17.4. 重新分配 OAuth 访问令牌
机构管理员可分配 OAuth API 令牌,供其他用户具有特定权限创建。这允许在没有机构管理权限创建 OAuth API 令牌的用户使用令牌时准确反映审计日志。
以下流程仅适用于当前的 Red Hat Quay UI。目前没有在 Red Hat Quay v2 UI 中实施。
先决条件
您以具有机构管理特权的用户身份登录,供您分配 OAuth API 令牌。
注意OAuth API 令牌用于身份验证,而不是授权。例如,您要分配 OAuth 令牌的用户必须具有
Admin
团队角色才能使用管理 API 端点。如需更多信息,请参阅管理对存储库的访问。
流程
可选。如果还没有更新,更新 Red Hat Quay
config.yaml
文件,使其包含FEATURE_ASSIGN_OAUTH_TOKEN: true
字段:# ... FEATURE_ASSIGN_OAUTH_TOKEN: true # ...
- 可选。重启 Red Hat Quay registry。
- 以机构管理员身份登录到您的 Red Hat Quay registry。
- 单击为您为其创建 OAuth 令牌的组织名称。
- 在导航窗格中,单击 Applications。
- 点正确的应用程序名称。
- 在导航窗格中,单击 Generate Token。
- 单击 Assign another user,并输入将要接管 OAuth 令牌的用户名称。
选中您希望新用户具有的所需权限框。例如,如果您只希望新用户能够创建存储库,请单击 Create Repositories。
重要权限控制由机构中的团队角色定义,无论这里选择的选项如何。例如,您要分配 OAuth 令牌的用户必须具有
Admin
团队角色才能使用管理 API 端点。仅选中 Super User Access 框并不实际授予用户这个权限。超级用户必须通过
config.yaml
文件配置,并且 此处必须选中该框。单击 Assign token。此时会出现一个弹出框,确认带有以下信息的授权,并显示批准的权限:
This will prompt user <username> to generate a token with the following permissions: repo:create
在弹出窗口中,单击 Assign token。您会被重定向到显示以下信息的新页面:
Token assigned successfully
验证
- 在重新分配 OAuth 令牌后,分配的用户必须接受令牌来接收 bearer 令牌,该令牌需要使用 API 端点。请求分配的用户登录到 Red Hat Quay registry。
- 登录后,他们必须在 Users 和 Organizations 下单击其用户名。
- 在导航窗格中,他们必须单击 External Logins & Applications。
- 在 Authorized Applications 下,它们必须单击 授权应用程序 来确认应用程序。它们会被定向到一个新页面,其中必须单击 授权应用程序 进行确认。
- 它们会被重定向到显示其 bearer 令牌的新页面。它们必须保存此 bearer 令牌,因为它无法再次查看。