Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Aktivieren Sie den automatischen Amazon EKS-Modus für alle EKS-Cluster mithilfe von GitHub Aktionen *Urbija Goswami und Anugrah Lakra, Amazon Web Services* ## Zusammenfassung [Amazon Elastic Kubernetes Service (EKS)](https://docs.aws.amazon.com/whitepapers/latest/overview-deployment-options/amazon-elastic-kubernetes-service.html) -Cluster erfordern traditionell eine manuelle Verwaltung der Rechenressourcen über Knotengruppen. Dadurch entsteht betrieblicher Overhead für: + Entscheidungen zur Kapazitätsplanung und Skalierung + Bereitstellung von Knoten und Lebenszyklusmanagement + Kostenoptimierung für verschiedene Workload-Typen + Wartung und Aktualisierung der Infrastruktur Amazon EKS [Auto Mode](https://docs.aws.amazon.com/eks/latest/userguide/automode.html) automatisiert das Rechenressourcenmanagement durch die dynamische Bereitstellung und Skalierung von Knoten auf der Grundlage der Workload-Anforderungen, sodass kein manuelles Knotengruppenmanagement erforderlich ist. Viele Unternehmen haben jedoch Schwierigkeiten, Amazon EKS Auto Mode in ihren bestehenden und neuen Clustern konsistent zu aktivieren und zu verwalten. Zu den häufigsten Herausforderungen gehören: + Komplexe Migrationsprozesse aus bestehenden Knotengruppen + Risiko einer Betriebsunterbrechung während der Umstellung + Sorgfältige Kapazitätsplanung und Tests sind erforderlich + Anforderung bestimmter [Amazon IAM-Berechtigungen](https://aws.amazon.com/iam/?trk=6a436c72-0178-4620-97ad-0220ccc59fd0&sc_channel=ps&ef_id=CjwKCAjw7vzOBhBxEiwAc7WNr57daOn9724PwXVGy7aBxG_uuEHktjCWJbcY1q1BrZBaApyi1sAb_BoCQj0QAvD_BwE:G:s&s_kwcid=AL!4422!3!795924581177!e!!g!!amazon%20iam!23523526050!193629723318&gad_campaignid=23523526050&gbraid=0AAAAADjHtp_aCwsziIR-n3ST_xwoCqAuc&gclid=CjwKCAjw7vzOBhBxEiwAc7WNr57daOn9724PwXVGy7aBxG_uuEHktjCWJbcY1q1BrZBaApyi1sAb_BoCQj0QAvD_BwE) und -Konfigurationen + Koordination zwischen mehreren Teams und Umgebungen Dieses Muster implementiert einen [GitHub Actions-Workflow](https://docs.github.com/en/actions), der den automatischen EKS-Modus auf EKS-Clustern in einer bestimmten AWS-Region aktiviert. Vor der Aktivierung des automatischen Modus erstellt der Workflow Backups des Cluster-Status (Cluster-Konfiguration, Knotengruppen, Helm-Releases und benutzerdefinierte Ressourcen) mit Zeitstempel und lädt sie in einen [Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) S3 S3-Bucket hoch. Nach der Aktivierung des automatischen Modus entleert und löscht der Workflow alte Knotengruppen, aktualisiert die Cluster-Rollenberechtigungen und bereinigt frühere Skalierungskomponenten wie Karpenter und Cluster Autoscaler. Der Workflow kann in bestehende Continuous Integrations- und Continuous () -Pipelines integriert werden. delivery/deployment CI/CD ## Voraussetzungen und Einschränkungen **Voraussetzungen** **1. Erforderlich** + Ein [GitHub Konto](https://github.com/) und Ihr eigenes GitHub Repository, um den Workflow auszuführen + Ein aktives [AWS-Konto](https://aws.amazon.com/account/) mit Administratorberechtigungen **2. Installation lokaler Tools** + [Terraform](https://developer.hashicorp.com/terraform/install) Version 1.13.0 oder höher + [GitHub CLI](https://cli.github.com/) (gh), konfiguriert mit entsprechenden Anmeldeinformationen + [kubectl und [eksctl](https://docs.aws.amazon.com/eks/latest/eksctl/installation.html)](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html), konfiguriert für die Clusterverwaltung **3. Anforderungen an den EKS-Cluster** + Kubernetes Version 1.29 oder höher + Konfiguration des Endpunktzugriffs: + Entweder ist es auf öffentliche und private Endpunkte eingestellt  + Oder privater Endpunkt mit NAT Gateway in privaten Subnetzen + [EKS-API](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html) und [ConfigMap](https://docs.aws.amazon.com/eks/latest/userguide/auth-configmap.html)Clusterzugriff aktiviert (erforderlich, damit EKS Knoten im automatischen Modus dynamisch verwalten und aws-auth ConfigMap für eine korrekte Clusterauthentifizierung während der Migration aktualisieren kann) + Aktive [Knotengruppen oder](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) verwaltete Knotenpools **4. IAM OIDC-Konfigurationsanforderungen** + Dazu gehören die IAM-Rolle und der Identitätsanbieter: GitHub + Vertrauensrichtlinie für OIDC GitHub + Berechtigungen für: + EKS-Clusterverwaltung + S3-Bucket-Zugriff + IAM-Rollen-Verwaltung + EC2-Netzwerkmanagement + Eine einfache Einrichtung mit Terraform finden Sie im [iam.tf-Code](https://github.com/aws-samples/sample-enable-eks-auto-mode-using-github-actions/blob/main/iam.tf). Die IAM-Rolle (GitHubActionsEKSRole) wird erstellt, wenn der Terraform-Code angewendet wird. **Einschränkungen** + Unterstützt nur EKS-Cluster mit Kubernetes Version 1.29 und höher + Unterstützt nur Karpenter Version 1.1.0 und höher + Region-specific Implementierung. Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur regionalen Verfügbarkeit finden Sie unter [AWS-Services nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) + Erfordert Barrierefreiheit am Cluster-Endpunkt + Beschränkt auf AWS-managed Knotengruppen ## Architektur **Zieltechnologie-Stack** 1. [https://docs.github.com/en/actions](https://docs.github.com/en/actions) 1. [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 1. [https://docs.aws.amazon.com/whitepapers/latest/overview-deployment-options/amazon-elastic-kubernetes-service.html](https://docs.aws.amazon.com/whitepapers/latest/overview-deployment-options/amazon-elastic-kubernetes-service.html) 1. [https://aws.amazon.com/s3/](https://aws.amazon.com/s3/) **Zielarchitektur** ![](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e1fa4e49-96a5-42ae-9886-766298664db4/images/a2c46a84-3bf5-4f1e-8216-ab29b4ba894e.png) 1. Der GitHub Aktionsworkflow wird vom Benutzer aus dem GitHub Repository ausgelöst. 1. Der GitHub Aktionsworkflow nimmt eine IAM-Rolle an und verwendet OIDC, um die erforderlichen Änderungen am AWS-Konto vorzunehmen. Außerdem wird geprüft, ob die EKS Auto Node-Rolle im Konto vorhanden ist. Falls nicht vorhanden, wird die Rolle erstellt und die erforderlichen Richtlinien werden angehängt. 1. Eine Sicherungskopie des aktuellen Status des EKS-Clusters, für den der automatische Modus aktiviert sein muss, wird in einen S3-Bucket hochgeladen. 1. Die Clusterrolle des Clusters, für den der automatische Modus aktiviert sein muss, wird abgerufen und ihr werden zusätzliche Berechtigungen (AmazonEKSComputePolicy AmazonEKSBlockStoragePolicy, AmazonEKSLoadBalancingPolicy,, AmazonEKSNetworkingPolicy, AmazonEKSClusterPolicy) hinzugefügt, falls sie nicht für den EKS-Automatikmodus vorhanden sind. Zusätzlich werden vor der Migration die Subnetze der Cluster mit Tags für die Aktivierung des EKS Auto Mode aktualisiert. 1. Der Workflow aktiviert den automatischen EKS-Modus im EKS-Cluster. 1. Alte Knotengruppen werden identifiziert und gelöscht. Dies wird übersprungen, wenn der Benutzer der IAM-Rolle nicht die in den nachfolgenden optionalen Einrichtungsschritten beschriebenen Berechtigungen erteilt hat. 1. Skalierungskomponenten (Karpenter und Cluster Autoscaler) werden ebenfalls entfernt, sofern sie zuvor vorhanden waren. Der GitHub Aktionsablauf besteht aus drei Hauptaufgaben: 1. `check-clusters`: Identifiziert Cluster, für die der automatische Modus nicht aktiviert ist, und aktualisiert IAM-Richtlinien und Subnetz-Tags. 1. `backup-and-check`: Sichert den Clusterstatus vor der Migration. 1. `gradual-migration`: Aktiviert den automatischen Modus, während bestehende Knotengruppen schrittweise geleert und alte Skalierungskomponenten bereinigt werden. Es führt auch eine abschließende Überprüfung des Clusterstatus nach der Migration durch. **Anmerkung** Wenn Sie Backups der Knotenkonfiguration benötigen oder während der Migration zum automatischen EKS-Modus nodes/node Gruppen löschen möchten, können Sie die mit dem Terraform-Code erstellte IAM-Rolle zu aws-auth hinzufügen. ConfigMap Ohne sie können Sie immer noch Knotengruppenkonfigurationen anzeigen.  ## Tools *AWS-CLI:* [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. In unserer Lösung nutzen wir die Befehlszeilenschnittstelle für AWS-Services, um EKS-Cluster-Konfigurationsupdates und IAM-Rollenaktualisierungen auszuführen und den Cluster-Status während des gesamten Automatisierungsprozesses abzufragen. *Amazon EKS:* [Amazon Elastic Kubernetes Service (Amazon EKS)](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) hilft Ihnen dabei, Kubernetes auf AWS auszuführen, ohne Ihre eigene Kubernetes-Steuerebene oder Knoten installieren oder verwalten zu müssen. In diesem Muster ist Amazon EKS der Zielservice, bei dem der Auto-Modus aktiviert ist, um die Rechenbereitstellung und die Knotenskalierung über Cluster in einer bestimmten Region hinweg zu automatisieren. *IAM:* [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden. In unserer Lösung verwenden wir es, um Berechtigungen für GitHub Aktionen zur Änderung von EKS-Cluster-Konfigurationen über den OIDC-Verbund zu verwalten. Die Lösung ändert auch die Berechtigungen der Clusterrollen und fügt einen Job zur Erstellung der EKS-Knotenrolle hinzu, sodass der automatische EKS-Modus die ausstehenden Pods in neuen Knoten einplanen kann, die dann als Teil der Knotenpools eingerichtet werden. *Amazon S3***:** [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt. In unserer Lösung verwenden wir einen S3-Bucket, um die Backups der Cluster mit Zeitstempel zu speichern, bevor der automatische EKS-Modus in ihnen aktiviert wird. Dies würde bei der Notfallwiederherstellung helfen. **Andere Tools:** *GitHub Aktionen:* [GitHub Actions](https://docs.github.com/en/actions) ist eine CI/CD Plattform, die in unserer Lösung verwendet wird, um den Workflow zur Aktivierung des EKS-Automodus zu automatisieren. Sie bietet auch eine sichere Authentifizierung über OIDC und verwaltet die Pipeline-Ausführung über mehrere Cluster hinweg.   *HashiCorp Terraform:* [Terraform](https://developer.hashicorp.com/terraform/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können. Unsere Lösung verwendet Terraform, um IAM-Rollen und -Richtlinien bereitzustellen und die OIDC-Anbieterkonfiguration für eine sichere Aktionsintegration hinzuzufügen. GitHub   **Code-Repository** Der Code für dieses Muster ist im Repository GitHub [EKS Auto Mode Enablement via GitHub Actions](https://github.com/aws-samples/sample-enable-eks-auto-mode-using-github-actions/tree/main) verfügbar. ## Best Practices + **Sicherheit**: + Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die Mindestberechtigungen, die zur Ausführung einer Aufgabe erforderlich sind. Weitere Informationen finden Sie [in der IAM-Dokumentation unter Geringste Rechte gewähren und bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege.). Die erforderliche [Mindestkonfiguration finden Sie in der Datei iam.tf](https://github.com/aws-samples/sample-enable-eks-auto-mode-using-github-actions/blob/main/iam.tf) im Repository.  + Richten Sie die Vertrauensrichtlinie für IAM-Rollen auf Ihr spezifisches GitHub Repository und Ihren Branch ein, um zu verhindern, dass unautorisierte Workflow-Läufe die Rolle übernehmen.  + Aktivieren Sie die Protokollierung der EKS-Kontrollebene (API-Server, Audit, Authenticator), bevor Sie mit der Migration beginnen, damit Sie Probleme mit der Planung oder Authentifizierung diagnostizieren können, nachdem der automatische Modus aktiviert wurde.  + Fügen Sie --sse AES256 zu allen aws s3 cp-Befehlen im [Backup-Skript](https://github.com/aws-samples/sample-enable-eks-auto-mode-using-github-actions/blob/main/scripts/backup-cluster-state.sh) hinzu, um serverseitige Verschlüsselung bei Clusterstatus-Backups durchzusetzen.  + **Zuverlässigkeit:** + Testen Sie den Workflow zunächst mit einem Cluster, der nicht zur Produktion gehört. Stellen Sie sicher, dass Workloads auf Knoten im automatischen Modus korrekt neu geplant werden, bevor Sie Produktionscluster migrieren.  + Stellen Sie sicher, dass S3-Backups erfolgreich abgeschlossen wurden und gültige Clusterkonfigurations-, Knotengruppen-, Helm-Release- und benutzerdefinierte Ressourcendaten enthalten, bevor Sie mit der Aktivierung des automatischen Modus fortfahren.  + Nachdem Sie den automatischen Modus aktiviert haben, können Sie Pod-Scheduling-Ereignisse und die Latenz bei der Knotenbereitstellung mithilfe von [Amazon CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContainerInsights.html) überwachen, um Probleme frühzeitig zu erkennen.  + **Leistung**: + Überprüfen Sie regelmäßig die Skalierungsmuster für Knotenpools im automatischen Modus und passen Sie die Anforderungen und Grenzwerte für Workload-Ressourcen an, um Überbereitstellungen oder Verzögerungen bei der Planung zu vermeiden. + **Kosten:** + Kennzeichnen Sie EKS-Cluster und zugehörige Ressourcen (IAM-Rollen, S3-Backup-Buckets, Subnetze) mit Umgebungs- und Eigentumsmetadaten, um die Kostenverfolgung und betriebliche Transparenz zu unterstützen. Weitere Informationen finden Sie in der [Dokumentation zum Taggen von AWS-Ressourcen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html.). Sie können die Workflow-Datei bearbeiten, um während des Migrationsprozesses benutzerdefinierte Tags hinzuzufügen.  + Richten Sie AWS Cost Explorer Explorer-Benachrichtigungen ein, um Änderungen der Rechenkosten nach der Aktivierung des automatischen Modus zu überwachen, da der automatische Modus die Instance-Typen und das Skalierungsverhalten ändern kann. Weitere Informationen finden Sie in der [Dokumentation Analysieren Ihrer Kosten mit AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html.).   + **Operationen**: + Behalten Sie die Versionskontrolle für die Workflow-Datei und die Terraform-Konfigurationen bei und dokumentieren Sie alle umgebungsspezifischen Überschreibungen wie Region, Rollen-ARN oder S3-Bucket-Namen.    ## Epen ### Werkzeug SetUp | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie das GitHub Repository. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/enable-eks-auto-mode-using-github-actions.html) | AWS DevOps, Cloud-Architekt | ### (Optional) Richten Sie eine IAM-Rolle ein | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Richten Sie IAM für die Sicherung und das Löschen von Knotengruppen ein | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/enable-eks-auto-mode-using-github-actions.html)
eksctl create iamidentitymapping \ --cluster $CLUSTER_NAME\ --region us-east-1 \ --arn arn:aws:iam::$ACCOUNT_ID:role/GitHubActionsEKSRole \ --group system:masters \ --username github-actions
**Ersetzen Sie **$CLUSTER\_NAME und $ACCOUNT\_ID** durch die entsprechenden Werte.** [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/enable-eks-auto-mode-using-github-actions.html)
CLUSTERS=$(aws eks list-clusters --region $AWS_REGION --query 'clusters[]' --output text)

CLUSTERS_NEEDING_AUTO_MODE=""

for cluster in $CLUSTERS; do
    
    
    AUTO_MODE=$(aws eks describe-cluster --name $cluster --region $AWS_REGION --query 'cluster.computeConfig.enabled' --output text 2>/dev/null || echo "false")
    
    if [ "$AUTO_MODE" != "True" ]; then
       
        CLUSTERS_NEEDING_AUTO_MODE="$CLUSTERS_NEEDING_AUTO_MODE $cluster"
        
        echo " Adding role access to cluster..."
        eksctl create iamidentitymapping \
          --cluster $cluster \
          --region $AWS_REGION \
          --arn $ROLE_ARN \
          --group system:masters\
          --username github-actions || echo "  ⚠️  Role mapping may already exist"
        
        echo "  ✅ Role access configured for $cluster"
done

Ersetzen Sie **$AWS\_REGION** und **$ROLE\_ARN durch die spezifische Region bzw. den ARN** der oben erstellten IAM-Rolle. | AWS DevOps, Cloud-Architekt | ### Ausführen und validieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Löst den GitHub Aktionen-Workflow aus. | Der Workflow wird automatisch ausgelöst, wenn Änderungen an den Feature-, Main- oder Dev-Branches vorgenommen werden. Manuelles Auslösen über die GitHub Benutzeroberfläche: 1. Gehe zum Repository am GitHub 2. Klicken Sie auf die Registerkarte „Aktionen“ 3. Wählen Sie den Workflow (Auto-Mode-Pipeline) 4. Klicken Sie auf die Schaltfläche „Workflow ausführen“ 5. Wählen Sie den Zweig aus und klicken Sie auf „Workflow ausführen“
Der Workflow führt die [Überprüfung](https://github.com/aws-samples/sample-enable-eks-auto-mode-using-github-actions/blob/22b546b05630c63e5637928ad8a4f5947ad8fb33/.github/workflows/enable-eks-auto-mode.yml#L283) nach der Migration durch, indem er die Rechenkonfiguration jedes migrierten Clusters mithilfe der AWS-CLI abfragt, um zu bestätigen, dass der automatische EKS-Modus erfolgreich aktiviert wurde, und zeigt die aktuellen Recheneinstellungen in einem Tabellenformat an. | AWS DevOps, Cloud-Architekt | ### Konfigurieren Sie die Bereitstellung in mehreren Umgebungen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Implementierung der Bereitstellung in mehreren Umgebungen. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/enable-eks-auto-mode-using-github-actions.html) | | ### Bereinigen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bereinigen Sie die Ressourcen. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/enable-eks-auto-mode-using-github-actions.html) | Allgemein AWS, Cloud-Architekt | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | **Probleme mit der Authentifizierung**

| • Stellen Sie sicher, dass der GitHub OIDC-Anbieter in AWS IAM korrekt konfiguriert ist
• Überprüfe, ob der ARN der IAM-Rolle in Git Secrets mit der tatsächlichen Rolle übereinstimmt, die mit terraform () erstellt wurde GitHubActionsEKSRole
• Stellen Sie sicher, dass GitHub das Repository die erforderlichen Geheimnisse konfiguriert hat — AWS\_REGION und. AWS\_ROLE\_ARN
• Stellen Sie sicher, dass die AWS-Regionseinstellungen mit Ihren Cluster-Standorten übereinstimmen | | **Probleme mit Genehmigungen**

| • Testen Sie IAM-Rollenberechtigungen lokal: bash aws sts assume-role --role-arn --role-session-name test-session aws eks list-clusters
• Stellen Sie sicherUpdateClusterConfig , DescribeCluster dass die Rolle die Berechtigungen eks: und eks: hat | | **Cluster-Kompatibilität**

| • Vergewissern Sie sich, dass auf EKS-Clustern Kubernetes 1.29 oder höher ausgeführt wird: bash aws eks describe-cluster --name --query 'cluster.version'
• Stellen Sie sicher, dass sich die Cluster im Status AKTIV befinden, bevor Sie den automatischen Modus aktivieren | | **Workflow-Fehler**
| • Suchen Sie in den GitHub Aktionsprotokollen nach bestimmten Fehlermeldungen
• Überprüfen Sie die Syntax der Workflow-Datei in. github/workflows/auto-modus-pipeline.yml
• Stellen Sie sicher, dass die Umgebungsvariablen im Workflow richtig gesetzt sind | ## Zugehörige Ressourcen 1. [Offizielle Dokumentation zum EKS Auto Mode für den Einstieg](https://docs.aws.amazon.com/eks/latest/userguide/automode.html) 1. [CLI-Dokumentation zur Cluster-Konfiguration aktualisieren](https://docs.aws.amazon.com/cli/latest/reference/eks/update-cluster-config.html) 1. [GitHub Geheimnisse für GitHub Aktionen](https://docs.github.com/en/actions/how-tos/write-workflows/choose-what-workflows-do/use-secrets) 1. [GitHub Dokumentation zu Aktionen](https://docs.github.com/en/actions)  1. [Dokumentation zum OIDC-Verband](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)