{
"idToken": "<id_token>"
}- 文档
- Red Hat Advanced Cluster Security for Kubernetes
- 操作
- 管理用户访问
- 配置短期访问 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- RHACS 云服务
- 架构
- 安装
- 配置
- 操作
- 集成
- 与镜像注册表集成
- 与 CI 系统集成
- 与 PagerDuty 集成
- 与 Slack 集成
- 使用通用 Webhook 集成
- 与 QRadar 集成
- 与 ServiceNow 集成
- 与 Sumo Logic 集成
- 与 Google Cloud Storage 集成
- 使用 syslog 协议集成
- 与 Amazon S3 集成
- 与兼容 S3 API 的服务集成
- 与 Google Cloud Security Command Center 集成
- 与 Splunk 集成
- 与镜像漏洞扫描器的集成
- 与Jira的集成
- 与电子邮件的集成
- 与云管理平台的集成
- 使用短期令牌集成
- 与Microsoft Sentinel通知器的集成
- 备份和恢复
- 升级
- roxctl CLI
- 收集器故障排除
- 中心故障排除
- 遥测
- 支持
- API参考
- AdministrationEventService
- AdministrationUsageService
- AlertService
- APITokenService
- AuthProviderService
- AuthService
- CentralHealthService
- CloudSourcesService
- ClusterCVEService
- ClusterInitService
- ClustersService
- CollectionService
- ComplianceManagementService
- ComplianceService
- ConfigService
- CredentialExpiryService
- DBService
- DebugService
- DeclarativeConfigHealthService
- DelegatedRegistryConfigService
- DeploymentService
- DetectionService
- DiscoveredClustersService
- ExternalBackupService
- FeatureFlagService
- GroupService
- GRPCPreferencesService
- ImageCVEService
- ImageIntegrationService
- ImageService
- IntegrationHealthService
- ListeningEndpointsService
- MetadataService
- MitreAttackService
- NamespaceService
- NetworkBaselineService
- NetworkGraphService
- NetworkPolicyService
- GetAllowedPeersFromCurrentPolicyForDeployment
- ApplyNetworkPolicy
- ApplyNetworkPolicyYamlForDeployment
- GetDiffFlowsBetweenPolicyAndBaselineForDeployment
- GetNetworkGraph
- GetBaselineGeneratedNetworkPolicyForDeployment
- GenerateNetworkPolicies
- GetNetworkPolicies
- GetNetworkGraphEpoch
- GetNetworkPolicy
- SendNetworkPolicyYAML
- SimulateNetworkGraph
- GetDiffFlowsFromUndoModificationForDeployment
- 获取撤销修改
- 获取用于部署的撤销修改
- 节点CVE服务
- 节点服务
- 通知服务
- Ping服务
- Pod服务
- 策略类别服务
- 策略服务
- 探针上传服务
- 进程基线服务
- 进程服务
- RBAC服务
- 报表配置服务
- 报表服务
- 角色服务
- 搜索服务
- 密钥服务
- 传感器升级服务
- 服务账户服务
- 服务身份服务
- 签名集成服务
- 摘要服务
- 遥测服务
- 用户服务
- 漏洞请求服务
- 漏洞管理服务
×
配置短期访问
Red Hat Advanced Cluster Security for Kubernetes (RHACS) 提供了配置对用户界面和API调用的短生命周期访问的能力。
您可以通过将OpenID Connect (OIDC)身份令牌交换为RHACS颁发的令牌来配置此功能。
我们尤其推荐在持续集成(CI)使用中使用此功能,因为短生命周期访问比长生命周期API令牌更可取。
以下步骤概述了如何配置对用户界面和API调用的短生命周期访问的高级工作流程
-
配置RHACS以信任OIDC身份令牌发行者,以便交换短生命周期RHACS颁发的令牌。
-
通过调用API将OIDC身份令牌交换为短生命周期RHACS颁发的令牌。
|
为OIDC身份令牌发行者配置短生命周期访问
开始为OpenID Connect (OIDC)身份令牌发行者配置短生命周期访问。
步骤
-
在RHACS门户中,转到**平台配置** → **集成**。
-
滚动到**身份验证令牌**类别,然后单击**机器访问配置**。
-
单击**创建配置**。
-
选择**配置类型**,选择以下选项之一:
-
如果您使用任意OIDC身份令牌发行者,请选择**通用**。
-
如果您计划从GitHub Actions访问RHACS,请选择**GitHub Actions**。
-
-
输入OIDC身份令牌发行者。
-
输入配置颁发的令牌的**令牌生命周期**。
**令牌生命周期**的格式为**XhYmZs**,您不能将其设置为超过24小时。
-
向配置添加规则
-
**密钥**是将要使用的OIDC令牌的声明。
-
**值**是预期的OIDC令牌声明值。
-
如果存在OIDC令牌声明和值,则**角色**是分配给令牌的角色。
规则类似于身份验证提供程序规则,用于基于声明值分配角色。
一般来说,Red Hat建议在规则中使用唯一且不可变的声明。一般建议在OIDC身份令牌中使用**sub**声明。有关OIDC令牌声明的更多信息,请参见标准OIDC声明列表。
-
-
单击**保存**。
交换身份令牌
先决条件
-
您拥有有效的OpenID Connect (OIDC)令牌。
-
您已为要访问的RHACS实例添加了**机器访问配置**。
步骤
-
准备POST请求的JSON数据
-
向API ** /v1/auth/m2m/exchange **发送POST请求。
-
等待API响应
{ "accessToken": "<access_token>" } -
使用返回的访问令牌访问RHACS实例。
|
如果您使用的是**GitHub Actions**,则可以使用stackrox/central-login GitHub Action。 |