Configuration de l'application des accès pour Red Hat OpenShift

Provisionner les utilisateurs dans Verify une application Red Hat OpenShift.

Avant de commencer

Vous avez besoin des prérequis ci-après.
  • URL et jeton de l'instance Red Hat OpenShift.
  • Utilisateur Red Hat OpenShift avec un rôle cluster-admin.
  • Serveur de l'API REST Red Hat OpenShift exécuté sur le port 443.
  • Serveur Red Hat OpenShift avec certificat signé par l'autorité de certification installé.

A propos de cette tâche

L'application des accès fournit les fonctions ci-après.
Création d'utilisateurs
Les nouveaux utilisateurs créés via Verify sont également créés dans l'application Red Hat OpenShift.
Supprimer les utilisateurs
La désactivation de l'utilisateur ou la suppression de son accès à l'application entraîne Verify la suppression de l'utilisateur dans l'application Red Hat OpenShift.
Modification du profil utilisateur
Les modifications apportées au profil de l'utilisateur via Verify sont transmises à l'application Red Hat OpenShift.
Suspension et restauration d'un utilisateur
La suspension et la restauration des utilisateurs ne sont pas prises en charge dans les applications Red Hat OpenShift.
Synchronisation et résolution des utilisateurs
L'application Red Hat OpenShift prend en charge les fonctions de synchronisation des utilisateurs, de résolution et de synchronisation des groupes.

La synchronisation des utilisateurs extrait tous les utilisateurs de l'application cible dans Verify et met en correspondance les utilisateurs extraits avec les utilisateurs de Verify. La règle d'adoption définie sur l'application spécifie les attributs de correspondance pour l'adoption des utilisateurs synchronisés.

La politique de correction peut être configurée pour corriger les comptes d'utilisateurs dont les valeurs d'attributs diffèrent entre Verify [cette application] et l'application cible. Verify prend en charge les trois politiques de correction suivantes.
  • NONE - Ne pas corriger les comptes non conformes automatiquement.
  • ON _SV - Mettre Verify à jour les valeurs des attributs du compte avec celles de l'application cible.
  • ON_TARGET - Mettre à jour les valeurs des attributs du compte de l'application cible avec Verify les valeurs indiquées.

La synchronisation de groupe extrait tous les groupes d'applications d'applications cible dans Verify.

Habilitation à granularité fine
L'habilitation à granularité fine est prise en charge pour l'application Red Hat OpenShift. La fonction de synchronisation extrait tous les groupes d'applications Red Hat OpenShift. Les utilisateurs peuvent être ajoutés ou supprimés des groupes.

Procédure

  1. Connectez-vous en tant qu'administrateur à votre compte Red Hat OpenShift.
  2. Vous avez besoin des paramètres suivants pour configurer la gestion des utilisateurs dans Verify.
    URL d'instance
    Nom d'URL de l'instance Red Hat OpenShift. Par exemple :
    https://<instance host name>:<port>
    Jeton
    Pour générer un jeton d'accès pour un compte de service avec un accès minimum, procédez comme suit :
    1. Créez un nouveau compte de service.
      oc create sa <service_account_name>
    2. Créez un rôle de cluster pour les utilisateurs et affectez la liaison de rôle au compte de service.
      oc create clusterrole manage-users --verb=create,delete,get,list,patch,update --
      resource=users.user.openshift.io
      
      oc create clusterrolebinding manage-users --clusterrole=manage-users --
      serviceaccount=<namespace>:<service_account_name>
    3. Créez un rôle de cluster pour les groupes et affectez la liaison de rôle au compte de service.
      oc create clusterrole manage-groups --verb=get,list,update --resource=groups.user.openshift.io
      
      oc create clusterrolebinding manage-groups --clusterrole=manage-groups --
      serviceaccount=<namespace>:<service_account_name>
    4. Exécutez la commande suivante pour générer le jeton d'accès de votre compte de service :
      oc serviceaccounts get-token <serviceaccount_name>