Bereitstellung für Red Hat OpenShift konfigurieren

Online bearbeiten

Benutzer von Verify in eine „ Red Hat OpenShift “-Anwendung einbinden.

Vorbereitende Schritte

Die folgenden Voraussetzungen müssen erfüllt sein.
  • Es müssen eine Red Hat OpenShift-Instanz-URL und ein Red Hat OpenShift-Token vorhanden sein.
  • Es muss ein Red Hat OpenShift-Benutzer mit der Rolle 'cluster-admin' vorhanden sein.
  • Es muss ein Red Hat OpenShift-REST-API-Server vorhanden sein, der an Port 443 ausgeführt wird.
  • Es muss ein Red Hat OpenShift-Server mit einem CA-signierten Zertifikat vorhanden sein, das installiert ist.

Informationen zu dieser Task

Die Bereitstellung umfasst die folgenden Features.
Neue Benutzer erstellen
Neue Benutzer, die in Verify erstellt werden, werden auch in der Red Hat OpenShift-Anwendung erstellt.
Benutzer löschen
Wenn Sie den Benutzer inaktivieren oder den Zugriff des Benutzers auf die Anwendung in Verify inaktivieren, wird der Benutzer in der Red Hat OpenShift-Anwendung gelöscht.
Benutzerprofil ändern
Aktualisierungen am Profil des Benutzers in Verify werden mit einer Push-Operation an die Red Hat OpenShift-Anwendung übertragen.
Benutzersperre und -freigabe
Benutzersperre und -freigabe wird in Red Hat OpenShift-Anwendungen nicht unterstützt.
Benutzersynchronisation und Korrektur
Die Red Hat OpenShift-Anwendung unterstützt die Features Benutzersynchronisation, Korrektur und Gruppensynchronisation.

Bei der Gruppensynchronisation werden alle Zielanwendungsgruppen in Verify abgerufen und die abgerufenen Benutzer mit Benutzern in Verify abgeglichen. Die in der Anwendung definierte Übernahmerichtlinie gibt die übereinstimmenden Attribute für die Übernahme der abgeglichenen Benutzer an.

Die Korrekturrichtlinie kann so konfiguriert werden, dass Benutzerkonten korrigiert werden, deren Attributwerte von Verify denen der Zielanwendung abweichen. Verify unterstützt die folgenden drei Korrekturmaßnahmen.
  • NONE - Nicht konforme Accounts nicht automatisch korrigieren
  • ON _SV – Aktualisieren Verify Sie die Werte der Kontoattribute mit den Werten der Zielanwendung.
  • ON_TARGET - Attributwerte für Zielanwendungskonto mit Verify-Werten aktualisieren.

Bei der Gruppensynchronisation werden alle Zielanwendungsgruppen in Verify abgerufen.

Differenziertes Nutzungsrecht
Differenziertes Nutzungsrecht wird für die Red Hat OpenShift-Anwendung unterstützt. Bei der Synchronisation werden alle Red Hat OpenShift-Anwendungsgruppen abgerufen. Benutzer können Gruppen hinzugefügt oder aus Gruppen entfernt werden.

Vorgehensweise

  1. Melden Sie sich als Administrator bei Ihrem Red Hat OpenShift-Account an.
  2. Sie benötigen die folgenden Parameter, um die Benutzerverwaltung in Verify. zu konfigurieren.
    Instanz-URL
    Der Name der Instanz-URL der Red Hat OpenShift-Instanz. Beispiel:
    https://<instance host name>:<port>
    Token
    Führen Sie die folgenden Schritte aus, um ein Zugriffstoken für ein Service-Konto mit einem Mindestzugriff zu generieren:
    1. Erstellen Sie ein neues Service-Konto.
      oc create sa <service_account_name>
    2. Erstellen Sie eine Clusterrolle für Benutzer, und ordnen Sie dem Service-Account die Rollenbindung zu.
      oc create clusterrole manage-users --verb=create,delete,get,list,patch,update --
resource=users.user.openshift.io

oc create clusterrolebinding manage-users --clusterrole=manage-users --
serviceaccount=<namespace>:<service_account_name>
    3. Erstellen Sie eine Clusterrolle für Gruppen, und ordnen Sie dem Service-Account die Rollenbindung zu.
      oc create clusterrole manage-groups --verb=get,list,update --resource=groups.user.openshift.io

oc create clusterrolebinding manage-groups --clusterrole=manage-groups --
serviceaccount=<namespace>:<service_account_name>
    4. Führen Sie den folgenden Befehl aus, um das Zugriffstoken für Ihren Service-Account zu generieren:
      oc serviceaccounts get-token <serviceaccount_name>