동적 등록으로 OpenID Connect 구성
Open Liberty 연산자를 사용하면 Open Liberty 를 OpenID Connect 신뢰 당사자로 프로비저닝할 수 있습니다. 운영자는 런타임 구성요소 운영자가 Open Liberty 및 Liberty 인스턴스를 신뢰 당사자로 등록하는 데 사용하는 초기 액세스 토큰을 요청하기 위한 옵션을 제공합니다.
동적 등록을 구성하려면 이전 절의 ID 제공자 구성을 따르십시오. 단, OpenID connect client_id 및 client_secret를 제공하는 대신 등록 토큰을 제공하십시오.
운영자는 클라이언트 ID와 클라이언트 시크릿을 미리 요청하지 않고 제공자에게 요청할 수 있습니다. 이는 제공자의 관리자가 클라이언트 ID및 시크릿을 반복적으로 제공하는 대신 등록에 필요한 정보를 한 번 제공할 수 있으므로 배치를 단순화할 수 있습니다. sso.oidc[].autoRegisterSecret 함수에서 지정한 추가 시크릿에는 등록을 수행하는 데 필요한 정보가 포함되어 있습니다. 자동 등록은 SSO 시크릿의 값보다 우선합니다. 이는 Red Hat® 싱글 사인온 (RH-SSO) 으로 테스트됩니다.
apiVersion: v1
kind: Secret
metadata:
name: my-autoreg-secret
# Secret must be created in the same namespace as the OpenLibertyApplication instance
namespace: demo
type: Opaque
data:
# base64 encode the data before entering it here.
# RHSSO requires an initial access token for registration
initialAccessToken: xxxxxyyyyy
# others may require a dedicated clientId and clientSecret for registration
clientId: bW9vb29vb28=
clientSecret: dGhlbGF1Z2hpbmdjb3c=
#
# Optional: Grant types are the types of OAuth flows the resulting clients will allow
# Default is authorization_code,refresh_token. Specify a comma separated list.
# grantTypes: base64 data goes here
#
# Optional: Scopes limit the types of information about the user that the provider will return.
# Default is openid,profile. Specify a comma-separated list.
# scopes: base64 data goes here
#
# Optional: To skip TLS certificate checking with the provider, specify insecureTLS as true. Default is false.
# insecureTLS: dHJ1ZQ==