Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Google OAuth konfigurieren

Wenn Ihre Organisation G Suite zur Benutzerauthentifizierung verwendet, können Sie Rancher so konfigurieren, dass Ihre Benutzer sich mit ihren G Suite-Anmeldeinformationen anmelden können.

Nur Administratoren der G Suite-Domain haben Zugriff auf das Admin SDK. Daher können nur G Suite-Administratoren Google OAuth für Rancher konfigurieren.

Innerhalb von Rancher können nur Administratoren oder Benutzer mit der Verwalten der Authentifizierung globalen Rolle die Authentifizierung konfigurieren.

Voraussetzungen

  • Sie müssen ein G Suite-Administratorkonto konfiguriert haben.

  • G Suite erfordert eine top private domain FQDN als autorisierte Domain. Eine Möglichkeit, eine FQDN zu erhalten, besteht darin, einen A-Eintrag in Route53 für Ihren Rancher-Server zu erstellen. Sie müssen Ihre Rancher-Server-URL-Einstellung mit diesem Eintrag nicht aktualisieren, da es Cluster geben könnte, die diese URL verwenden.

  • Sie müssen die Admin SDK API für Ihre G Suite-Domain aktiviert haben. Sie können dies mit den Schritten auf dieser Seite. aktivieren.

    Nachdem die Admin SDK API aktiviert ist, sollte der API-Bildschirm Ihrer G Suite-Domain wie folgt aussehen:

    Admin-APIs aktivieren

G Suite für OAuth mit Rancher einrichten

Bevor Sie Google OAuth in Rancher einrichten können, müssen Sie sich in Ihr G Suite-Konto einloggen und Folgendes tun:

  1. Rancher als autorisierte Domain in G Suite hinzufügen

  2. OAuth2-Anmeldeinformationen für den Rancher-Server generieren

  3. Servicekonto-Anmeldeinformationen für den Rancher-Server erstellen

  4. Den Schlüssel des Servicekontos als OAuth-Client registrieren

1. Hinzufügen von Rancher als autorisierte Domain

  1. Klicken Sie hier, um zur Anmeldeseite Ihrer Google-Domain zu gelangen.

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf OAuth-Zustimmungsbildschirm.

    OAuth-Zustimmungsbildschirm

  3. Gehen Sie zu Autorisierte Domains und geben Sie die oberste private Domain Ihrer Rancher-Server-URL in die Liste ein. Die oberste private Domain ist die rechts außen stehende Superdomain. Zum Beispiel ist www.foo.co.uk eine oberste private Domain von foo.co.uk. Für weitere Informationen zu Top-Level-Domains siehe diesen Artikel.

  4. Gehen Sie zu Scopes für Google APIs und stellen Sie sicher, dass E-Mail, Profil und OpenID aktiviert sind.

Ergebnis: Rancher wurde als autorisierte Domain für die Admin SDK API hinzugefügt.

2. Erstellen von OAuth2-Anmeldeinformationen für den Rancher-Server

  1. Gehen Sie zur Google API-Konsole, wählen Sie Ihr Projekt aus und gehen Sie zur Anmeldedaten-Seite.

    Anmeldeinformationen

  2. Wählen Sie im Dropdown-Menü Anmeldeinformationen erstellen OAuth-Client-ID aus.

  3. Klicken Sie auf Webanwendung.

  4. Geben Sie einen Namen ein.

  5. Füllen Sie die Autorisierte JavaScript-Ursprünge und Autorisierte Umleitungs-URIs aus. Hinweis: Die Rancher UI-Seite zur Einrichtung von Google OAuth (verfügbar aus der globalen Ansicht unter Sicherheit  Authentifizierung  Google) bietet Ihnen die genauen Links, die Sie für diesen Schritt eingeben müssen.

    • Geben Sie unter Autorisierte JavaScript-Ursprünge, Ihre Rancher-Server-URL ein.

    • Geben Sie unter Autorisierte Umleitungs-URIs, Ihre Rancher-Server-URL mit dem Pfad verify-auth versehen ein. Wenn Ihre URI beispielsweise https://rancherServer ist, geben Sie https://rancherServer/verify-auth ein.

  6. Klicken Sie auf Erstellen.

  7. Nachdem die Anmeldeinformationen erstellt wurden, sehen Sie einen Bildschirm mit einer Liste Ihrer Anmeldeinformationen. Wählen Sie die gerade erstellten Anmeldeinformationen aus, und klicken Sie in dieser Zeile ganz rechts auf Download JSON. Speichern Sie die Datei, damit Sie diese Anmeldeinformationen an Rancher weitergeben können.

Ergebnis: Ihre OAuth-Anmeldeinformationen wurden erfolgreich erstellt.

3. Erstellen von Anmeldeinformationen für das Dienstkonto

Da das Google Admin SDK nur für Administratoren verfügbar ist, können reguläre Benutzer es nicht verwenden, um Profile anderer Benutzer oder deren Gruppen abzurufen. Reguläre Benutzer können nicht einmal ihre eigenen Gruppen abrufen.

Da Rancher gruppenbasierten Zugriff ermöglicht, müssen Benutzer ihre eigenen Gruppen abrufen und bei Bedarf andere Benutzer und Gruppen nachschlagen können.

Als Workaround, um diese Funktionalität zu erhalten, empfiehlt G Suite, ein Servicekonto zu erstellen und die Autorität Ihrer G Suite-Domain an dieses Servicekonto zu delegieren.

In diesem Abschnitt wird beschrieben, wie man:

  • Ein Dienstkonto erstellen

  • Einen Schlüssel für das Dienstkonto erstellen und die Anmeldeinformationen als JSON herunterladen

    1. Klicken Sie hier und wählen Sie Ihr Projekt aus, für das Sie OAuth-Anmeldeinformationen generiert haben.

    2. Klicken Sie auf Dienstkonto erstellen.

    3. Geben Sie einen Namen ein und klicken Sie auf Erstellen.

      Schritt 1 zur Erstellung des Dienstkontos

    4. Geben Sie auf der Seite Dienstkonto-Berechtigungen keine Rollen an und klicken Sie auf Weiter.

      Schritt 2 zur Erstellung des Dienstkontos

    5. Klicken Sie auf Schlüssel erstellen und wählen Sie die JSON-Option aus. Laden Sie die JSON-Datei herunter und speichern Sie sie, damit Sie sie als Anmeldeinformationen für das Dienstkonto an Rancher bereitstellen können.

      Schritt 3 zur Erstellung des Dienstkontos

Ergebnis: Ihr Dienstkonto wurde erstellt.

4. Registrieren Sie den Dienstkontoschlüssel als OAuth-Client.

Sie müssen dem Dienstkonto, das Sie im letzten Schritt erstellt haben, einige Berechtigungen gewähren. Rancher erfordert, dass Sie nur Lesezugriffsberechtigungen für Benutzer und Gruppen gewähren.

Verwenden Sie die eindeutige ID des Dienstkontoschlüssels, um ihn mit den folgenden Schritten als OAuth-Client zu registrieren:

  1. Holen Sie sich die eindeutige ID des Schlüssels, den Sie gerade erstellt haben. Wenn sie nicht in der Liste der Schlüssel direkt neben dem von Ihnen erstellten angezeigt wird, müssen Sie sie aktivieren. Um sie zu aktivieren, klicken Sie auf Eindeutige ID und klicken Sie auf OK. Dies fügt der Liste der Dienstkontoschlüssel eine Eindeutige ID-Spalte hinzu. Speichern Sie den für das Dienstkonto aufgeführten Schlüssel, den Sie erstellt haben. HINWEIS: Dies ist ein numerischer Schlüssel, der nicht mit dem alphanumerischen Feld Schlüssel-ID verwechselt werden darf.

    Eindeutige ID des Dienstkontos

  2. Gehen Sie zur Seite zur domänenweiten Delegierung.

  3. Fügen Sie die im vorherigen Schritt erhaltene eindeutige ID im Feld Client-Name ein.

  4. Fügen Sie im Feld Ein oder mehrere API-Bereiche die folgenden Bereiche hinzu:

     openid,profile,email,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly

  5. Klicken Sie auf Autorisieren.

Ergebnis: Das Dienstkonto ist als OAuth-Client in Ihrem G Suite-Konto registriert.

Konfigurieren von Google OAuth in Rancher

  1. Melden Sie sich bei Rancher mit einem lokalen Benutzer an, der die Rolle Administrator zugewiesen bekommen hat. Dieser Benutzer wird auch als lokales Prinzipal bezeichnet.

  2. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  3. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  4. Klicken Sie auf Google. Die Anweisungen in der Benutzeroberfläche decken die Schritte zur Einrichtung der Authentifizierung mit Google OAuth ab.

    1. Admin-E-Mail: Geben Sie die E-Mail eines Administratorkontos aus Ihrer GSuite-Konfiguration an. Um Benutzer- und Gruppenabfragen durchzuführen, benötigen die Google-APIs die E-Mail eines Administrators in Verbindung mit dem Dienstkontoschlüssel.

    2. Domäne: Geben Sie die Domain an, auf der Sie GSuite konfiguriert haben. Geben Sie die genaue Domain an und nicht irgendwelche Aliase.

    3. Mitgliedschaft in verschachtelter Gruppe: Aktivieren Sie dieses Kästchen, um verschachtelte Gruppenmitgliedschaften zu ermöglichen. Rancher-Administratoren können dies jederzeit nach der Konfiguration der Authentifizierung deaktivieren.

      • Schritt 1 bezieht sich auf das Hinzufügen von Rancher als autorisierte Domain, was wir bereits in diesem Abschnitt behandelt haben.

      • Für Schritt Zwei geben Sie die OAuth-Anmeldeinformationen im JSON-Format an, die Sie nach Abschluss von diesem Abschnitt heruntergeladen haben. Sie können die Datei hochladen oder den Inhalt in das Feld OAuth-Anmeldeinformationen einfügen.

      • Für Schritt 3 geben Sie die Anmeldeinformationen des Dienstkontos im JSON-Format an, die Sie am Ende von diesem Abschnitt heruntergeladen haben. Die Anmeldeinformationen funktionieren nur, wenn Sie erfolgreich den Dienstkontoschlüssel als OAuth-Client registriert haben in Ihrem G Suite-Konto.

  5. Klicken Sie auf Mit Google authentifizieren.

  6. Klicken Sie auf Aktivieren.

Ergebnis: Die Google-Authentifizierung ist erfolgreich konfiguriert.