OpenShift 4 - 配置基于 Red Hat SSO 的 Identity Providers(附视频)

已于 2024-07-03 10:18:11 修改
阅读量1.5k 收藏 1
点赞数 1
分类专栏: 安全 OpenShift 4 文章标签: identity sso
于 2020-04-04 09:46:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/105303056
版权

OpenShift 4.x HOL教程汇总
文本已在 OpenShift 4.15 + RHSSO 7.6 环境中进行验证。

文章目录

安装Red Hat SSO环境

用模板安装 Red Hat SSO

  1. 用集群管理员登录,创建一个名为 rhsso 的项目。
  2. 进入 OpenShift 的开发者视图的“添加”菜单,然后点击下图中“所有服务”区域。
    在这里插入图片描述
  3. 在 “类型” 中选择 “模板”,然后查找 Single Sign-On 关键字,在找到的结果中进入“Red Hat Single Sign-On 7.6 on OpenJDK + PostgreSQL (Persistent)”。
    在这里插入图片描述
  4. 在安装提示中点击 “实例化模板”,然后将 RH-SSO Administrator Username 和 RH-SSO Administrator Password 都设置为 admin,然后点击 “创建”。
  5. 当 Red Hat Single Sign-On 模板安装完后,在拓扑页面中可看到 sso 应用和 sso-postgresql 数据库为以下状态。
    在这里插入图片描述

用 Operator 安装Red Hat SSO

  1. 在 OperatorHub 中找到Red Hat Single Sign-On Operator,然后使用默认配置将其安装到 rhsso 项目中。
  2. 在 rhsso 项目中用以下配置创建一个 Keycloak 对象,完成后有下图部署的资源。
apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  name: example-sso
  labels:
    app: sso
  namespace: rhsso
spec:
  instances: 1
  externalAccess:
    enabled: True

在这里插入图片描述
3. 执行以下命令找到管理员的登录名和密码。

oc get secret credential-example-sso -n rhsso --template={{.data.ADMIN_USERNAME}} | base64 -d
oc get secret credential-example-sso -n rhsso --template={{.data.ADMIN_PASSWORD}} | base64 -d

配置 Red Hat SSO

注意:以下说明使用的是上面 “用模板安装Red Hat SSO” 的安装过程。

创建 Realm

  1. 通过 Route 进入 Red Hat SINGLE SIGN ON 的欢迎页面。可以将 Route 的地址视为“keycloak-rhsso.<base_domain>”格式。
  2. 然后点击 Administration Console 链接就来到登录页面,用 admin/admin 登录。
  3. 在菜单区中点击Master右侧的下拉,然后点击Add realm。
    在这里插入图片描述
  4. 在 Add realm 界面中设置 Name 为 OpenShift,然后点击 Create 按钮。
    在这里插入图片描述
  5. 此时页面会显示新建的 OpenShift Realm 的 General 信息,然后点击 Endpoints 后面框中的 OpenID Endpoint Configuration 链接。
    在这里插入图片描述
  6. 在新弹出的页面中找到 issuer 后面的字符串 “https://keycloak-rhsso.<base_domain>/auth/realms/OpenShift”,这就是后面在配置 Identity Providers 会用到的 Issuer URL
    在这里插入图片描述

创建用户

  1. 点击左侧菜单中的 Users,然后在页面右侧找到 Add user 按钮点击进入。
  2. 在 Add user 页面中将 Username 设为 test-user,然后点击 Save 按钮。
  3. 此时进入 Credentials 标签,先设置 test-user 用户对应的密码,然后关闭 Temporary 选项,最后点击 Set Password 按钮,并在弹出窗口中确认修改密码。
    在这里插入图片描述

创建Client

  1. 通过左侧菜单进入 Clients,然后在 Clients 页面中点击右侧的 Create 按钮。
  2. 在 Add Client 界面中设置 Client ID 为 openshift-demo,然后点击 Save。
    在这里插入图片描述
  3. 在 openshift-demo 的 Settings 页面中先将 Access Type 改为 confendial,再将 Valid Redirect URIs 设为 https://oauth-openshift.<base_domain>/* ,例如 https://oauth-openshift.apps.cluster-g2gxv.g2gxv.sandbox1416.opentlc.com/*,最后 Save 按钮。
    注意:也可以为 Valid Redirect URIs 使用以下地址:https://oauth-openshift.<base_domain>/oauth2callback/<idp_provider_name>。
  4. 此时会在 openshift-demo 的配置页面中出现一个新的 Credentials 标签。进入 Credentials 标签,然后复制Secret后面的字符串。
    在这里插入图片描述

为 OpenShift 创建和配置 Identity Providers

配置基于 Red Hat SSO 的 Identity Provider

  1. 进入 OpenShift 的 Administration 视图,然后点击进入“集群设置” 菜单。
  2. 在 “集群设置” 页面中进入“配置” 标签,然后在列表找到 OAuth 链接进入即可。
  3. 在以下界面中点击 “添加” 下拉,然后选择 “OpenID 连接”。
    在这里插入图片描述
  4. 在 “添加身份供应商:OpenID Connect” 配置界面中为 “客户端 ID” 设为以前在 Red Hat SSO 中创建的 openshift-demo;将 “客户端Secret” 设为以前复制的 Secret 字符串;将 “Issurer URL” 设为以前找到的 issuer 字符串 “https://keycloak-rhsso.apps.cluster-g2gxv.g2gxv.sandbox1416.opentlc.com/auth/realms/OpenShift”。
    在这里插入图片描述
  5. 然后点击 “添加” 按钮。
    6 . 在集群设置页面的 “集群 Operator” 中确认 autientication 更新后的状态是 Available。
    在这里插入图片描述

排除 certificate signed by unknow authority 错误

如果 authentication Opeator 的状态是 Degraded,且详情页面中出现 certificate signed by unknow authority 错误提示,需执行以下步骤:
在这里插入图片描述

  1. 用集群管理员进入 OpenShift 的 Administrator 视图,然后找到名为 openshift-ingress-operator 的项目,通过左侧菜单进入该项目的Workloads -> Secrets。
  2. 在 Secret 页面中找到 router-ca 一行,然后点击进入。
  3. 在名为 router-ca 的配置页面中的 “数据” 区域复制 tls.crt 下面的字符串,然后保存到名为 route.ca.crt 的文本文件中。
  4. “添加身份供应商:OpenID Connect” 配置界面中为 “CA 文件” 加载前面保存的 route.ca.crt 文件中的内容。
    在这里插入图片描述

测试验证

  1. 退出 OpenShift 控制台,然后重新登录 OpenShift 控制台。确认此时登录页面已经显示出 2 个 Identity Provider。点击下图中的 openid。
    注意:新的 Identity Provider 为了生效需要运行一些相关资源,因此第一次需要一点时间初始化。
    在这里插入图片描述
  2. 用 test-user 和对应的密码登录。
    在这里插入图片描述
  3. 查看 testuser 下的 OpenShift 控制台。由于是新建用户,所以看不到项目。
  4. 重新使用 passwd_provider 和集群管理员身份登录 OpenShift 控制台。然后进入“用户管理 -> 用户” 菜单,确认可以看到我们在 Red Hat SSO 中创建的 test-user 用户。
    在这里插入图片描述

演示视频

视频

参考

https://medium.com/keycloak/using-keycloak-identity-provider-to-secure-openshift-f929a7a0f7f1
https://shanna-chan.blog/2021/09/25/argocd-sso-set-up/
https://www.youtube.com/watch?v=2oOv3DKJjlQ&ab_channel=SteveKonish
https://cloud.redhat.com/blog/openid-connect-authentication-in-to-openshift-using-red-hat-single-sign-on
https://docs.openshift.com/container-platform/4.10/authentication/identity_providers/configuring-github-identity-provider.html
https://github.com/rhthsa/RHSSO-Demo/blob/main/docs/0.Demo.md
https://github.com/keycloak/keycloak-quickstarts/blob/latest/docs/getting-started.md

dawnsky.liu
关注
专栏目录
openshift搭建Istio企业级实战
悦分享
09-28 535
本文覆盖了官方文档的Setup的所有章节。 本次安装的Istio版本为1.7.0,环境为openshift 4.3。注:不建议使用openshift 1.11(即kubernetes 3.11)安装istio,可能会出现如下兼容性问题,参见此issue。 1、openshift安装Istio istio的安装涉及到两个文件:profile和manifest。前者用于控制组件的安装和组件的参数,profile配置文件所在的目录为manifests/profiles;后者为安装所使用的yaml文件,如se
Dynamics 365 基于RedHat Keycloak的SSO配置
Vic的博客
10-18 1124
在实施CRM的过程中,SSO是一个绕不开的话题, 任何一家企业上线一套CRM, 都要将身份验证纳入已有的认证体系中, 但Dynamics 365自身没有单独配置SSO的地方,必须借助于ADFS,只要是支持通用协议的SSO产品都是支持和ADFS进行集成的,比如SAML2,有碰到过那种企业自开发的,能实现SSO功能的但不是基于通用协议开发的就不行了,本篇要分享的是如何和红帽的Keycloak进行SSO集成。 设置分两步走, 一步是在ADFS中,一步是在Keycloak中,首先要拿到Keyc...
IDP - Identity Provider
"代码"的日常搬运
05-22 4030
1.应用场景 了解/学习IDP, 在项目应用. 2.学习/操作 TBD 3.问题/补充 TBD 4.参考 https://www.jianshu.com/p/8ee07d28ced7 //IDP(Identity Provider) https://www.iteye.com/blog/blogzhoubo-2381624 /...
OpenShift3.11 社区版搭建
Wolf_xujie的博客
07-10 488
使用宿主机浏览器访问:https://master.lab.unicom.com:8443/使用用户名密码(admin/redhat)访问即可。注意:需要提前为宿主机设置hosts。注意:需要提前为宿主机设置hosts。安装包,解压后文件夹重命名。确保所有的节点都已经开启。标签,因为它也是计算节点。
【项目实战】IDP(Identity Provider)账号管理平台
最新发布
本本本添哥
07-24 469
IDP(Identity Provider)账号管理平台是现代企业IT架构中的关键组件,用于集中式身份验证和授权服务。IDP(Identity Provider)充当用户与其访问的各种应用程序和服务之间的中介。IDP(Identity Provider)提供了统一的接口来管理身份和访问控制。以下是IDP平台的一些核心特性和优势:通过IDP平台,企业不仅能够提高安全性,还能简化用户管理流程,改善用户体验,同时降低运营成本。
RedHat OpenShift QuickStart 1.1 OpenShift基础
Grey Star
02-06 548
openshift 提供了命令行工具和web可视化页面,这些工具通过REST API去和openshift交互 一、开始为开发人员使用OpenShift   1. 探索命令行   2. 探索web console   3. 部署一个docker镜像   4. 扩展应用实例   5. 路由HTTP请求   6. 从源代码构建 二、登陆到OpenShift集群   1. 通过web console...
icescrum-openshift-quickstart:在 Red Hat OpenShift 上运行的 iceScrum 快速入门
06-06
icescrum-openshift-快速入门 在 Red HatOpenShift PaaS 上运行 iceScrum 这个 git 存储库是一个示例 DIY 应用程序以及“编排”位,可帮助您在 Red HatOpenShift PaaS 上安装和运行 iceScrum 和 Tomcat。 ...
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR记录 部署httpd服务器以承载安装工件 HAProxy...
openshift-cloudtour:演示Red Hat Cloud Tour的移动应用程序
05-10
OpenShift上的Cloud Tour移动应用 这是kitchensink html5 / mboile JBoss Quickstart应用程序。 一键安装 就是这样,您现在可以在以下位置签出您的应用程序: http://cloudtour-$namespace.rhcloud.com
baikal-openshift-quickstart:在Red Hat的开源PaaS OpenShift上安装Baïkal开源轻量级CalDAV和CardDAV服务器
05-12
rhc app create baikal php-5 mysql-5 --from-code=https://github.com/fabianofranz/baikal-openshift-quickstart.git 就是这样,您现在可以在以下位置签出您的应用程序: http://baikal-$yourna
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
Openshift 环境的搭建
yulizi0215的博客
01-13 1216
Openshift 环境的搭建 当前微服务盛行的时代, 各种部署框架,运行工具应运而生. 政府部门在微服务的认知只停留在服务器和虚拟机的时代.因此,RedHat的支持的云服务容器慢慢将会成为主流. Openshift 环境的搭建可以部署到虚拟机或者实体机 ,此次我用 microsoft的 vmware 12 来完成环境的搭建. 基础环境要求: 1, 实体机配置, 建议用16G 以上的内存, CPU 无要求 ,硬盘 100G 以上空间即可. 2, VMware 的版本 12. 3, 操作系统 Centos
centos7.x 64位 openshift搭建
andyaqu的专栏
06-29 851
一、关闭防火墙、关闭selinux     关闭防火墙 systemctl stop firewalld systemctl disable firewalld 关闭selinux vi /etc/selinux/config SELINUX=disabled SELINUXTYPE=targeted vi /etc/sysconfig/docker OPTION...
阿里云上Openshift-4.10.5搭建
从前往后
03-21 2180
引言 前几天Openshift更新到了4.10, 红帽官方提供了阿里云下的搭建教程,跟着官方的教程实操了一遍,使用的是[快速安装集群方式], 刚做完顺手记录下来。 准备在阿里云上安装
OpenShift Repo Server搭建指导
luckyhaobin的博客
03-14 553
 0PAY ATTENTION0.1 Network MatrixSrc Node Src Zone Dest Node Dest Zone Protocol Port OpenShift_Repo_Server Public HTTP Proxy DMZ http 3128,80 Tenant VM 100.64.0.0/15 100.66.0.0/15 100.68....
基于红帽openshift搭建生产环境高可用集群教程(详尽步骤)
完颜振江
03-28 1482
搭建生产环境的高可用 OpenShift 集群是一个复杂的过程,需要注意许多细节和步骤。以下是一个大致的指南,但是请注意,由于软件版本、配置和网络环境的不同,实际步骤可能会有所变化。在开始之前,请确保你已经熟悉了 OpenShift 的基本概念和安装要求。
OpenShift 4 - 用 Operator 部署 Redis 集群(视频
多恩斯基的博客
07-28 1218
OpenShift 中提供了丰富的 PaaS 软件,其中之一就是企业版 Redis 集群软件。企业版 Redis 集群软件是通过 OpenShift 的 OperatorHub 安装部署的,本文介绍如何安装 Redis Enterprise Operator,并用其配置 Redis 集群环境。............
OpenShift 4 - 利用 RHSSO 实现应用认证和访问授权(视频
多恩斯基的博客
12-04 689
本文将部署一个应用,然后用 RHSSO 对应用访问进行身份认证,并对不同的登录用户和应用资源进行访问授权。
openshift internal-registry 切换 sc
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值