Chapitre 1. Aperçu de l'authentification et de l'autorisation
1.1. Glossaire des termes courants pour l'authentification et l'autorisation de OpenShift Container Platform
Ce glossaire définit les termes communs utilisés dans l'authentification et l'autorisation de OpenShift Container Platform.
- l'authentification
- Une authentification détermine l'accès à un cluster OpenShift Container Platform et garantit que seuls les utilisateurs authentifiés accèdent au cluster OpenShift Container Platform.
- autorisation
- L'autorisation détermine si l'utilisateur identifié a le droit d'effectuer l'action demandée.
- jeton au porteur
-
Le jeton du porteur est utilisé pour s'authentifier auprès de l'API avec l'en-tête
Authorization: Bearer <token>. - Opérateur de certificats dans le nuage
- Le Cloud Credential Operator (CCO) gère les informations d'identification des fournisseurs de cloud sous forme de définitions de ressources personnalisées (CRD).
- carte de configuration
-
Une carte de configuration permet d'injecter des données de configuration dans les pods. Vous pouvez référencer les données stockées dans une carte de configuration dans un volume de type
ConfigMap. Les applications fonctionnant dans un pod peuvent utiliser ces données. - conteneurs
- Images légères et exécutables composées de logiciels et de toutes leurs dépendances. Comme les conteneurs virtualisent le système d'exploitation, vous pouvez les exécuter dans un centre de données, un nuage public ou privé, ou votre hôte local.
- Ressource personnalisée (CR)
- Un CR est une extension de l'API Kubernetes.
- groupe
- Un groupe est un ensemble d'utilisateurs. Un groupe est utile pour accorder des autorisations à plusieurs utilisateurs en même temps.
- HTPasswd
- HTPasswd met à jour les fichiers qui stockent les noms d'utilisateur et les mots de passe pour l'authentification des utilisateurs HTTP.
- Keystone
- Keystone est un projet de Red Hat OpenStack Platform (RHOSP) qui fournit des services d'identité, de jeton, de catalogue et de politique.
- Protocole d'accès à l'annuaire léger (LDAP)
- LDAP est un protocole qui permet d'interroger les informations sur les utilisateurs.
- mode manuel
- En mode manuel, c'est un utilisateur qui gère les informations d'identification dans le nuage à la place de l'opérateur d'informations d'identification dans le nuage (Cloud Credential Operator, CCO).
- mode menthe
- Le mode Mint est le paramètre par défaut et la meilleure pratique recommandée pour le Cloud Credential Operator (CCO) sur les plates-formes pour lesquelles il est pris en charge. Dans ce mode, le CCO utilise le justificatif d'identité cloud de niveau administrateur fourni pour créer de nouveaux justificatifs d'identité pour les composants du cluster avec uniquement les autorisations spécifiques requises.
- espace de noms
- Un espace de noms isole des ressources système spécifiques qui sont visibles par tous les processus. À l'intérieur d'un espace de noms, seuls les processus membres de cet espace peuvent voir ces ressources.
- nœud
- Un nœud est une machine de travail dans le cluster OpenShift Container Platform. Un nœud est soit une machine virtuelle (VM), soit une machine physique.
- Client OAuth
- Le client OAuth est utilisé pour obtenir un jeton de porteur.
- Serveur OAuth
- Le plan de contrôle d'OpenShift Container Platform comprend un serveur OAuth intégré qui détermine l'identité de l'utilisateur à partir du fournisseur d'identité configuré et crée un jeton d'accès.
- OpenID Connect
- OpenID Connect est un protocole qui permet d'authentifier les utilisateurs afin d'utiliser l'authentification unique (SSO) pour accéder aux sites qui utilisent les fournisseurs OpenID.
- mode passthrough
- En mode passthrough, le Cloud Credential Operator (CCO) transmet le justificatif d'identité cloud fourni aux composants qui demandent des justificatifs d'identité cloud.
- nacelle
- Un pod est la plus petite unité logique de Kubernetes. Un pod est composé d'un ou plusieurs conteneurs à exécuter dans un nœud de travailleur.
- utilisateurs réguliers
- Utilisateurs créés automatiquement dans le cluster lors de la première connexion ou via l'API.
- en-tête de la demande
- Un en-tête de requête est un en-tête HTTP utilisé pour fournir des informations sur le contexte de la requête HTTP, afin que le serveur puisse suivre la réponse à la requête.
- le contrôle d'accès basé sur les rôles (RBAC)
- Un contrôle de sécurité clé pour s'assurer que les utilisateurs et les charges de travail des clusters n'ont accès qu'aux ressources nécessaires à l'exécution de leurs rôles.
- comptes de service
- Les comptes de service sont utilisés par les composants ou les applications du cluster.
- les utilisateurs du système
- Utilisateurs créés automatiquement lors de l'installation du cluster.
- utilisateurs
- L'utilisateur est une entité qui peut faire des demandes à l'API.
