Red Hat OpenShift に対するプロビジョニングの構成

オンラインで編集

ユーザーを Red Hat OpenShift アプリケーションに Verify プロビジョニングします。

始める前に

以下の前提条件が揃っている必要があります。
  • Red Hat OpenShift インスタンスの URL とトークン。
  • クラスター管理者役割を持つ Red Hat OpenShift ユーザー。
  • ポート 443 で実行されている Red Hat OpenShift REST API サーバー。
  • CA 自己署名証明書がインストールされた Red Hat OpenShift サーバー。

このタスクについて

プロビジョニングには、以下の機能があります。
ユーザーの新規作成
経由 Verify で作成された新規ユーザーは、 Red Hat OpenShift アプリケーションにも作成されます。
ユーザーの削除
ユーザーを無効化するか、 Red Hat OpenShift アプリケーションへのアクセスを無効にすると、 Verify そのユーザーはアプリケーションから削除されます。
ユーザー・プロファイルの変更
を通じて Verify ユーザーのプロフィールに加えた更新内容は、 Red Hat OpenShift アプリケーションに反映されます。
ユーザーのサスペンドおよび復元
Red Hat OpenShift アプリケーションでは、ユーザーのサスペンドと復元がサポートされません。
ユーザーの同期と修復
Red Hat OpenShift アプリケーションは、ユーザー同期機能、修復機能、およびグループ同期機能をサポートしています。

ユーザー同期では、Verify のすべてのターゲット・アプリケーション・ユーザーがフェッチされ、フェッチされたユーザーが Verify 内のユーザーと突き合わせされます。 アプリケーションに定義されている採用ポリシーには、調整されたユーザーの採用に対応する属性が指定されています。

修復ポリシーを設定することで、現在の環境と対象アプリケーションの間 Verify で属性値が異なるユーザーアカウントを修復することができます。 Verify 以下の3つの是正措置ポリシーをサポートしています。
  • NONE - 非準拠アカウントを自動的に修復しません。
  • ON _SV - アカウント属性の値を、対象アプリケーション Verify の値で更新します。
  • ON_TARGET - Verify の値を使用してターゲット・アプリケーション・アカウントの属性値を更新します。

グループ同期は、Verify 内のすべてのターゲット・アプリケーション・グループを取り出します。

詳細な資格
Red Hat OpenShift アプリケーションでは、詳細な資格がサポートされています。 同期により、すべての Red Hat OpenShift アプリケーション・グループがフェッチされます。 ユーザーをグループに対して追加または削除できます。

手順

  1. 管理者として Red Hat OpenShift アカウントにログインします。
  2. Verify. でユーザーのプロビジョニングを設定するには、以下のパラメータが必要です。
    インスタンス URL
    Red Hat OpenShift インスタンスのインスタンス URL 名。 例えば、以下のとおりです。
    https://<instance host name>:<port>
    トークン
    次の手順に従い、最小アクセス権限を持つサービス・アカウントのアクセス・トークンを生成します。
    1. 新規サービス・アカウントを作成します。
      oc create sa <service_account_name>
    2. ユーザー用のクラスター役割を作成し、そのサービス・アカウントにローブバインドを割り当てます。
      oc create clusterrole manage-users --verb=create,delete,get,list,patch,update --
resource=users.user.openshift.io

oc create clusterrolebinding manage-users --clusterrole=manage-users --
serviceaccount=<namespace>:<service_account_name>
    3. グループのクラスター役割を作成し、そのサービス・アカウントにローバインドを割り当てます。
      oc create clusterrole manage-groups --verb=get,list,update --resource=groups.user.openshift.io

oc create clusterrolebinding manage-groups --clusterrole=manage-groups --
serviceaccount=<namespace>:<service_account_name>
    4. 次のコマンドを実行して、サービス・アカウントのアクセス・トークンを生成します。
      oc serviceaccounts get-token <serviceaccount_name>