Chapitre 2. Comprendre l’authentification
Afin que les utilisateurs interagissent avec Red Hat OpenShift Service sur AWS, ils doivent d’abord s’authentifier au cluster. La couche d’authentification identifie l’utilisateur associé aux demandes adressées au service Red Hat OpenShift sur AWS API. La couche d’autorisation utilise ensuite des informations sur l’utilisateur demandeur pour déterminer si la demande est autorisée.
2.1. Les utilisateurs Copier lienLien copié sur presse-papiers!
L’utilisateur de Red Hat OpenShift Service sur AWS est une entité qui peut faire des demandes au service Red Hat OpenShift sur AWS API. Le service OpenShift Red Hat sur l’objet utilisateur AWS représente un acteur qui peut recevoir des autorisations dans le système en ajoutant des rôles à eux ou à leurs groupes. En règle générale, cela représente le compte d’un développeur ou d’un administrateur qui interagit avec Red Hat OpenShift Service sur AWS.
Différents types d’utilisateurs peuvent exister:
Le type d’utilisateur | Description |
---|---|
| C’est ainsi que le service OpenShift Red Hat le plus interactif sur les utilisateurs AWS est représenté. Les utilisateurs réguliers sont créés automatiquement dans le système lors de la première connexion ou peuvent être créés via l’API. Les utilisateurs réguliers sont représentés avec l’objet Utilisateur. Exemples: joe alice |
| Beaucoup d’entre eux sont créés automatiquement lorsque l’infrastructure est définie, principalement dans le but de permettre à l’infrastructure d’interagir en toute sécurité avec l’API. Ils comprennent un administrateur de cluster (avec accès à tout), un utilisateur par nœud, des utilisateurs pour les routeurs et les registres, et divers autres. Enfin, il y a un utilisateur système anonyme qui est utilisé par défaut pour les demandes non authentifiées. Exemples: system:admin system:openshift-registry system:node:node1.example.com |
| Il s’agit d’utilisateurs système spéciaux associés à des projets; certains sont créés automatiquement lorsque le projet est créé pour la première fois, tandis que les administrateurs de projet peuvent en créer davantage dans le but de définir l’accès au contenu de chaque projet. Les comptes de service sont représentés avec l’objet ServiceAccount. Exemples: system:serviceaccount:default:deployer system:serviceaccount:foo:builder |
Chaque utilisateur doit s’authentifier d’une manière ou d’une autre pour accéder au service Red Hat OpenShift sur AWS. Les requêtes API sans authentification ou authentification invalide sont authentifiées en tant que requêtes de l’utilisateur du système anonyme. Après l’authentification, la stratégie détermine ce que l’utilisateur est autorisé à faire.