OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

配置 Google Workspace 作为 OIDC 身份提供商

您可以使用 Google Workspace 作为 Red Hat Advanced Cluster Security for Kubernetes 的单点登录 (SSO) 提供商。

为您的 GCP 项目设置 OAuth 2.0 凭据

要将 Google Workspace 配置为 Red Hat Advanced Cluster Security for Kubernetes 的身份提供商,您必须首先为您的 GCP 项目配置 OAuth 2.0 凭据。

先决条件

  • 您必须具有组织 Google Workspace 帐户的管理员级访问权限才能创建新项目,或者具有为现有项目创建和配置 OAuth 2.0 凭据的权限。Red Hat 建议您创建一个新项目来管理对 Red Hat Advanced Cluster Security for Kubernetes 的访问。

步骤

  1. 创建一个新的 Google Cloud Platform (GCP) 项目,请参阅 Google 文档主题 创建和管理项目

  2. 创建项目后,在 Google API 控制台中打开 凭据 页面。

  3. 验证左上角徽标附近列出的项目名称,以确保您使用的是正确的项目。

  4. 要创建新的凭据,请转到创建凭据OAuth 客户端 ID

  5. 选择网络应用程序作为应用程序类型

  6. 名称框中,输入应用程序的名称,例如RHACS

  7. 授权重定向 URI 框中,输入 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback

    • <stackrox_hostname> 替换为您公开 Central 实例的主机名。

    • <port_number> 替换为您公开 Central 的端口号。如果您使用的是标准 HTTPS 端口 443,则可以省略端口号。

  8. 单击创建。这将创建一个应用程序和凭据,并将其重定向回凭据页面。

  9. 将打开一个信息框,显示有关新创建的应用程序的详细信息。关闭信息框。

  10. 复制并保存以.apps.googleusercontent.com结尾的**客户端ID**。您可以使用 Google Cloud Platform (GCP) 控制台查看此客户端ID。

  11. 在左侧导航菜单中选择**OAuth 同意屏幕**。

    OAuth 同意屏幕配置对整个 GCP 项目有效,而不仅仅是对您在前面步骤中创建的应用程序有效。如果您在此项目中已经配置了 OAuth 同意屏幕,并且想要为 Red Hat Advanced Cluster Security for Kubernetes 登录应用不同的设置,请创建一个新的 GCP 项目。

  12. 在 OAuth 同意屏幕页面上

    1. 将**应用程序类型**选择为**内部**。如果您选择**公共**,任何拥有 Google 帐户的用户都可以登录。

    2. 输入描述性的**应用程序名称**。此名称会在用户登录时在同意屏幕上显示。例如,使用**RHACS**或** Red Hat Advanced Cluster Security for Kubernetes 的 SSO**。

    3. 验证**Google API 的范围**只列出了**email**、**profile** 和**openid** 范围。单点登录只需要这些范围。如果您授予其他范围,则会增加暴露敏感数据的风险。

指定客户端密钥

Red Hat Advanced Cluster Security for Kubernetes 3.0.39 及更高版本在您指定客户端密钥时支持OAuth 2.0 授权码授予身份验证流程。当您使用此身份验证流程时,Red Hat Advanced Cluster Security for Kubernetes 使用刷新令牌来保持用户在 OIDC 身份提供商中配置的令牌过期时间之后保持登录状态。

当用户注销时,Red Hat Advanced Cluster Security for Kubernetes 会从客户端删除刷新令牌。此外,如果您的身份提供商 API 支持刷新令牌吊销,Red Hat Advanced Cluster Security for Kubernetes 还会向您的身份提供商发送请求以吊销刷新令牌。

当您配置 Red Hat Advanced Cluster Security for Kubernetes 与 OIDC 身份提供商集成时,您可以指定客户端密钥。

  • 您不能将**客户端密钥**与片段**回调模式**一起使用。

  • 您无法编辑现有身份验证提供程序的配置。

  • 如果您想使用**客户端密钥**,则必须在 Red Hat Advanced Cluster Security for Kubernetes 中创建一个新的 OIDC 集成。

Red Hat 建议在将 Red Hat Advanced Cluster Security for Kubernetes 与 OIDC 身份提供商连接时使用客户端密钥。如果您不想使用**客户端密钥**,则必须选择**不使用客户端密钥(不推荐)**选项。

配置 OIDC 身份提供商

您可以配置 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 以使用您的 OpenID Connect (OIDC) 身份提供商。

先决条件

  • 您必须已经在您的身份提供商(例如 Google Workspace)中配置了一个应用程序。

  • 您必须具有在 RHACS 中配置身份提供商的权限。

步骤

  1. 在 RHACS 门户中,转到**平台配置** → **访问控制**。

  2. 点击**创建身份验证提供程序**,然后从下拉列表中选择**OpenID Connect**。

  3. 在以下字段中输入信息

    • **名称**:用于标识您的身份验证提供程序的名称;例如,**Google Workspace**。集成名称显示在登录页面上,以帮助用户选择正确的登录选项。

    • **回调模式**:选择**自动选择(推荐)**,这是默认值,除非身份提供商需要其他模式。

      Fragment 模式是围绕单页应用程序 (SPA) 的限制而设计的。Red Hat 只支持早期集成的Fragment模式,并且不推荐将其用于后期的集成。

    • **颁发者**:您的身份提供商的根 URL;例如,Google Workspace 为http://127.0.0.1。有关更多信息,请参阅您的身份提供商文档。

      如果您使用的是 RHACS 3.0.49 或更高版本,对于**颁发者**,您可以执行以下操作:

      • 使用https+insecure://作为根 URL 前缀以跳过 TLS 验证。此配置不安全,Red Hat 不推荐使用。仅在测试目的时使用。

      • 指定查询字符串;例如,?key1=value1&key2=value2以及根 URL。RHACS 会将您输入的**颁发者**的值附加到授权端点。您可以使用它来自定义提供商的登录屏幕。例如,您可以使用hd参数将 Google Workspace 登录屏幕优化到特定的托管域,或者使用pfidpadapterid参数PingFederate中预选身份验证方法。

    • **客户端 ID**:您已配置项目的 OIDC 客户端 ID。

    • **客户端密钥**:输入您的身份提供商 (IdP) 提供的客户端密钥。如果您不使用客户端密钥(不推荐),请选择**不使用客户端密钥**。

  4. 为使用所选身份提供商访问 RHACS 的用户分配**最低访问角色**。

    在完成设置时,将**最低访问角色**设置为**管理员**。稍后,您可以返回到**访问控制**页面,根据您的身份提供商的用户元数据设置更精细的访问规则。

  5. 要为访问 RHACS 的用户和组添加访问规则,请点击**规则**部分中的**添加新规则**。例如,要向名为administrator的用户授予**管理员**角色,您可以使用以下键值对创建访问规则:

    名称

    administrator

    角色

    管理员

  6. 点击**保存**。

验证

  1. 在 RHACS 门户中,转到**平台配置** → **访问控制**。

  2. 选择**身份验证提供程序**选项卡。

  3. 选择要验证其配置的身份验证提供程序。

  4. 从**身份验证提供程序**部分标题中选择**测试登录**。**测试登录**页面将在新的浏览器选项卡中打开。

  5. 使用您的凭据登录。

    • 如果您成功登录,RHACS 将显示身份提供商为您用于登录系统的凭据发送的用户 ID用户属性

    • 如果您的登录尝试失败,RHACS 将显示一条消息,说明为什么无法处理身份提供商的响应。

  6. 关闭**测试登录**浏览器选项卡。