第3章 Authentication [config.openshift.io/v1]

説明

認証は、認証のクラスター全体の設定を指定します (OAuth や Webhook トークンオーセンティケーターなど)。インスタンスの正規名は cluster です。互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

spec

3.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	spec 設定でユーザーが設定できる値を保持します。
`status`	`object`	status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。

3.1.1. .spec

説明: spec 設定でユーザーが設定できる値を保持します。
型: object

プロパティー	型	説明
`oauthMetadata`	`object`	oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細は、IETF ドラフトを参照してください。 https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー "oauthMetadata" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。
`serviceAccountIssuer`	`string`	serviceAccountIssuer は、バインドされたサービスアカウントトークン発行者の識別子です。デフォルトは https://kubernetes.default.svc です。警告: このフィールドを更新しても、以前の発行者値を持つ、バインドされたすべてのトークンがすぐに無効になるわけではありません。代わりに、以前のサービスアカウント発行者が発行したトークンが、プラットフォームによって選択された期間 (現在は 24h に設定) にわたり引き続き信頼されます。この期間は、時間の経過とともに変更される可能性があります。これにより、内部コンポーネントはサービスを中断することなく、新しいサービスアカウント発行者を使用するように移行できます。
`type`	`string`	type は、使用中のクラスター管理のユーザー向け認証モードを識別します。具体的には、ログイン試行に応答するコンポーネントを管理します。デフォルトは IntegratedOAuth です。
`webhookTokenAuthenticator`	`object`	webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.io REST API. API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。"Type" が "None"に設定されている場合にのみ設定できます。
`webhookTokenAuthenticators`	`array`	webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。
`webhookTokenAuthenticators[]`	`object`	deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの 'required' 検証がありません。

3.1.2. .spec.oauthMetadata

説明

oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細は、IETF ドラフトを参照してください。 https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー "oauthMetadata" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。

型

object

必須

name

プロパティー	型	説明
`name`	`string`	name は、参照される設定マップの metadata.name です。

3.1.3. .spec.webhookTokenAuthenticator

説明

webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.io REST API. API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。"Type" が "None"に設定されている場合にのみ設定できます。

型

object

必須

kubeConfig

プロパティー	型	説明
`kubeConfig`	`object`	kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig

説明

kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

型

object

必須

name

プロパティー	型	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.5. .spec.webhookTokenAuthenticators

説明: webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。
型: array

3.1.6. .spec.webhookTokenAuthenticators[]

説明: deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの 'required' 検証がありません。
型: object

プロパティー	型	説明
`kubeConfig`	`object`	kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig

説明

kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

型

object

必須

name

プロパティー	型	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.8. .status

説明: status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。
型: object

プロパティー	型	説明
`integratedOAuthMetadata`	`object`	integratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバー Metadata の検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所 (oc get --raw '/.well-known/oauth-authorization-server') から表示できます。詳細は、IETF ドラフト (https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2) を参照してください。これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー "oauthMetadata" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

3.1.9. .status.integratedOAuthMetadata

説明

integratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバー Metadata の検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所 (oc get --raw '/.well-known/oauth-authorization-server') から表示できます。詳細は、IETF ドラフト (https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2) を参照してください。これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー "oauthMetadata" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

型

object

必須

name

プロパティー	型	説明
`name`	`string`	name は、参照される設定マップの metadata.name です。

第3章 Authentication [config.openshift.io/v1]

3.1. 仕様

3.1.1. .spec

3.1.2. .spec.oauthMetadata

3.1.3. .spec.webhookTokenAuthenticator

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig

3.1.5. .spec.webhookTokenAuthenticators

3.1.6. .spec.webhookTokenAuthenticators[]

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig

3.1.8. .status

3.1.9. .status.integratedOAuthMetadata

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links