この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

ユーザとグループ

Rancherは、誰がRancherにログインできるか、どのリソースにアクセスできるかを判断するために、ユーザーとグループに依存しています。外部認証プロバイダーを設定すると、そのプロバイダーのユーザーがあなたのRancherサーバーにログインできるようになります。ユーザーがログインすると、認証プロバイダーはそのユーザーが所属するグループのリストをあなたのRancherサーバーに提供します。

クラスター、プロジェクト、グローバルDNSプロバイダーおよびDNSエントリへのアクセスは、これらのリソースに個々のユーザーまたはグループを追加することで制御できます。リソースにグループを追加すると、そのグループのメンバーであるすべてのユーザーが、グループに対して指定した権限でリソースにアクセスできるようになります。役割と権限に関する詳細は、ロールベースのアクセス制御を参照してください。

メンバーの管理

リソースにユーザーまたはグループを追加する際、名前の入力を始めることでユーザーまたはグループを検索できます。Rancherサーバーは、入力した内容に一致するユーザーとグループを見つけるために認証プロバイダーに問い合わせます。検索は、現在ログインしている認証プロバイダーに制限されます。たとえば、GitHub認証を有効にしているが、ローカルユーザーアカウントでログインしている場合、GitHubのユーザーやグループを検索することはできません。

ローカルユーザーであれ、認証プロバイダーからのユーザーであれ、すべてのユーザーは表示および管理できます。左上隅で、*☰ > ユーザーと認証*をクリックします。左のナビゲーションバーで*ユーザー*をクリックします。

SAMLプロバイダーの注意点

  • Rancherで権限を割り当てる際、ユーザーとグループは検証されません。

  • ユーザーを追加する際、正確なユーザーID(つまり`UID Field`)を正しく入力する必要があります。ユーザーIDを入力すると、他の一致するユーザーIDの検索は行われません。

  • グループを追加する際は、テキストボックスの隣にあるドロップダウンからグループを選択する必要があります。Rancherは、テキストボックスからの入力がユーザーであると仮定します。

  • グループのドロップダウンには、あなたがメンバーであるグループのみが表示されます。ただし、管理者権限または制限された管理者権限を持っている場合は、メンバーでないグループに参加することができます。

ユーザー情報

Rancherは、認証プロバイダーを通じてログインする各ユーザーに関する情報を保持します。この情報には、ユーザーがあなたのRancherサーバーにアクセスできるかどうかと、ユーザーが所属するグループのリストが含まれます。Rancherは、このユーザー情報を保持することで、CLI、API、およびkubectlが認証プロバイダーにおけるグループメンバーシップに基づいてユーザーのアクセスを正確に反映できるようにします。

ユーザーが認証プロバイダーを使用してUIにログインするたびに、Rancherは自動的にこのユーザー情報を更新します。

ユーザー情報の自動更新

Rancherは、ユーザーがUIを通じてログインする前でも、定期的にユーザー情報を更新します。Rancherがこの更新を行う頻度を制御できます。

この動作を制御する設定が2つあります:

  • auth-user-info-max-age-seconds

    この設定は、Rancherがユーザーの情報を更新する前に、どれくらい古くなってもよいかを制御します。ユーザーがAPIコールを行った場合(直接またはRancher CLIやkubectlを使用して)で、ユーザーの最後の更新からの時間がこの設定を超えると、Rancherは更新をトリガーします。この設定のデフォルトは`3600`秒、すなわち1時間です。

  • auth-user-info-resync-cron

    この設定は、すべてのユーザーの認証プロバイダー情報を再同期するための定期的なスケジュールを制御します。ユーザーが最近ログインしたかAPIを使用したかに関係なく、指定された間隔でユーザーが更新されます。この設定のデフォルトは`0 0 * * *`、すなわち毎日真夜中に1回です。この設定の有効な値に関する詳細は、 cronドキュメントを参照してください。

これらの設定を変更するには、次の手順に従います。

  1. 左上隅で、*☰ > グローバル設定*をクリックします。

  2. 設定したい項目に移動し、*⋮ > 設定を編集*をクリックします。

SAMLはユーザー検索をサポートしていないため、SAMLベースの認証プロバイダーはユーザー情報を定期的に更新することをサポートしていません。ユーザー情報は、ユーザーがRancher UIにログインしたときのみ更新されます。

ユーザー情報の手動更新

Rancherが最後にユーザー情報を自動更新した時期が不明な場合は、すべてのユーザーの手動更新を行うことができます。

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. *ユーザー*ページで、*グループメンバーシップを更新*をクリックします。

*結果*Rancherはすべてのユーザーのユーザー情報を更新します。この更新をリクエストすると、Rancherにアクセスできるユーザーと、各ユーザーが所属するすべてのグループが更新されます。

SAMLはユーザー検索をサポートしていないため、SAMLベースの認証プロバイダーはユーザー情報を手動で更新する機能をサポートしていません。ユーザー情報は、ユーザーがRancher UIにログインしたときのみ更新されます。

最小パスワード長

デフォルトでは、ユーザーのパスワードは12文字以上でなければなりません。ただし、パスワードの長さの要件をカスタマイズすることができます:

  1. 左上隅で、*☰ > グローバル設定*をクリックします。

  2. password-min-length*に移動し、⋮ > 設定を編集*をクリックします。

  3. 2から256の間の整数値を入力し、*保存*をクリックします。

セッションの長さ

各ユーザーセッションのデフォルトの長さ(TTL)は調整可能です。デフォルトのセッションの長さは16時間です。

  1. 左上隅で、*☰ > グローバル設定*をクリックします。

  2. auth-user-session-ttl-minutes*に移動し、⋮ > 設定を編集*をクリックします。

  3. セッションの長さが持続する時間を分単位で入力し、*保存*をクリックします。

*結果:*設定された分数が経過すると、ユーザーは自動的にRancherからログアウトされます。