8.6. 配置 OpenID 身份提供程序
配置 OpenID 身份提供程序,以使用授权代码流与 OpenID Connect 身份提供程序集成。
Red Hat OpenShift Service on AWS 中的 Authentication Operator 要求配置的 OpenID Connect 身份提供程序实现 OpenID Connect Discovery 规格。
声明可读取自从 OpenID 身份提供程序返回的 JWT id_token
;若有指定,也可读取自从 Issuer URL 返回的 JSON。
必须至少配置一个声明,以用作用户的身份。
您还可以指定将哪些声明用作用户的首选用户名、显示名称和电子邮件地址。如果指定了多个声明,则使用第一个带有非空值的声明。标准的声明是:
声明 | 描述 |
---|---|
|
置备用户时的首选用户名。用户希望使用的简写名称,如 |
| 电子邮件地址。 |
| 显示名称。 |
如需更多信息,请参阅 OpenID 声明文档。
前提条件
- 在配置 OpenID Connect 前,请检查您要用于 Red Hat OpenShift Service on AWS 集群的红帽产品或服务的安装先决条件。
流程
- 在 OpenShift Cluster Manager 中,导航到 Cluster List 页面,再选择您需要为其配置身份提供程序的集群。
- 点 Access control 选项卡。
点 Add identity provider。
注意您还可以点在集群创建后显示的警告信息中的 Add Oauth 配置 链接来配置身份提供程序。
- 从下拉菜单中选择 OpenID。
输入身份提供程序的唯一名称。之后无法更改此名称。
在提供的字段中自动生成 OAuth 回调 URL。
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
例如:
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/openid
- 按照 创建授权请求 的步骤在 OpenID 身份提供程序中注册新的 OpenID Connect 客户端。
- 返回到 Red Hat OpenShift Service on AWS,并从下拉菜单中选择映射方法。在大多数情况下推荐使用 声明。
- 输入 OpenID 提供的客户端 ID 和客户端 secret。
- 输入 Issuer URL。这是 OpenID 供应商断言为 Issuer 标识符的 URL。它必须使用没有 URL 查询参数或片段的 https 方案。
- 输入 Email 属性,其值应用作电子邮件地址。点 Add more 来添加多个电子邮件属性。
- 输入 Name 属性,其值应用作首选用户名。点 Add more 来添加多个首选用户名。
- 输入 Preferred username 属性,其值应用作显示名称。点 Add more 来添加多个显示名称。
- 可选:点 Show advanced Options 将证书颁发机构 (CA) 文件添加到 OpenID 身份提供程序中。
-
可选:在高级选项下,您可以添加 其他范围。默认情况下,请求
OpenID
范围。 - 单击 Confirm。
验证
- 配置的身份提供程序现在在 Cluster List 页面的 Access control 选项卡中可见。