安裝並配置Red Hat SSO環境
環境要求:OpenShift 4.2及其式樣版本。
安裝Red Hat SSO1. 用叢集管理員登入,然後進入OpenShift的Developer檢視的“+Add”選單。
2. 在頁面右側的Project中Creat一個名為sso-app-demo的專案。
3. 在右側進入下圖中“From Catalog”區域。
5. 在安裝提示中點選“Instantiate Template”,然後將“RH-SSO Administrator Username”和“RH_SSO Administrator Password”都設定為admin,然後點選Create。
6. 當Red Hat Single Sign-On模板安裝完後,在Topology中看到sso應用和sso-mysql資料庫為以下狀態。
建立Realm7. 點選上圖中sso應用的Route就進入Red Hat SINGLE SIGN ON的歡迎頁面,然後點選Administation Console連結就來到登入頁面,用admin/admin登入。
10. 此時頁面會顯示新建的OpenShift Realm的General資訊,然後點選Endpoints後面框中的“OpenID Endpoint Configuration”連結。
11. 在新彈出的頁面中找到"issuer"後面的字元創"https://sso-sso-app-demo.apps.cluster-anhui-582d.anhui-582d.example.opentlc.com/auth/realms/OpenShift",這就是就是後面在配置Identity Providers會用到的“**Issuer URL**”。
3. 此時進入Credentials標籤,先設定testuser使用者對應的密碼,然後關閉Temporary選項,最後點選Reset Password按鈕,並在彈出視窗中確認修改密碼。
建立Client1. 通過左側選單進入Clients的配置頁面,然後在Clients頁面中點選右側的Create按鈕。
3. 在openshift-demo的Settings頁面中先將“Access Type”改為confendial,再將“Valid Redirect URs”設為“https://oauth-openshift.apps.cluster-anhui-582d.anhui-582d.example.opentlc.com/*”。最後Savel按鈕。
4. 此時會在openshift-demo的配置頁面中出現一個新的Credentials標籤。我們進入Credentials頁面,然後複製**Secret**後面的字串。
為OpenShift建立和配置Identity Providers 獲取openshift-ingress-operator專案的證書1. 用叢集管理員進入OpenShift的Administrator檢視,然後找到名為openshift-ingress-operator的專案,通過左側選單進入該專案的Workloads -> Secrets。
3. 在名為router-ca的配置頁面中找到Data區域,然後複製“tls.crt”下面的字串(證書字元創)並儲存到名為“**route.ca.crt**”的文字檔案。
建立基於Red Hat SSO的Identity Provider1. 進入OpenShift Console左側的Administration選單,然後點選進入Cluster Setting頁面。
2. 在Cluster Settings頁面中進入Global Configuration標籤,然後在右側找到**OAuth**連結進入即可。
4. 在“Add Indentity Provider:OpenID Connect”配置介面中為“Client ID”設為以前在Red Hat SSO中建立的openshift-demo;將“Client Secret”設為以前複製的Secret字串;將“Issurer URL”設為以前找到的Issurer字串"https://sso-sso-app-demo.apps.cluster-anhui-582d.anhui-582d.example.opentlc.com/auth/realms/OpenShift"。
測試驗證1. 退出OpenShift控制檯,然後重新登入OpenShift控制檯。確認此時登入頁面已經顯示出有2個Identity Provider。點選下圖中的openid。
2. 用testuser和對應的密碼登入。
3. 檢視testuser下的OpenShift Console。由於是新建使用者,所以看不到專案。
4. (此步需在OpenShift 4.3及以上版本環境)重新使用passwd_provider和叢集管理員身份登入OpenShift Console。然後進入“User Management” -> Users,確認可以看到我們在Red Hat SSO中建立的testuser使用者。