配置 Red Hat OpenShift 的供应

在线编辑

将用户从 Verify 分配到一个 Red Hat OpenShift 应用程序。

准备工作

您需要以下先决条件。
  • Red Hat OpenShift 实例 URL 和令牌。
  • 具有集群管理员角色的 Red Hat OpenShift 用户。
  • 在端口 443 上运行的 Red Hat OpenShift REST API 服务器。
  • 已安装 CA 签名证书的 Red Hat OpenShift 服务器。

关于此任务

供应提供以下功能。
创建新用户
通过 Verify 创建的新用户也会在 Red Hat OpenShift 应用程序中创建。
删除用户
通过 Verify 停用用户或禁用用户对应用程序的访问权限,将从 Red Hat OpenShift 应用程序中删除该用户。
修改用户概要文件
通过 Verify Red Hat OpenShift 进行的个人资料更新将同步至 应用程序。
用户暂挂和复原
在 Red Hat OpenShift 应用程序中不支持用户暂挂和复原。
用户同步和修正
Red Hat OpenShift 应用程序支持用户同步、修正和组同步功能。

Verify用户同步会从 中 Verify 获取所有目标应用程序的用户,并将获取到的用户与 中的用户进行匹配。 应用程序上定义的采用策略会指定匹配的属性,从而采用已协调的用户。

可以配置修复策略,以修复那些其属性值与 Verify 目标应用程序不一致的用户帐户。 Verify 支持以下三种修复策略。
  • NONE - 不自动修正不合规帐户。
  • ON _SV - 使用目标应用程序的值更新 Verify 账户属性值。
  • ON_TARGET - 使用 Verify 指定值更新目标应用程序账户的属性值。

组同步访存 Verify 中的所有目标应用程序组。

细粒度权限
Red Hat OpenShift 应用程序支持细粒度权限。 同步会访存所有 Red Hat OpenShift 应用程序组。 可以向组中添加或从中移除用户。

过程

  1. 以管理员身份登录您的 Red Hat OpenShift 帐户。
  2. Verify您需要以下参数来配置. 中的用户配置。
    实例 URL
    Red Hat OpenShift 实例的实例 URL 名称。 例如,
    https://<instance host name>:<port>
    令牌
    使用以下步骤为具有最低访问权的服务帐户生成访问令牌:
    1. 创建新的服务帐户。
      oc create sa <service_account_name>
    2. 为用户创建集群角色,并向服务帐户分配角色绑定。
      oc create clusterrole manage-users --verb=create,delete,get,list,patch,update --
resource=users.user.openshift.io

oc create clusterrolebinding manage-users --clusterrole=manage-users --
serviceaccount=<namespace>:<service_account_name>
    3. 为组创建集群角色,并向服务帐户分配角色绑定。
      oc create clusterrole manage-groups --verb=get,list,update --resource=groups.user.openshift.io

oc create clusterrolebinding manage-groups --clusterrole=manage-groups --
serviceaccount=<namespace>:<service_account_name>
    4. 运行以下命令以生成服务帐户的访问令牌:
      oc serviceaccounts get-token <serviceaccount_name>