第3章 Authentication [config.openshift.io/v1]

Description

認証は、認証のクラスター全体の設定を指定します (OAuth や Webhook トークンオーセンティケーターなど)。インスタンスの正規名は cluster です。互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

タイプ

object

必須

spec

3.1. 仕様

プロパティー	タイプ	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	spec 設定についてのユーザーが設定できる値を保持します。
`status`	`object`	status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。

3.1.1. .spec

Description: spec 設定についてのユーザーが設定できる値を保持します。
タイプ: object

プロパティー	タイプ	Description
`oauthMetadata`	`object`	oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細については、IETF ドラフトを参照してください。 https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー oauthMetadata は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。
`serviceAccountIssuer`	`string`	serviceAccountIssuer は、バインドされたサービスアカウントトークン発行者の識別子です。デフォルトは https://kubernetes.default.svc です。警告：このフィールドを更新すると、以前の発行者値でバインドされたすべてのトークンがすぐに無効化されません。代わりに、以前のサービスアカウント発行者が発行するトークンは、プラットフォームによって選択された期間引き続き信頼されます（現時点では 24h に設定されています）。この期間は時間の経過とともに変化する可能性があります。これにより、内部コンポーネントは、サービスの中断なしに新しいサービスアカウント発行者を使用できます。
`type`	`string`	type は、使用中のクラスター管理のユーザー向け認証モードを識別します。具体的には、ログイン試行に応答するコンポーネントを管理します。デフォルトは IntegratedOAuth です。
`webhookTokenAuthenticator`	`object`	webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.ioREST API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。
`webhookTokenAuthenticators`	`array`	webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。
`webhookTokenAuthenticators[]`	`object`	deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの必須検証がありません。

3.1.2. .spec.oauthMetadata

Description

oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細については、IETF ドラフトを参照してください。 https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー oauthMetadata は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。

タイプ

object

必須

name

プロパティー	タイプ	説明
`name`	`string`	name は、参照される設定マップの metadata.name です。

3.1.3. .spec.webhookTokenAuthenticator

Description

webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.ioREST API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。

タイプ

object

必須

kubeConfig

プロパティー	タイプ	Description
`kubeConfig`	`object`	kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。詳細については、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー kubeConfig を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig

Description

kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。詳細については、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー kubeConfig を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

タイプ

object

必須

name

プロパティー	タイプ	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.5. .spec.webhookTokenAuthenticators

Description: webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。
タイプ: array

3.1.6. .spec.webhookTokenAuthenticators[]

Description: deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの必須検証がありません。
タイプ: object

プロパティー	タイプ	Description
`kubeConfig`	`object`	kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細については、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー kubeConfig を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig

Description

kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細については、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー kubeConfig を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

タイプ

object

必須

name

プロパティー	タイプ	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.8. .status

Description: status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。
タイプ: object

プロパティー	タイプ	Description
`integratedOAuthMetadata`	`object`	IntegratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から表示できます。oc get --raw'/.well-known/oauth-authorization-server' 詳細については、IETF ドラフトを参照してください: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー oauthMetadata は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

3.1.9. .status.integratedOAuthMetadata

Description

IntegratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から表示できます。oc get --raw'/.well-known/oauth-authorization-server' 詳細については、IETF ドラフトを参照してください: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー oauthMetadata は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

タイプ

object

必須

name

プロパティー	タイプ	説明
`name`	`string`	name は、参照される設定マップの metadata.name です。

第3章 Authentication [config.openshift.io/v1]

3.1. 仕様

3.1.1. .spec

3.1.2. .spec.oauthMetadata

3.1.3. .spec.webhookTokenAuthenticator

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig

3.1.5. .spec.webhookTokenAuthenticators

3.1.6. .spec.webhookTokenAuthenticators[]

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig

3.1.8. .status

3.1.9. .status.integratedOAuthMetadata

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links