4.2.11 アイデンティティ・プロバイダのプロパティ
identityProvider下に、MicroTxコーディネータが認証に使用するJSON Webトークン(JWT)のプロパティ値を入力します。
authentication.requestsWithNoJWTをDENYに設定する場合は、次の表にリストされているすべてのアイデンティティ・プロバイダのプロパティの値を指定する必要があります。
ただし、audience、adminUserRoles、adminUserRolesPathおよびclientSecretNameプロパティの値は、ユーザーがMicroTxコンソールにアクセスできるようにする場合に指定します。MicroTxコンソールへのアクセスを提供しない場合は、これらのプロパティの値の指定をスキップできます。
| プロパティ | 説明 |
|---|---|
serverType |
アイデンティティ・プロバイダとしてOracle IDCSを使用している場合は、idcsと入力します。そうでない場合は、otherと入力します。デフォルト値はotherです。
|
scopes |
serverTypeがidcsの場合は、異なるレベルのアクセス権を付与するスコープを指定する必要があります。Oracle IDCSをアイデンティティ・プロバイダとして使用していない場合は、このプロパティの値を指定しないでください。Oracle IDCSの場合は、スコープのスペース区切りリストを入力します。Oracle IDCSのデフォルトのスコープはopenid groupsです。
|
issuer |
JWTトークン発行元を指定します。設定したアイデンティティ・サーバーのURIを入力します。これは、検出URLのissuerフィールドの値です。たとえば、https://identity.oraclecloud.comとなります。「検出URLの実行」を参照してください。
|
jwksUri |
アイデンティティ・プロバイダのパブリック・ホストjwksUriのURL。JWTの署名の検証に使用されます。JSON Web Key Set (JWKS)には、受信JWTトークンの検証に使用される暗号化キーが含まれます。「検出URLの実行」を参照してください。
|
identityProviderUrl |
JWTアイデンティティ・プロバイダのURLを指定します。この情報は、リフレッシュ・トークンを使用して新しいアクセス・トークンを作成するために必要です。この情報を指定しないと、期限切れになったアクセス・トークンが自動リフレッシュされません。たとえば、アイデンティティ・プロバイダとしてKeycloakを使用する場合、http://192.0.2.1:8080/auth/realms/tmmdevとなります。「検出URLの実行」を参照してください。
|
audience |
トークンのオーディエンスを入力します。すべてのJWTはオーディエンスをチェックするために検証されます。MicroTxコンソールにアクセスするには、このパラメータの値を指定する必要があります。JWTアクセス・トークンからこの値をメモします。 |
adminUserRoles |
MicroTx管理者APIへのアクセス権を付与するには、アイデンティティ・プロバイダで構成した管理者ロールの名前のカンマ区切りリストを入力します。このロールを付与されているユーザーのみがコンソールへのアクセスを許可されます。たとえば、admin, consoleadminなどです。「YAMLファイルでの管理ロールの指定」を参照してください。
|
adminUserRolesPath |
JWTトークンに管理者ロールへのパスを入力します。たとえば、realm_access, rolesなどです。「YAMLファイルでの管理ロールの指定」を参照してください。
|
clientSecretName |
ユーザーがMicroTxコンソールにアクセスできるようにするには、作成したKubernetesシークレットの名前を入力します。「アイデンティティ・プロバイダ・クライアント資格証明を含むシークレットの作成」を参照してください。 |
次のコード・スニペットは、values.yamlファイルのauthenticationフィールドのサンプル値を示しています。この例のサンプル値は、「検出URLの実行」および「YAMLファイルでの管理ロールの指定」に基づいています。
identityProvider:
issuer: "https://identity.oraclecloud.com"
jwksUri: "https://idcs-a83e4...identity.oraclecloud.com:443/admin/v1/SigningCert/jwk"
identityProviderUrl: "https://idcs-a83e4...identity.oraclecloud.com/oauth2/v1/token"
audience: "account"
adminUserRoles: "admin"
adminUserRolesPath: "userAppRoles"
clientSecretName: "console-identity-client-secret"テナント・ベースURLの例https://idcs-a83e4...identity.oraclecloud.comは、読みやすくするために省略記号(...)を使用して一部を省いています。現在の環境の完全な値をコピーしてください。
親トピック: values.yamlファイルの構成