8.6. 配置 OpenID 身份提供程序

配置 OpenID 身份提供程序，以使用授权代码流与 OpenID Connect 身份提供程序集成。

重要

Red Hat OpenShift Service on AWS 中的 Authentication Operator 要求配置的 OpenID Connect 身份提供程序实现 OpenID Connect Discovery 规格。

声明可读取自从 OpenID 身份提供程序返回的 JWT id_token；若有指定，也可读取自从 Issuer URL 返回的 JSON。

必须至少配置一个声明，以用作用户的身份。

您还可以指定将哪些声明用作用户的首选用户名、显示名称和电子邮件地址。如果指定了多个声明，则使用第一个带有非空值的声明。标准的声明是：

Expand

声明	描述
`preferred_username`	置备用户时的首选用户名。用户希望使用的简写名称，如 `janedoe`。通常，与身份验证系统中用户的登录或用户名对应的值，如用户名或电子邮件。
`email`	电子邮件地址。
`name`	显示名称。

如需更多信息，请参阅 OpenID 声明文档。

前提条件

在配置 OpenID Connect 前，请检查您要用于 Red Hat OpenShift Service on AWS 集群的红帽产品或服务的安装先决条件。

流程

在 OpenShift Cluster Manager 中，导航到 Cluster List 页面，再选择您需要为其配置身份提供程序的集群。
点 Access control 选项卡。
点 Add identity provider。
注意
您还可以点在集群创建后显示的警告信息中的 Add Oauth 配置 链接来配置身份提供程序。
从下拉菜单中选择 OpenID。

输入身份提供程序的唯一名称。之后无法更改此名称。

在提供的字段中自动生成 OAuth 回调 URL。

https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>

https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>

Copy to Clipboard

Toggle word wrap

例如：

https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/openid

https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/openid

Copy to Clipboard

Toggle word wrap

按照创建授权请求的步骤在 OpenID 身份提供程序中注册新的 OpenID Connect 客户端。
返回到 Red Hat OpenShift Service on AWS，并从下拉菜单中选择映射方法。在大多数情况下推荐使用声明。
输入 OpenID 提供的客户端 ID 和客户端 secret。
输入 Issuer URL。这是 OpenID 供应商断言为 Issuer 标识符的 URL。它必须使用没有 URL 查询参数或片段的 https 方案。
输入 Email 属性，其值应用作电子邮件地址。点 Add more 来添加多个电子邮件属性。
输入 Name 属性，其值应用作首选用户名。点 Add more 来添加多个首选用户名。
输入 Preferred username 属性，其值应用作显示名称。点 Add more 来添加多个显示名称。
可选：点 Show advanced Options 将证书颁发机构 (CA) 文件添加到 OpenID 身份提供程序中。
可选：在高级选项下，您可以添加 其他范围。默认情况下，请求 OpenID 范围。
单击 Confirm。

验证

返回顶部