OpenID Connect(OIDC) の認証設定
- 印刷する
- PDF
OpenID Connect(OIDC) の認証設定
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
VPC環境で利用できます。
Ncloud Kubernetes Serviceクラスタの認証方式で OpenID Connect(OIDC)の提供者を追加し、OIDC認証ユーザーの役割と権限を構成して権限を付与します。
参考
- Kubernetes 1.18バージョン以上から提供します。
- 1.18以前バージョンのクラスタは、アップグレード機能を利用して必要なバージョンを満たした後に使用できます。
- OIDC提供者は1つのみ設定できます。
- Ncloud Kubernetes Serviceが公開署名キーを検索するように、OIDC提供者に公開アクセスします。
- NAT Gatewayを追加し、Routingを設定しておきます。
- Self Signed証明書を使用する OIDC提供者はサポートしません。
- OIDC認証に関する詳細は、Authentication公式文書、認証ユーザーの役割と権限情報は、Using RBAC Authorization公式文書で確認できます。
OIDC認証設定
- 必須情報
- Issuer URL: APIサーバが公開署名キーを検索するようにする OIDC提供者の URLです。https:// スキームを使用する URLのみ許可し、一般的にパスのない OIDC提供者の検索 URLです(例: 「https://oidc.example.com」または 「https://login.example.com」)。この URLは、.well-known/openid-configurationの下位レベルを指し、インターネットを介してアクセスします。
- Client ID: OIDC提供者の Client ID
- 付加情報
- Username claim: ユーザーの usernameとして使用する claimであり、デフォルト値は subです。他のプラグインとの衝突を防ぐために、email以外の claimには Issuer URLが接頭辞として付きます。
- Groups claim: ユーザーの groupsとして使用する JWT claimです。claimがある場合、文字列配列にします。
- Username prefix: 既存の username(例: system: users)との衝突を防ぐために、Username claimの前に接頭辞が追加されます。例えば、oidc: 値は oidc: jane.doeのような usernameを作成します。Username prefixを指定せず、Username claimが email以外の値の場合、接頭辞のデフォルト値は、(Issuer URL)#です。-で指定して、すべての接頭辞を使用しないように設定できます。
- Groups prefix: 既存の groups(例: system: group)との衝突を防ぐために、Groups claimの前に接頭辞が追加されます。例えば、oidc: 値は oidc: developersおよび oidc: testerのようなグループ名を作成します。
- Required claim: IDトークンに必要な claimを指定する key=valueペアです。設定した場合、IDトークンに一致する claimがあるか確認してください。「、」で区切って複数の claimを指定します。
- Kubernetesサービス > クラスタ > クラスタ説明 > OpenID Connect(OIDC) で、[修正] ボタンをクリックします。
- 状態を 設定 に変更し、OIDC認証情報を入力します。
- [確認] ボタンをクリックすると、クラスタが 設定中 状態に変わり、OIDC認証の設定作業を行います。
- OIDC認証が設定完了すると、クラスタが 運営中 の状態に変わります。
OIDC認証解除
- Kubernetesサービス > クラスタ > クラスタ説明 > OpenID Connect(OIDC) で、[修正] ボタンをクリックします。
- 状態を 解除 に変更し、[確認] ボタンをクリックすると、クラスタが 設定中 状態に変わり、OIDC認証の解除作業を行います。
- OIDC認証が解除完了すると、クラスタが 運営中 の状態に変わります。
この記事は役に立ちましたか?