3.3.4. Considérations relatives à la sécurité
Veuillez tenir compte des modifications suivantes au niveau de la sécurité lors du passage d’OpenShift Container Platform 3.11 à OpenShift Container Platform 4.10.
Accès non authentifié aux points d’accès de découverte
Dans OpenShift Container Platform 3.11, un utilisateur non authentifié pouvait accéder aux points d’accès de découverte (/api/*
et /apis/*
, par exemple). Pour des raisons de sécurité, l’accès non authentifié à ces points d’accès n’est plus autorisé dans OpenShift Container Platform 4.10. S’il s’avère nécessaire d’autoriser un accès non authentifié, vous pouvez configurer les paramètres RBAC suivant les besoins. Veuillez toutefois tenir compte des implications en matière de sécurité, car cela peut exposer les composants internes du cluster au réseau externe.
Fournisseurs d’identité
La configuration des fournisseurs d’identité a été modifiée pour OpenShift Container Platform 4. Voici quelques changements notables :
- Le fournisseur d’identité de l’en-tête de demande d’OpenShift Container Platform 4.10 exige une authentification Mutual TLS, ce qui n’était pas le cas dans OpenShift Container Platform 3.11.
-
La configuration du fournisseur d’identité OpenID Connect a été simplifiée dans OpenShift Container Platform 4.10. Il reçoit désormais les données du point d’accès
/.well-known/openid-configuration
du fournisseur, alors qu’elles devaient être spécifiées dans OpenShift Container Platform 3.11.
Pour plus d’informations, voir Présentation de la configuration du fournisseur d’identité.
Format de stockage des tokens OAuth
Les tokens du porteur OAuth HTTP qui viennent d’être créés ne correspondent plus aux noms de leurs objets de token d’accès OAuth. Les noms des objets constituent maintenant un hachage du jeton du porteur et ne sont plus sensibles. Cela réduit le risque de fuite d’informations sensibles.