- 文档
- Red Hat Advanced Cluster Security for Kubernetes
- 操作
- 用户访问管理
- 配置身份提供商
- 将Okta Identity Cloud配置为SAML 2.0身份提供商 history bug_report picture_as_pdf
- 关于
- 发行说明
- RHACS云服务
- 架构
- 安装
- 配置
- 操作
- 集成
- 与镜像注册表集成
- 与 CI 系统集成
- 与 PagerDuty 集成
- 与 Slack 集成
- 使用通用 Webhook 集成
- 与 QRadar 集成
- 与 ServiceNow 集成
- 与 Sumo Logic 集成
- 与 Google Cloud Storage 集成
- 使用 syslog 协议集成
- 与 Amazon S3 集成
- 与兼容 S3 API 的服务集成
- 与 Google Cloud Security Command Center 集成
- 与 Splunk 集成
- 与镜像漏洞扫描器集成
- 与 Jira 集成
- 与电子邮件集成
- 与云管理平台集成
- 使用短期令牌集成
- 与 Microsoft Sentinel 通知程序集成
- 备份和恢复
- 升级
- roxctl CLI
- 收集器故障排除
- 中心故障排除
- 遥测
- 支持
- API 参考
- AdministrationEventService
- AdministrationUsageService
- AlertService
- APITokenService
- AuthProviderService
- AuthService
- CentralHealthService
- CloudSourcesService
- ClusterCVEService
- ClusterInitService
- ClustersService
- CollectionService
- ComplianceManagementService
- ComplianceService
- ConfigService
- CredentialExpiryService
- DBService
- DebugService
- DeclarativeConfigHealthService
- DelegatedRegistryConfigService
- DeploymentService
- DetectionService
- DiscoveredClustersService
- ExternalBackupService
- FeatureFlagService
- GroupService
- GRPCPreferencesService
- ImageCVEService
- 图像集成服务
- 图像服务
- 集成健康服务
- 监听端点服务
- 元数据服务
- Mitre 攻击服务
- 命名空间服务
- 网络基线服务
- 网络图服务
- 网络策略服务
- 节点 CVE 服务
- 节点服务
- 通知器服务
- Ping 服务
- Pod 服务
- 策略类别服务
- 策略服务
- 探针上传服务
- 进程基线服务
- 进程服务
- RBAC 服务
- 报表配置服务
- 报表服务
- 角色服务
- 搜索服务
- 密钥服务
- 传感器升级服务
- 服务帐户服务
- 服务身份服务
- 签名集成服务
- 摘要服务
- 遥测服务
- 用户服务
- 漏洞请求服务
- 漏洞管理服务
将Okta Identity Cloud配置为SAML 2.0身份提供商
您可以使用 Okta 作为 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 的单点登录 (SSO) 提供程序。
创建 Okta 应用
在您可以使用 Okta 作为 Red Hat Advanced Cluster Security for Kubernetes 的 SAML 2.0 身份提供程序之前,必须先创建一个 Okta 应用。
|
Okta 的 **开发者控制台** 不支持创建自定义 SAML 2.0 应用程序。如果您使用的是 **开发者控制台**,则必须先切换到 **管理员控制台**(**经典 UI**)。要切换,请点击页面左上角的 **开发者控制台**,然后选择 **经典 UI**。 |
-
您必须拥有 Okta 门户的管理员权限帐户。
-
在 Okta 门户上,从菜单栏中选择 **应用程序**。
-
点击 **添加应用程序**,然后选择 **创建新的应用程序**。
-
在 **创建新的应用程序集成** 对话框中,保留 **Web** 作为平台,并选择 **SAML 2.0** 作为您想要用于用户登录的协议。
-
点击 **创建**。
-
在 **常规设置** 页面上,在 **应用程序名称** 字段中输入应用程序的名称。
-
点击 **下一步**。
-
在 **SAML 设置** 页面上,为以下字段设置值
-
单点登录 URL
-
将其指定为
https://<RHACS_portal_hostname>/sso/providers/saml/acs。 -
保持选中 **将此用于接收者 URL 和目标 URL** 选项。
-
如果您的 RHACS 门户可以通过不同的 URL 访问,您可以通过选中**允许此应用程序请求其他 SSO URL**选项并使用指定的格式添加替代 URL 来在此处添加它们。
-
-
Audience URI(SP 实体 ID)
-
将值设置为**RHACS**或您选择的其他值。
-
记住您选择的值;配置 Red Hat Advanced Cluster Security for Kubernetes 时需要此值。
-
-
属性声明
-
您必须至少添加一个属性声明。
-
Red Hat 建议使用电子邮件属性
-
名称:email
-
格式:未指定
-
值:user.email
-
-
-
-
在继续之前,请验证您已配置至少一个属性声明。
-
点击 **下一步**。
-
在反馈页面上,选择一个适用于您的选项。
-
选择合适的应用程序类型。
-
单击完成。
配置完成后,您将被重定向到新应用程序的登录设置页面。黄色方框包含配置 Red Hat Advanced Cluster Security for Kubernetes 所需信息的链接。
创建应用程序后,将 Okta 用户分配给此应用程序。转到分配选项卡,并分配可以访问 Red Hat Advanced Cluster Security for Kubernetes 的单个用户或组集。例如,分配组所有人以允许组织中的所有用户访问 Red Hat Advanced Cluster Security for Kubernetes。
配置 SAML 2.0 身份提供程序
使用本节中的说明将安全断言标记语言 (SAML) 2.0 身份提供程序与 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 集成。
-
您必须具有在 RHACS 中配置身份提供程序的权限。
-
对于 Okta 身份提供程序,您必须为 RHACS 配置一个 Okta 应用程序。
-
在 RHACS 门户中,转到平台配置→访问控制。
-
单击创建身份验证提供程序,然后从下拉列表中选择SAML 2.0。
-
在名称字段中,输入一个名称来标识此身份验证提供程序;例如,Okta或Google。集成名称显示在登录页面上,以帮助用户选择正确的登录选项。
-
在服务提供商发行者字段中,输入您在 Okta 中用作
Audience URI或SP 实体 ID的值,或其他提供商中的类似值。 -
选择配置类型
-
选项 1:动态配置:如果选择此选项,请输入IdP 元数据 URL,或从您的身份提供程序控制台提供的身份提供程序元数据的 URL。配置值将从 URL 获取。
-
选项 2:静态配置:从 Okta 控制台中的查看设置说明链接(或其他提供商的类似位置)复制所需的静态字段
-
IdP 发行者
-
IdP SSO URL
-
名称/ID 格式
-
IdP 证书(PEM)
-
-
-
为使用 SAML 访问 RHACS 的用户分配最低访问角色。
在完成设置时,将最低访问角色设置为管理员。稍后,您可以返回到访问控制页面以根据身份提供程序的用户元数据设置更量身定制的访问规则。
-
单击保存。
|
如果您的 SAML 身份提供程序的身份验证响应符合以下条件
|
-
在 RHACS 门户中,转到平台配置→访问控制。
-
选择身份验证提供程序选项卡。
-
单击您要验证其配置的身份验证提供程序。
-
从身份验证提供程序部分标题中选择测试登录。测试登录页面将在新的浏览器选项卡中打开。
-
使用您的凭据登录。
-
如果您成功登录,RHACS 将显示身份提供程序为用于登录系统的凭据发送的
用户 ID和用户属性。 -
如果您的登录尝试失败,RHACS 将显示一条消息,描述为什么无法处理身份提供程序的响应。
-
-
关闭测试登录浏览器选项卡。
即使响应指示身份验证成功,您可能也需要根据身份提供程序的用户元数据创建其他访问规则。