配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 章 章 配置 配置 OAUTH 客 客户 户端 端 4.1. 默认 OAUTH 客户端 4.2. 注册其他 OAUTH 客户端 4.3. 为 OAUTH 客户端配置令牌不活跃超时 4.4. 其他资源 第 第 5 章 章 管理用 管理用户拥 户拥有的 有的 OAUTH 访问 访问令牌 令牌 5.1. 列出用户拥有的 OAUTH 访问令牌 访问令牌 5.2. 查看用户拥有的 OAUTH 访问令牌的详情 5.3. 删除用户拥有的 OAUTH 访问令牌 第 第 6 章 章 了解身份提供程序配置 了解身份提供程序配置 6.1. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份提供程序 6.2. 支持的身份提供程序 6.3. 移除 KUBEADMIN 用户 6.4. 身份提供程序参数 6.5. 身份提供程序 CR 示例

输入身份提供程序的唯一名称。之后无法更改名称。 5. 按照 GitHub 文档中的步骤，在 GitHub 机构中注册 OAuth 应用程序。 注意 注意 您必须在 GitHub 机构下注册 OAuth 应用程序。如果您注册了不属于集群用户或 团队的组织拥有的 OAuth 应用程序，则集群的用户身份验证将无法成功。 对于 GitHub OAuth 应用程序配置中的主页 URL，请指定 OpenShift Cluster Manager 页面中自动生成的 OAuth 回 回调 调 URL 的 https://oauth- openshift.apps.. 部分。 以下是 GitHub 身份提供程序的主页 URL 示例： https://oauth-openshift.apps.openshift-cluster.example.com 对于 GitHub OAuth 应用配置中的授权回调 GitHub 身份提供程序 身份提供程序 页面中自动生成的完整 OAuth 回 回调 调 URL。完整的 URL 使用 以下语法：  第 第 2 章 章 OPENSHIFT DEDICATED 入 入门 门 5 https://oauth-openshift.apps.. /oauth2callback/

使用安装程序置备的基础架构为裸机部署改进修复失败的节点 1.2.3. 安全性与合规性 1.2.3.1. Compliance Operator 1.2.3.2. 配置 OAuth 令牌不活跃超时 1.2.3.3. 安全 OAuth 令牌存储格式 1.2.3.4. File Integrity Operator 现已正式发布 1.2.3.5. 对集群恢复失败使用的集群脚本已被更新 1.2.4. 配置 配置 OAuth 令牌不活 令牌不活跃 跃超 超时 时 现在，您可以在 OAuth 令牌已停用一定时间后将其配置为过期。默认情况下，没有设置令牌不活跃超 时。您可以为内部 OAuth 服务器和 OAuth 客户端配置超时。 如需更多信息，请参阅为内部 OAuth 服务器配置令牌不活动超时和 为 OAuth 客户端配置令牌不活跃超 时。 1.2.3.3. 安全 安全 OAuth 令牌存 令牌存储 格式 OAuth 访问令牌和 OAuth 授权令牌对象名称现在作为非敏感对象名称进行存储。 在以前的版本中，secret 信息用作 OAuth 访问令牌和 OAuth 授权令牌对象名称。当对 etcd 加密时，只 OpenShift Container Platform 4.6 发 发行注 行注记 记 16 在以前的版本中，secret 信息用作 OAuth 访问令牌和 OAuth 授权令牌对象名称。当对

集群交互，您必须对 OpenShift Container Platform API 进行身份验证。您可以通过在您对 OpenShift Container Platform API 的请求 中提供 OAuth 访问令牌或 X.509 客户端证书来进行身份验证。 bootstrap 运行最小 Kubernetes 并部署 OpenShift Container Platform control plane 另外，在 control plane 上运行的 OpenShift 服务包括 OpenShift API 服务器、OpenShift 控制器管理 器、OpenShift OAuth API 服务器和 OpenShift OAuth 服务器。 表 表 5.2. 在 在 control plane 上 上运 运行的 行的 OpenShift 服 服务 务 组 组件 件 描述 描述 OpenShift OpenShift OAuth API 服务器 OpenShift OAuth API 服务器验证并配置数据以向 OpenShift Container Platform 进行身份验证，如用户、组和 OAuth 令牌。 OpenShift OAuth API 服务器由 Cluster Authentication Operator 管理。 OpenShift OAuth 服务器 用户从 OpenShift

另外，在 control plane 上运行的 OpenShift 服务包括 OpenShift API 服务器、OpenShift 控制器管理 器、OpenShift OAuth API 服务器和 OpenShift OAuth 服务器。 表 表 4.2. 在 在 control plane 上 上运 运行的 行的 OpenShift 服 服务 务 组 组件 件 描述 描述 OpenShift Controller Manager Operator 管 理。 OpenShift OAuth API 服务器 OpenShift OAuth API 服务器验证并配置数据以向 OpenShift Container Platform 进行身份验证，如用户、组和 OAuth 令牌。 OpenShift OAuth API 服务器由 Cluster Authentication Operator 管理。 管理。 OpenShift Container Platform 4.7 架 架构 构 20 OpenShift OAuth 服务器 用户从 OpenShift OAuth 服务器请求令牌，以向 API 进行身份验证。 OpenShift OAuth 服务器由 Cluster Authentication Operator 管理。 组 组件 件 描述 描述 control plane 机器上的某些服务作为

OSSM-287 在 Kiali 控制台中没有显示 Graph 服务中的 trace。 OSSM-285 试图访问 Kiali 控制台时会收到以下错误消息："Error trying to get OAuth Metadata"。 临时解决方案：重启 Kiali pod。 MAISTRA-2735 当 Red Hat OpenShift Service Mesh 2.1 中协调 SMCP 更改时，Service 8 Service Mesh 26 TRACING-1208 访问 Jaeger UI 时的身份验证 "500 Internal Error" 错误。当尝试使用 OAuth 验 证 UI 时，会得到 500 错误，因为 oauth-proxy sidecar 不信任安装时使用 additionalTrustBundle 定义的自定义 CA 捆绑包。 TRACING-1166 目前无法在断开网络连接的环境中使用 OpenShift Service Mesh 使用由 Red Hat OpenShift distributed tracing Platform Operator 安装的 "jaeger" 路由，并已受到 OAuth 的 保护。 Red Hat OpenShift Service Mesh 为 Envoy proxy 使用 sidecar，Jaeger 也为 Jaeger agent 使用 sidecar。这两个

Login 插件提供的 OpenShift Container Platform Oauth 身份验证。 由 Jenkins 提供的标准身份验证。 第 第 10 章 章 使用 使用镜 镜像 像 73 10.2.1.1. OpenShift Container Platform OAuth 身份 身份验证 OAUTH 身份验证激活方法：配置 Jenkins UI 中 Configure Global Global Security 面板上的选项，或者将 Jenkins Deployment configuration 上的 OPENSHIFT_ENABLE_OAUTH 环境变量设置为非 false。这 会激活 OpenShift Container Platform Login 插件，该插件从 Pod 数据或通过与 OpenShift Container Platform API 服务器交互来检索配置信息。 Jenkins 角色，则 Overall-Administer 键的值将为 admin,edit,jenkins。 注意 注意 使用 OpenShift Container Platform OAuth 时，OpenShift Container Platform Jenkins 镜 像中预填充了管理特权的 admin 用户不会被授予这些特权。要授予这些权限，OpenShift Container

使用镜 镜像 像 12.1. 使用镜像概述 12.2. 配置 JENKINS 镜像 12.2.1. 配置和自定义 12.2.1.1. OpenShift Container Platform OAuth 身份验证 12.2.1.2. Jenkins 身份验证 12.2.2. Jenkins 环境变量 12.2.3. 向 Jenkins 提供跨项目访问权限 12.2.4. Jenkins 跨卷挂载点 Platform OAuth 身份 验证。 由 Jenkins 提供的标准身份验证。 $ podman pull registry.redhat.io/openshift4/ose-jenkins: 第 第 12 章 章 使用 使用镜 镜像 像 101 12.2.1.1. OpenShift Container Platform OAuth 身份 身份验证 OAUTH 身份验证激活方法：配置 Jenkins UI 中 Configure Global Security 面板上的选项，或者将 Jenkins Deployment configuration 上的 OPENSHIFT_ENABLE_OAUTH 环境变量设置为非 false。这 会激活 OpenShift Container Platform Login 插件，该插件从 Pod 数据或通过与 OpenShift Container Platform

Identity providers supported, Built-in OAuth service for integration with multiple identity providers, Integration with AD, OpenLDAP, and FreeIPA; OAuth and SAML identity providers 12 including iDaaS; Service Account management supported including LDAP, Keystone, OpenID Connect, and OAuth supported, such as Keycloak and Okta Security Pod Security Context applied for Pod security

身份验证： OpenShift Container Platform OAuth 身份验证由 OpenShift Container Platform Login 插件提 供。 由 Jenkins 提供的标准身份验证。 5.1.1.1. OpenShift Container Platform OAuth 身份 身份验证 验证 OAUTH 身份验证激活方法：配置 Jenkins UI 中 Configure Configure Global Security 面板上的选项，或者将 Jenkins Deployment configuration 上的 OPENSHIFT_ENABLE_OAUTH 环境变量设置为非 false。这 会激活 OpenShift Container Platform Login 插件，该插件从 Pod 数据或通过与 OpenShift Container Platform API 服务器交互来检索配置信息。 Jenkins 角色，则 Overall-Administer 键的值将为 admin,edit,jenkins。 注意 注意 使用 OpenShift Container Platform OAuth 时，OpenShift Container Platform Jenkins 镜 像中预填充了管理特权的 admin 用户不会被授予这些特权。要授予这些权限，OpenShift Container