8.2. 配置 GitHub 身份提供程序
配置 GitHub 身份提供程序,针对 GitHub 或 GitHub Enterprise 的 OAuth 身份验证服务器验证用户名和密码,并访问 Red Hat OpenShift Service on AWS 集群。OAuth 有助于 Red Hat OpenShift Service on AWS 和 GitHub 或 GitHub Enterprise 之间的令牌交换流。
警告
配置 GitHub 身份验证后,用户可以使用 GitHub 凭证登录 Red Hat OpenShift Service on AWS。要防止具有任何 GitHub 用户 ID 的任何人登录到 Red Hat OpenShift Service on AWS 集群,您必须将访问权限限制为只有特定 GitHub 机构或团队中的访问权限。
前提条件
- OAuth 应用程序必须直接由 GitHub 机构管理员在 GitHub 机构设置中创建。
- GitHub 机构或团队 在您的 GitHub 帐户中设置。
流程
- 在 OpenShift Cluster Manager 中,导航到 Cluster List 页面,再选择您需要为其配置身份提供程序的集群。
- 点 Access control 选项卡。
点 Add identity provider。
注意您还可以点在集群创建后显示的警告信息中的 Add Oauth 配置 链接来配置身份提供程序。
- 从下拉菜单中选择 GitHub。
输入身份提供程序的唯一名称。之后无法更改此名称。
在提供的字段中自动生成 OAuth 回调 URL。您将使用它来注册 GitHub 应用。
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
例如:
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/github
- 在 GitHub 上注册应用程序。
- 返回到 Red Hat OpenShift Service on AWS,并从下拉菜单中选择映射方法。在大多数情况下推荐使用 声明。
- 输入 GitHub 提供的客户端 ID 和客户端 secret。
- 输入一个主机名。在使用托管 GitHub Enterprise 实例时,必须输入一个主机名。
- 可选: 您可以指定证书颁发机构 (CA) 文件来验证配置的 GitHub Enterprise URL 的服务器证书。点 Browse 找到并附加 CA 文件到身份提供程序。
- 选择 Use organizations 或 Use teams 以限制对特定 GitHub 组织或 GitHub 团队的访问。
- 输入您要限制访问权限的机构或团队的名称。点 Add more 指定用户可以成为用户所属的多个机构或团队。
- 单击 Confirm。
验证
- 配置的身份提供程序现在在 Cluster List 页面的 Access control 选项卡中可见。