6.3. 创建外部身份验证供应商


在使用为外部身份验证供应商启用的选项创建带有 HCP 集群的 ROSA 后,您必须使用 ROSA CLI 创建供应商。

注意

与 ROSA CLI 中的 rosa create|delete|list idp[s] 命令类似,您无法编辑使用 rosa create external-auth-provider 创建的现有身份提供程序。相反,您必须删除外部身份验证供应商并创建一个新供应商。

下表显示了创建外部身份验证供应商时可以使用的 CLI 标志:

CLI 标记描述

--cluster

集群的名称或 ID。

--name

用于引用外部身份验证提供程序的名称。

--console-client-secret

此字符串是客户端 secret,用于将您的帐户与应用程序关联。如果没有包括客户端 secret,这个命令会使用公共 OIDC OAuthClient。

--issuer-audiences

这是以逗号分隔的令牌受众列表。

--issuer-url

令牌签发者的 URL。

--claim-mapping-username-claim

用于构建集群身份的用户名的声明名称。

--claim-mapping-groups-claim

应该用来构造集群身份组名称的声明名称。

流程

  • 要使用交互式命令界面,请运行以下命令:

    $ rosa create external-auth-provider -c <cluster_name>
    I: Enabling interactive mode
    ? Name: 1
    ? Issuer audiences: 2
    ? The serving url of the token issuer: 3
    ? CA file path (optional): 4
    ? Claim mapping username: 5
    ? Claim mapping groups: 6
    ? Claim validation rule (optional): 7
    ? Console client id (optional): 8
    1
    外部身份验证供应商的名称。此名称应为带有数字和短划线的小写。
    2
    此身份验证提供程序发布令牌的受众 ID。
    3
    提供令牌的签发者 URL。
    4
    可选:发出请求时使用的证书文件。
    5
    用于构造集群身份的用户名的声明名称,如使用 电子邮件
    6
    将 ID 令牌转换为集群身份的方法,例如使用
    7
    可选:帮助验证用户验证令牌声明的规则。此字段应格式化为 :< required_value>
    8
    可选:应用程序注册用于控制台的应用程序或客户端 ID。
  • 您可以使用以下命令包括创建外部身份验证供应商所需的 ID:

    rosa create external-auth-provider --cluster=<cluster_id> \
        --name=<provider_name> --issuer-url=<issuing_url> \
        --issuer-audiences=<audience_id> \
        --claim-mapping-username-claim=email \
        --claim-mapping-groups-claim=groups \
        --console-client-id=<client_id_for_app_registration> \
        --console-client-secret=<client_secret>

    输出示例

    I: Successfully created an external authentication provider for cluster '<cluster_id>'

验证

  • 要验证外部身份验证供应商,请运行以下选项之一:

    • 使用以下命令列出指定集群中的外部身份验证配置:

      $ rosa list external-auth-provider -c <cluster_name>

      输出示例

      以下示例显示了配置的 Microsoft Entra ID 外部身份验证供应商:

      NAME        ISSUER URL
      m-entra-id  https://login.microsoftonline.com/<group_id>/v2.0
    • 使用以下命令在指定集群中显示外部身份验证配置:

      $ rosa describe external-auth-provider \
          -c <cluster_name> --name <name_of_external_authentication>

      输出示例

      ID:                          ms-entra-id
      Cluster ID:                  <cluster_id>
      Issuer audiences:
                                   - <audience_id>
      Issuer Url:                  https://login.microsoftonline.com/<group_id>/v2.0
      Claim mappings group:        groups
      Claim mappings username:     email

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.