3.4. 将 GitHub 配置为 Trusted Artifact Signer 的 OpenID Connect 供应商

流程

1. 在工作站上打开一个终端，并登录到 OpenShift：

   语法

   oc login --token=TOKEN --server=SERVER_URL_AND_PORT

   Example

   $ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443

   注意

   您可以从 OpenShift Web 控制台在命令行中查找您的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名，然后点 Copy login 命令。如果被要求，请再次提供您的用户名和密码，然后单击 Display Token 查看命令。

2. 登录到 Red Hat SSO 控制台。

   1. 从命令行查找 Red Hat SSO 控制台 URL：

      Example

      $ oc get routes -n keycloak-system keycloak -o jsonpath='https://{.spec.host}'

   2. 将 Red Hat SSO 控制台 URL 复制并粘贴到您的 Web 浏览器中。
   3. 单击 Administration Console。

   4. 从命令行检索 admin 密码：

      Example

      $ oc get secret/credential-keycloak -n keycloak-system -o jsonpath='{ .data.ADMIN_PASSWORD }' | base64 -d

      复制此命令的输出。

   5. 在 Web 浏览器中，以 admin 用户身份登录，并将密码粘贴到对应的字段中。点 Sign In 按钮。
3. 从导航菜单的下拉菜单中选择您的域。

4. 添加 GitHub 身份提供程序。

   1. 在导航菜单中点 Identity Providers。
   2. 在 Add provider… 下拉菜单中选择 GitHub。
   3. 将 GitHub OAuth 客户端标识符添加到 客户端 ID 字段。
   4. 将 GitHub OAuth 客户端 secret 添加到 Client Secret 字段中。
   5. 打开 Trust Email 选项。
   6. 点 Save 按钮。

5. 将身份提供程序映射程序添加到新创建的身份提供程序。

   1. 点 Mapper 选项卡。
   2. 点 Create 按钮。
   3. 为新映射程序指定 Name。
   4. 将 Mapper Type 更改为 Hardcoded Attribute。
   5. 将 User Attribute 字段设置为 emailVerified。
   6. 将 User Attribute Value 字段设置为 true。
   7. 点 Save 按钮。
6. 在 GitHub Identity Provider Settings 页面中，复制 Redirect URI 值，并将它粘贴到 GitHub OAuth 应用 授权回调 URL 字段。另外，将此值粘贴到 Homepage URL 字段中，但删除 URL 字符串的 broker/github/endpoint 部分。
7. 单击 Update Application。现在，您可以使用 GitHub 作为 OIDC 供应商来签署 提交和 容器。
8. 在签名工件时，会打开网页浏览器并提示您登录到 Red Hat SSO 帐户。点 GitHub 按钮使用您的凭证登录。
9. 单击 Authorize 按钮，以启用 GitHub 用户详情，以供 Red Hat SSO 访问。