6.3. 创建外部身份验证供应商
在使用为外部身份验证供应商启用的选项创建带有 HCP 集群的 ROSA 后,您必须使用 ROSA CLI 创建供应商。
与 ROSA CLI 中的 rosa create|delete|list idp[s]
命令类似,您无法编辑使用 rosa create external-auth-provider
创建的现有身份提供程序。相反,您必须删除外部身份验证供应商并创建一个新供应商。
下表显示了创建外部身份验证供应商时可以使用的 CLI 标志:
CLI 标记 | 描述 |
---|---|
| 集群的名称或 ID。 |
| 用于引用外部身份验证提供程序的名称。 |
| 此字符串是客户端 secret,用于将您的帐户与应用程序关联。如果没有包括客户端 secret,这个命令会使用公共 OIDC OAuthClient。 |
| 这是以逗号分隔的令牌受众列表。 |
| 令牌签发者的 URL。 |
| 用于构建集群身份的用户名的声明名称。 |
| 应该用来构造集群身份组名称的声明名称。 |
流程
要使用交互式命令界面,请运行以下命令:
$ rosa create external-auth-provider -c <cluster_name>
I: Enabling interactive mode ? Name: 1 ? Issuer audiences: 2 ? The serving url of the token issuer: 3 ? CA file path (optional): 4 ? Claim mapping username: 5 ? Claim mapping groups: 6 ? Claim validation rule (optional): 7 ? Console client id (optional): 8
您可以使用以下命令包括创建外部身份验证供应商所需的 ID:
rosa create external-auth-provider --cluster=<cluster_id> \ --name=<provider_name> --issuer-url=<issuing_url> \ --issuer-audiences=<audience_id> \ --claim-mapping-username-claim=email \ --claim-mapping-groups-claim=groups \ --console-client-id=<client_id_for_app_registration> \ --console-client-secret=<client_secret>
输出示例
I: Successfully created an external authentication provider for cluster '<cluster_id>'
验证
要验证外部身份验证供应商,请运行以下选项之一:
使用以下命令列出指定集群中的外部身份验证配置:
$ rosa list external-auth-provider -c <cluster_name>
输出示例
以下示例显示了配置的 Microsoft Entra ID 外部身份验证供应商:
NAME ISSUER URL m-entra-id https://login.microsoftonline.com/<group_id>/v2.0
使用以下命令在指定集群中显示外部身份验证配置:
$ rosa describe external-auth-provider \ -c <cluster_name> --name <name_of_external_authentication>
输出示例
ID: ms-entra-id Cluster ID: <cluster_id> Issuer audiences: - <audience_id> Issuer Url: https://login.microsoftonline.com/<group_id>/v2.0 Claim mappings group: groups Claim mappings username: email
其他资源
- 有关为您的 IDP 配置 Entra ID 的更多信息,请参阅 Azure 文档中的 Microsoft Entra ID? 或 配置 Microsoft Entra ID (以前称为 Azure Active Directory)部分作为文档的身份提供程序 指南 部分。