:
  components:
    cheServer:
      extraProperties:
        CHE_SYSTEM_ADMIN__NAME: '<admin>'

spec:
  components:
    cheServer:
      extraProperties:
        CHE_SYSTEM_ADMIN__NAME: '<admin>'

Copy to Clipboard

其他资源

3.9.3. 删除用户数据

3.9.3.1. 根据 GDPR 删除用户数据

您可以使用 OpenShift Dev Spaces API 删除 OpenShift Dev Spaces 用户的数据。按照此流程，使服务符合 EU General Data Protection Regulation (GDPR)，它强制个人擦除个人数据。

先决条件

具有到 OpenShift Dev Spaces 的管理权限的活跃会话。请参阅第 3.9.2 节 “配置管理用户”。
一个活跃的 oc 会话，具有 OpenShift 集群的管理权限。请参阅 OpenShift CLI 入门。

流程

获取 &lt ;username&gt; user <id > id: 导航到 https:// &lt;devspaces- &lt;openshift_deployment_name>.<domain_name>> /swagger/#/user/find_1，点 Try it out, set name: <username> ,然后点 Execute。向下滚动 Response body 以查找 id 值。
删除 OpenShift Dev Spaces 服务器 管理的 <id > 用户数据，如 user preferences: 导航到 https:// <devspaces- &lt;openshift_deployment_name>.<domain_name> &gt;/swagger/#/user/remove，点 Try it out, set id: <id>，然后点 Execute。预期为 204 响应代码：
删除 user 项目，以删除绑定到用户的所有 OpenShift 资源，如工作区、机密和 configmap。
```
oc delete namespace <username>-devspaces
```
```
$ oc delete namespace <username>-devspaces
```
Copy to Clipboard

其他资源

返回顶部

3.9. 管理身份和授权

3.9.1. OAuth 用于 GitHub、GitLab 或 Bitbucket

3.9.1.1. 为 GitHub 配置 OAuth 2.0

3.9.1.1.1. 设置 GitHub OAuth 应用程序

3.9.1.1.2. 应用 GitHub OAuth 应用程序 Secret

3.9.1.2. 为 GitLab 配置 OAuth 2.0

3.9.1.2.1. 设置 GitLab 授权应用程序

3.9.1.2.2. 应用 GitLab-authorized 应用程序 Secret

3.9.1.3. 为 Bitbucket 服务器配置 OAuth 1.0

3.9.1.3.1. 在 Bitbucket 服务器上设置应用程序链接

3.9.1.3.2. 为 Bitbucket 服务器应用应用程序链接 Secret

3.9.1.4. 为 Bitbucket 云配置 OAuth 2.0

3.9.1.4.1. 在 Bitbucket 云中设置 OAuth 使用者

3.9.1.4.2. 为 Bitbucket 云应用 OAuth 使用者 Secret

3.9.2. 配置管理用户

3.9.3. 删除用户数据

3.9.3.1. 根据 GDPR 删除用户数据

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links