114.7. ipaidp Ansible 模块中的 provider 选项
以下身份提供程序(IdP)支持 OAuth 2.0 设备授权流:
- Microsoft Identity Platform,包括 Azure AD
- GitHub
- Keycloak,包括红帽单点登录(SSO)
- Okta
当使用 idp ansible-freeipa 模块创建对这些外部 IdP 的引用时,您可以使用 ipaidp ansible-freeipa playbook 任务中的 provider 选项指定 IdP 类型,它扩展至额外的选项,如下所述:
Provider: microsoftMicrosoft Azure IdP 允许基于 Azure 租户 ID 进行半虚拟化 ID,您可以使用
机构选项指定。如果您需要对 live.com IdP 的支持,请指定选项organization common。选择
provider: microsoft扩展以使用以下选项。organization选项的值替换表中的字符串${ipaidporg}。选项 值 auth_uri: URIhttps://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorizedev_auth_uri: URIhttps://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecodetoken_uri: URIhttps://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/tokenuserinfo_uri: URIhttps://graph.microsoft.com/oidc/userinfokeys_uri: URIhttps://login.microsoftonline.com/common/discovery/v2.0/keysScope: STROpenID 电子邮件idp_user_id: STRemailProvider: google选择
供应商:google扩展以使用以下选项:选项 值 auth_uri: URIhttps://accounts.google.com/o/oauth2/authdev_auth_uri: URIhttps://oauth2.googleapis.com/device/codetoken_uri: URIhttps://oauth2.googleapis.com/tokenuserinfo_uri: URIhttps://openidconnect.googleapis.com/v1/userinfokeys_uri: URIhttps://www.googleapis.com/oauth2/v3/certsScope: STROpenID 电子邮件idp_user_id: STRemailProvider: github选择
provider: github扩展以使用以下选项:选项 值 auth_uri: URIhttps://github.com/login/oauth/authorizedev_auth_uri: URIhttps://github.com/login/device/codetoken_uri: URIhttps://github.com/login/oauth/access_tokenuserinfo_uri: URIhttps://openidconnect.googleapis.com/v1/userinfokeys_uri: URIhttps://api.github.com/userScope: STRuseridp_user_id: STRloginprovider: keycloak使用 Keycloak 时,您可以定义多个域或机构。由于它通常是自定义部署的一部分,因此基本 URL 和域 ID 都是必需的,因此您可以使用
ipaidpplaybook 任务中的base_url和机构选项指定它们:--- - name: Playbook to manage IPA idp hosts: ipaserver become: false tasks: - name: Ensure keycloak idp my-keycloak-idp is present using provider ipaidp: ipaadmin_password: "{{ ipaadmin_password }}" name: my-keycloak-idp provider: keycloak organization: main base_url: keycloak.domain.com:8443/auth client_id: my-keycloak-client-id选择
provider: keycloak扩展以使用以下选项。您在base_url选项中指定的值替换表中的字符串${ipaidpbaseurl},您为机构"option 指定的值替换字符串 '${ipaidporg}。选项 值 auth_uri: URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/authdev_auth_uri: URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/devicetoken_uri: URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/tokenuserinfo_uri: URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfoScope: STROpenID 电子邮件idp_user_id: STRemailProvider: okta在注册一个 Okta 中的新机构后,会关联一个新的基本 URL。您可以使用
ipaidpplaybook 任务中的base_url选项指定这个基本 URL:--- - name: Playbook to manage IPA idp hosts: ipaserver become: false tasks: - name: Ensure okta idp my-okta-idp is present using provider ipaidp: ipaadmin_password: "{{ ipaadmin_password }}" name: my-okta-idp provider: okta base_url: dev-12345.okta.com client_id: my-okta-client-id选择
provider: okta扩展以使用以下选项。为base_url选项指定的值替换表中的字符串${ipaidpbaseurl}。选项 值 auth_uri: URIhttps://${ipaidpbaseurl}/oauth2/v1/authorizedev_auth_uri: URIhttps://${ipaidpbaseurl}/oauth2/v1/device/authorizetoken_uri: URIhttps://${ipaidpbaseurl}/oauth2/v1/tokenuserinfo_uri: URIhttps://${ipaidpbaseurl}/oauth2/v1/userinfoScope: STROpenID 电子邮件idp_user_id: STRemail
其它资源
