配置 Red Hat OpenShift 的供应

在线编辑

Verify 向 Red Hat OpenShift 应用程序供应用户。

准备工作

您需要以下先决条件。
  • Red Hat OpenShift 实例 URL 和令牌。
  • 具有集群管理员角色的 Red Hat OpenShift 用户。
  • 在端口 443 上运行的 Red Hat OpenShift REST API 服务器。
  • 已安装 CA 签名证书的 Red Hat OpenShift 服务器。

关于此任务

供应提供以下功能。
创建新用户
还会在 Red Hat OpenShift 应用程序中创建通过 Verify 创建的新用户。
删除用户
通过 Verify 取消激活用户或禁用用户对应用程序的访问权将在 Red Hat OpenShift 应用程序中删除该用户。
修改用户概要文件
通过 Verify 对用户概要文件进行的更新将推送到 Red Hat OpenShift 应用程序。
用户暂挂和复原
在 Red Hat OpenShift 应用程序中不支持用户暂挂和复原。
用户同步和修正
Red Hat OpenShift 应用程序支持用户同步、修正和组同步功能。

用户同步将访存 Verify 中的所有目标应用程序用户,并将访存的用户与 Verify中的用户相匹配。 应用程序上定义的采用策略会指定匹配的属性,从而采用已协调的用户。

可以配置补救策略,以使用 Verify 与目标应用程序之间不同的属性值来补救用户帐户。 Verify 支持以下三个补救策略。
  • NONE - 不自动修正不合规帐户。
  • ON_SV -使用目标应用程序值更新 Verify 帐户属性值。
  • ON_TARGET-使用 Verify 值更新目标应用程序帐户属性值。

组同步访存 Verify 中的所有目标应用程序组。

细粒度权限
Red Hat OpenShift 应用程序支持细粒度权限。 同步会访存所有 Red Hat OpenShift 应用程序组。 可以向组中添加或从中移除用户。

过程

  1. 以管理员身份登录您的 Red Hat OpenShift 帐户。
  2. 您需要以下参数才能在 Verify中配置用户供应。
    实例 URL
    Red Hat OpenShift 实例的实例 URL 名称。 例如,
    https://<instance host name>:<port>
    令牌
    使用以下步骤为具有最低访问权的服务帐户生成访问令牌:
    1. 创建新的服务帐户。
      oc create sa <service_account_name>
    2. 为用户创建集群角色,并向服务帐户分配角色绑定。
      oc create clusterrole manage-users --verb=create,delete,get,list,patch,update --
resource=users.user.openshift.io

oc create clusterrolebinding manage-users --clusterrole=manage-users --
serviceaccount=<namespace>:<service_account_name>
    3. 为组创建集群角色,并向服务帐户分配角色绑定。
      oc create clusterrole manage-groups --verb=get,list,update --resource=groups.user.openshift.io

oc create clusterrolebinding manage-groups --clusterrole=manage-groups --
serviceaccount=<namespace>:<service_account_name>
    4. 运行以下命令以生成服务帐户的访问令牌:
      oc serviceaccounts get-token <serviceaccount_name>