第3章 Authentication [config.openshift.io/v1]

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`オブジェクトメタ`	標準オブジェクトのメタデータ。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
`spec`	`object`	spec は、ユーザーが設定可能な設定値を保持します。
`status`	`object`	status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。

3.1.1. .spec
リンクのコピー

説明: spec は、ユーザーが設定可能な設定値を保持します。
型: object

Expand

プロパティー	型	説明
`oauthMetadata`	`object`	oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細は、IETF ドラフトを参照してください。https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー "oauthMetadata" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。
`oidc プロバイダー`	`array`	oidcProviders は、このクラスターのトークンを発行できる OIDC アイデンティティープロバイダーです。Type が OIDC に設定されている場合にのみ設定できます。設定できるプロバイダーは最大で 1 つです。
`oidcProviders[]`	`object`
`serviceAccountIssuer`	`string`	serviceAccountIssuer は、バインドされたサービスアカウントトークン発行者の識別子です。デフォルトは https://kubernetes.default.svc です。警告: このフィールドを更新しても、以前の発行者値を持つ、バインドされたすべてのトークンがすぐに無効になるわけではありません。代わりに、以前のサービスアカウント発行者が発行したトークンが、プラットフォームによって選択された期間 (現在は 24h に設定) にわたり引き続き信頼されます。この期間は、時間の経過とともに変更される可能性があります。これにより、内部コンポーネントはサービスを中断することなく、新しいサービスアカウント発行者を使用するように移行できます。
`type`	`string`	type は、使用中のクラスター管理のユーザー向け認証モードを識別します。具体的には、ログイン試行に応答するコンポーネントを管理します。デフォルトは IntegratedOAuth です。
`webhookTokenAuthenticator`	`object`	webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.io REST API. API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。 "Type" が "None"に設定されている場合にのみ設定できます。
`webhookTokenAuthenticators`	`array`	webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。
`webhookTokenAuthenticators[]`	`object`	deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの 'required' 検証がありません。

3.1.2. .spec.oauthMetadata
リンクのコピー

説明

oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細は、IETF ドラフトを参照してください。https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー "oauthMetadata" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。

型

object

必須

name

Expand

プロパティー	型	説明
`name`	`string`	name は、参照される config map の metadata.name です

3.1.3. .spec.oidcProviders
リンクのコピー

説明

oidcProviders は、このクラスターのトークンを発行できる OIDC アイデンティティープロバイダーです。Type が OIDC に設定されている場合にのみ設定できます。

設定できるプロバイダーは最大で 1 つです。

型

array

3.1.4. .spec.oidcProviders[]
リンクのコピー

説明

型

object

必須

claimMappings
issuer
name

Expand

プロパティー	型	説明
`claimMappings`	`object`	claimMappings は必須フィールドで、アイデンティティープロバイダーによって発行された JWT トークン内のクレームをクラスターアイデンティティーに変換するために Kubernetes API サーバーが使用するルールを設定します。
`claimValidationRules`	`array`	claimValidationRules はオプションのフィールドで、アイデンティティープロバイダーが発行した JWT トークン内のクレームを検証するために Kubernetes API サーバーが使用するルールを設定します。検証ルールは AND 演算によって結合されます。
`claimValidationRules[]`	`object`
`issuer`	`object`	発行者は必須フィールドであり、プラットフォームがアイデンティティープロバイダーとどのように連携するか、およびアイデンティティープロバイダーから発行されたトークンが Kubernetes API サーバーによってどのように評価されるかを設定します。
`name`	`string`	name は必須項目であり、アイデンティティープロバイダーに関連付けられた一意の人間が判読可能な識別子を設定します。複数のアイデンティティープロバイダーを区別するために使用され、トークンの検証や認証メカニズムには影響しません。名前は空文字列 ("") であってはなりません。
`oidcClients`	`array`	oidcClients は、クラスター上のプラットフォームクライアントがアイデンティティープロバイダーからトークンを要求する方法を設定するオプションのフィールドです。oidcClients には 20 個のエントリーを含めることはできません。また、エントリーには一意の名前空間と名前のペアが必要です。
`oidcClients[]`	`object`	OIDCClientConfig は、プラットフォームクライアントが認証方法としてアイデンティティープロバイダーとどのようにやり取りするかを設定します。

3.1.5. .spec.oidcProviders[].claimMappings
リンクのコピー

説明

claimMappings は必須フィールドで、アイデンティティープロバイダーによって発行された JWT トークン内のクレームをクラスターアイデンティティーに変換するために Kubernetes API サーバーが使用するルールを設定します。

型

object

必須

username

Expand

プロパティー	型	説明
`extra`	`array`	extra は、クラスターアイデンティティーの extra 属性を構築するために使用されるマッピングを設定するためのオプションのフィールドです。省略した場合、クラスターアイデンティティーには追加の属性は存在しません。追加マッピングのキー値は一意である必要があります。最大 32 個の追加属性マッピングを提供できます。
`余分な []`	`object`	ExtraMapping を使用すると、キーと CEL 式を指定して、キーの値を評価することができます。これは、提供された認証トークンからクラスターアイデンティティーに追加される追加のマッピングと属性を作成するために使用されます。
`groups`	`object`	groups はオプションのフィールドで、アイデンティティープロバイダーによって発行された JWT トークン内のクレームからクラスターアイデンティティーのグループをどのように構築するかを設定します。クレームを参照する場合、そのクレームが JWT トークンに含まれている場合は、その値はコンマ (',') で区切られたグループのリストである必要があります。たとえば、"example"、"exampleOne、"exampleTwo、"exampleThree" は有効なクレーム値です。
`uid`	`object`	uid は、クラスターアイデンティティーの uid を構築するために使用されるクレームマッピングを設定するためのオプションフィールドです。 uid.claim を使用してクレームを指定する場合、それは単一の文字列値でなければなりません。uid.expression を使用する場合、式は単一の文字列値を返す必要があります。省略すると、ユーザーによる指定なしとみなされ、プラットフォームによってデフォルトが選択されます。デフォルトは、今後変更される可能性があります。現在のデフォルト設定では、sub クレームが使用されます。
`username`	`object`	username は必須フィールドであり、アイデンティティープロバイダーによって発行された JWT トークン内のクレームからクラスターアイデンティティーのユーザー名をどのように構築するかを設定します。

3.1.6. .spec.oidcProviders[].claimMappings.extra
リンクのコピー

説明: extra は、クラスターアイデンティティーの extra 属性を構築するために使用されるマッピングを設定するためのオプションのフィールドです。省略した場合、クラスターアイデンティティーには追加の属性は存在しません。追加マッピングのキー値は一意である必要があります。最大 32 個の追加属性マッピングを提供できます。
型: array

3.1.7. .spec.oidcProviders[].claimMappings.extra[]
リンクのコピー

説明

ExtraMapping を使用すると、キーと CEL 式を指定して、キーの値を評価することができます。これは、提供された認証トークンからクラスターアイデンティティーに追加される追加のマッピングと属性を作成するために使用されます。

型

object

必須

key
valueExpression

Expand

プロパティー型説明

プロパティー	型	説明
`key`	`string`	key は必須項目であり、追加属性キーとして使用する文字列を指定します。キーはドメインプレフィックスパス (例:example.org/foo) である必要があります。キーの長さは 510 文字を超えてはなりません。キーには、ドメインとパスの文字を区切る/文字が含まれている必要があります。キーは空であってはなりません。キーのドメイン部分 (スラッシュ記号/より前の文字列) は、有効な RFC1123 サブドメインでなければなりません。長さは 253 文字以内にする必要があります。英数字で開始および終了する必要があります。小文字の英数字と - または.のみを含める必要があります。予約済みのドメイン kubernetes.io、k8s.io、openshift.io を使用したり、これらのドメインのサブドメインを使用したりしてはなりません。キーのパス部分 ('/' の後の文字列) は空であってはならず、少なくとも 1 つの英数字、パーセントエンコードされたオクテット、'-'、'.'、'_'、'~'、'!'、'$'、'&'、'''、'('、')'、'*'、'+'、','、';'、'='、および ':' で設定されている必要があります。文字数は 256 文字を超えてはなりません。
`valueExpression`	`string`	valueExpression は、JWT トークンのクレームから追加属性値を抽出するための CEL 式を指定する必須フィールドです。valueExpression は文字列または文字列配列の値を生成する必要があります。、[]、null は、追加マッピングが存在しないものとして扱われます。配列内の空の文字列値はフィルタリングされます。 CEL 式は、CEL 変数 claims を介してトークンクレームにアクセスできます。claims は、クレーム名とクレーム値のマッピングです。たとえば、sub クレーム値には claims.sub としてアクセスできます。ネストされたクレームには、ドット表記 ('claims.foo.bar') を使用してアクセスできます。 valueExpression は 1024 文字を超えてはなりません。valueExpression は空であってはなりません。

key

string

key は必須項目であり、追加属性キーとして使用する文字列を指定します。

キーはドメインプレフィックスパス (例:example.org/foo) である必要があります。キーの長さは 510 文字を超えてはなりません。キーには、ドメインとパスの文字を区切る/文字が含まれている必要があります。キーは空であってはなりません。

キーのドメイン部分 (スラッシュ記号/より前の文字列) は、有効な RFC1123 サブドメインでなければなりません。長さは 253 文字以内にする必要があります。英数字で開始および終了する必要があります。小文字の英数字と - または.のみを含める必要があります。予約済みのドメイン kubernetes.io、k8s.io、openshift.io を使用したり、これらのドメインのサブドメインを使用したりしてはなりません。

キーのパス部分 ('/' の後の文字列) は空であってはならず、少なくとも 1 つの英数字、パーセントエンコードされたオクテット、'-'、'.'、'_'、'~'、'!'、'$'、'&'、'''、'('、')'、'*'、'+'、','、';'、'='、および ':' で設定されている必要があります。文字数は 256 文字を超えてはなりません。

valueExpression

string

valueExpression は、JWT トークンのクレームから追加属性値を抽出するための CEL 式を指定する必須フィールドです。valueExpression は文字列または文字列配列の値を生成する必要があります。、[]、null は、追加マッピングが存在しないものとして扱われます。配列内の空の文字列値はフィルタリングされます。

CEL 式は、CEL 変数 claims を介してトークンクレームにアクセスできます。claims は、クレーム名とクレーム値のマッピングです。たとえば、sub クレーム値には claims.sub としてアクセスできます。ネストされたクレームには、ドット表記 ('claims.foo.bar') を使用してアクセスできます。

valueExpression は 1024 文字を超えてはなりません。valueExpression は空であってはなりません。

3.1.8. .spec.oidcProviders[].claimMappings.groups
リンクのコピー

説明

groups はオプションのフィールドで、アイデンティティープロバイダーによって発行された JWT トークン内のクレームからクラスターアイデンティティーのグループをどのように構築するかを設定します。クレームを参照する場合、そのクレームが JWT トークンに含まれている場合は、その値はコンマ (',') で区切られたグループのリストである必要があります。たとえば、"example"、"exampleOne、"exampleTwo、"exampleThree" は有効なクレーム値です。

型

object

必須

claim

Expand

プロパティー型説明

プロパティー	型	説明
`claim`	`string`	claim は必須フィールドであり、JWT トークンのクレームを設定します。このクレームの値は、このマッピングに関連付けられたクラスターアイデンティティーフィールドに割り当てられます。
`prefix`	`string`	prefix はオプションのフィールドで、JWT クレームをクラスターアイデンティティー属性にマッピングするプロセス中に、クラスターアイデンティティー属性に適用されるプレフィックスを設定します。省略した場合 ("")、クラスターアイデンティティー属性に接頭辞は適用されません。例: `プレフィックス` が myoidc: に設定され、JWT の `クレーム` に文字列 a、b、c の配列が含まれている場合、マッピングの結果は文字列 myoidc:a、myoidc:b、myoidc:c の配列になります。

claim

string

claim は必須フィールドであり、JWT トークンのクレームを設定します。このクレームの値は、このマッピングに関連付けられたクラスターアイデンティティーフィールドに割り当てられます。

prefix

string

prefix はオプションのフィールドで、JWT クレームをクラスターアイデンティティー属性にマッピングするプロセス中に、クラスターアイデンティティー属性に適用されるプレフィックスを設定します。

省略した場合 ("")、クラスターアイデンティティー属性に接頭辞は適用されません。

例: プレフィックス が myoidc: に設定され、JWT の クレーム に文字列 a、b、c の配列が含まれている場合、マッピングの結果は文字列 myoidc:a、myoidc:b、myoidc:c の配列になります。

3.1.9. .spec.oidcProviders[].claimMappings.uid
リンクのコピー

説明

uid は、クラスターアイデンティティーの uid を構築するために使用されるクレームマッピングを設定するためのオプションフィールドです。

uid.claim を使用してクレームを指定する場合、それは単一の文字列値でなければなりません。uid.expression を使用する場合、式は単一の文字列値を返す必要があります。

省略すると、ユーザーによる指定なしとみなされ、プラットフォームによってデフォルトが選択されます。デフォルトは、今後変更される可能性があります。現在のデフォルト設定では、sub クレームが使用されます。

型

object

Expand

プロパティー型説明

プロパティー	型	説明
`claim`	`string`	claim は、マッピングで使用される JWT トークンクレームを指定するためのオプションフィールドです。このクレームの値は、このマッピングが関連付けられているフィールドに割り当てられます。クレームまたは式のいずれか一方のみを設定する必要があります。式を設定する場合は、クレームを指定してはいけません。指定されている場合、クレームは少なくとも 1 文字以上 256 文字以下でなければなりません。
`expression`	`string`	expression は、JWT トークンのクレームから文字列値を生成する CEL 式を指定するためのオプションのフィールドです。 CEL 式は、CEL 変数 claims を介してトークンクレームにアクセスできます。claims は、クレーム名とクレーム値のマッピングです。たとえば、sub クレーム値には claims.sub としてアクセスできます。ネストされたクレームには、ドット表記 ('claims.foo.bar') を使用してアクセスできます。クレームまたは式のいずれか一方のみを設定する必要があります。クレームを設定する場合は、式を指定してはいけません。指定する場合、式は少なくとも 1 文字以上 1024 文字以下でなければなりません。

claim

string

claim は、マッピングで使用される JWT トークンクレームを指定するためのオプションフィールドです。このクレームの値は、このマッピングが関連付けられているフィールドに割り当てられます。

クレームまたは式のいずれか一方のみを設定する必要があります。式を設定する場合は、クレームを指定してはいけません。指定されている場合、クレームは少なくとも 1 文字以上 256 文字以下でなければなりません。

expression

string

expression は、JWT トークンのクレームから文字列値を生成する CEL 式を指定するためのオプションのフィールドです。

CEL 式は、CEL 変数 claims を介してトークンクレームにアクセスできます。claims は、クレーム名とクレーム値のマッピングです。たとえば、sub クレーム値には claims.sub としてアクセスできます。ネストされたクレームには、ドット表記 ('claims.foo.bar') を使用してアクセスできます。

クレームまたは式のいずれか一方のみを設定する必要があります。クレームを設定する場合は、式を指定してはいけません。指定する場合、式は少なくとも 1 文字以上 1024 文字以下でなければなりません。

3.1.10. .spec.oidcProviders[].claimMappings.username
リンクのコピー

説明

username は必須フィールドであり、アイデンティティープロバイダーによって発行された JWT トークン内のクレームからクラスターアイデンティティーのユーザー名をどのように構築するかを設定します。

型

object

必須

claim

Expand

プロパティー型説明

プロパティー	型	説明
`claim`	`string`	claim は必須フィールドであり、JWT トークンのクレームを設定します。このクレームの値は、このマッピングに関連付けられたクラスターアイデンティティーフィールドに割り当てられます。クレームは空文字列 ("") であってはならず、256 文字を超えてはなりません。
`prefix`	`object`	prefix は、JWT クレームの値の前に付加するプレフィックスを設定します。 prefixPolicy が Prefix に設定されている場合は prefix を設定する必要があり、それ以外の場合は設定を解除する必要があります。
`接頭辞ポリシー`	`string`	prefixPolicy はオプションのフィールドで、'claim' フィールドで指定された JWT クレームの値にプレフィックスを適用する方法を設定します。許可される値は、Prefix、NoPrefix、および省略 (指定されていないか、空の文字列) です。プレフィックスに設定すると、プレフィックスフィールドで指定された値が JWT クレームの値の先頭に追加されます。prefixPolicy が Prefix の場合、prefix フィールドを設定する必要があります。 NoPrefix に設定すると、JWT クレームの値にプレフィックスは付加されません。省略すると、指定なしとみなされ、プラットフォームによって選択された接頭辞が適用されます。ただし、これは今後変更される可能性があります。現在、プラットフォームは、JWT クレームが email でない場合、JWT クレームの値の前に `{issuerURL}#` を追加します。例として、次のシナリオを考えてみましょう。`プレフィックス` は未設定、`issuerURL` は `https://myoidc.tld` に設定、JWT クレームには username:userA と email: userA@myoidc.tld が含まれ、`クレームは` 次のように設定されます。- username: マップされた値は https://myoidc.tld#userA - email: マップされた値は userA@myoidc.tld

claim

string

claim は必須フィールドであり、JWT トークンのクレームを設定します。このクレームの値は、このマッピングに関連付けられたクラスターアイデンティティーフィールドに割り当てられます。

クレームは空文字列 ("") であってはならず、256 文字を超えてはなりません。

prefix

object

prefix は、JWT クレームの値の前に付加するプレフィックスを設定します。

prefixPolicy が Prefix に設定されている場合は prefix を設定する必要があり、それ以外の場合は設定を解除する必要があります。

接頭辞ポリシー

string

prefixPolicy はオプションのフィールドで、'claim' フィールドで指定された JWT クレームの値にプレフィックスを適用する方法を設定します。

許可される値は、Prefix、NoPrefix、および省略 (指定されていないか、空の文字列) です。

プレフィックスに設定すると、プレフィックスフィールドで指定された値が JWT クレームの値の先頭に追加されます。prefixPolicy が Prefix の場合、prefix フィールドを設定する必要があります。

NoPrefix に設定すると、JWT クレームの値にプレフィックスは付加されません。

省略すると、指定なしとみなされ、プラットフォームによって選択された接頭辞が適用されます。ただし、これは今後変更される可能性があります。現在、プラットフォームは、JWT クレームが email でない場合、JWT クレームの値の前に {issuerURL}# を追加します。例として、次のシナリオを考えてみましょう。プレフィックス は未設定、issuerURL は https://myoidc.tld に設定、JWT クレームには username:userA と email: userA@myoidc.tld が含まれ、クレームは 次のように設定されます。- username: マップされた値は https://myoidc.tld#userA - email: マップされた値は userA@myoidc.tld

3.1.11. .spec.oidcProviders[].claimMappings.username.prefix
リンクのコピー

説明

prefix は、JWT クレームの値の前に付加するプレフィックスを設定します。

prefixPolicy が Prefix に設定されている場合は prefix を設定する必要があり、それ以外の場合は設定を解除する必要があります。

型

object

必須

接頭辞文字列

Expand

プロパティー型説明

プロパティー	型	説明
`接頭辞文字列`	`string`	prefixString は必須フィールドであり、JWT クレームをクラスターアイデンティティー属性にマッピングするプロセス中に、クラスターアイデンティティーユーザー名属性に適用されるプレフィックスを設定します。 prefixString は空文字列 ("") であってはなりません。

接頭辞文字列

string

prefixString は必須フィールドであり、JWT クレームをクラスターアイデンティティー属性にマッピングするプロセス中に、クラスターアイデンティティーユーザー名属性に適用されるプレフィックスを設定します。

prefixString は空文字列 ("") であってはなりません。

3.1.12. .spec.oidcProviders[].claimValidationRules
リンクのコピー

説明

claimValidationRules はオプションのフィールドで、アイデンティティープロバイダーが発行した JWT トークン内のクレームを検証するために Kubernetes API サーバーが使用するルールを設定します。

検証ルールは AND 演算によって結合されます。

型

array

3.1.13. .spec.oidcProviders[].claimValidationRules[]
リンクのコピー

説明
型: object

Expand

プロパティー型説明

プロパティー	型	説明
`必須クレーム`	`object`	requiredClaim はオプションのフィールドで、Kubernetes API サーバーが受信した JWT がこのアイデンティティープロバイダーに対して有効かどうかを検証するために使用する、必須のクレームと値を設定します。
`type`	`string`	type は、検証ルールのタイプを設定するオプションのフィールドです。許可される値は RequiredClaim と省略 (指定されていないか、空の文字列) です。 RequiredClaim に設定すると、Kubernetes API サーバーは、受信した JWT に必須クレームが含まれていること、およびその値が必須値と一致することを検証するように設定されます。デフォルトは RequiredClaim です。

必須クレーム

object

requiredClaim はオプションのフィールドで、Kubernetes API サーバーが受信した JWT がこのアイデンティティープロバイダーに対して有効かどうかを検証するために使用する、必須のクレームと値を設定します。

type

string

type は、検証ルールのタイプを設定するオプションのフィールドです。

許可される値は RequiredClaim と省略 (指定されていないか、空の文字列) です。

RequiredClaim に設定すると、Kubernetes API サーバーは、受信した JWT に必須クレームが含まれていること、およびその値が必須値と一致することを検証するように設定されます。

デフォルトは RequiredClaim です。

3.1.14. .spec.oidcProviders[].claimValidationRules[].requiredClaim
リンクのコピー

説明

requiredClaim はオプションのフィールドで、Kubernetes API サーバーが受信した JWT がこのアイデンティティープロバイダーに対して有効かどうかを検証するために使用する、必須のクレームと値を設定します。

型

object

必須

claim
必須値

Expand

プロパティー型説明

プロパティー	型	説明
`claim`	`string`	claim は必須項目であり、必須クレームの名前を設定します。JWT クレームから取得する場合、クレームは文字列値でなければなりません。クレームは空文字列 ("") であってはなりません。
`必須値`	`string`	requiredValue は必須フィールドであり、受信した JWT クレームから取得される claim が持つべき値を設定します。JWT クレーム内の値が一致しない場合、トークンは認証のために拒否されます。 requiredValue は空文字列 ("") であってはなりません。

claim

string

claim は必須項目であり、必須クレームの名前を設定します。JWT クレームから取得する場合、クレームは文字列値でなければなりません。

クレームは空文字列 ("") であってはなりません。

必須値

string

requiredValue は必須フィールドであり、受信した JWT クレームから取得される claim が持つべき値を設定します。JWT クレーム内の値が一致しない場合、トークンは認証のために拒否されます。

requiredValue は空文字列 ("") であってはなりません。

3.1.15. .spec.oidcProviders[].issuer
リンクのコピー

説明

発行者は必須フィールドであり、プラットフォームがアイデンティティープロバイダーとどのように連携するか、およびアイデンティティープロバイダーから発行されたトークンが Kubernetes API サーバーによってどのように評価されるかを設定します。

型

object

必須

audiences
発行者 URL

Expand

プロパティー型説明

プロパティー	型	説明
`audiences`	`array (string)`	audiences は必須フィールドであり、アイデンティティープロバイダーによって発行される JWT トークンが発行される対象となるオーディエンスを設定します。少なくとも 1 つのエントリーは、JWT トークン内の aud クレームと一致する必要があります。各審査対象作品には最低 1 点、最大 10 点の応募作品を含める必要があります。
`発行者認証局`	`object`	issuerCertificateAuthority はオプションのフィールドで、Kubernetes API サーバーが検出情報を取得する際にアイデンティティープロバイダーへの接続を検証するために使用する認証局を設定します。指定しない場合は、システム信頼が使用されます。指定する場合、それは openshift-config 名前空間内の ConfigMap を参照する必要があり、その ConfigMap のデータフィールドにある ca-bundle.crt キーの下に、PEM エンコードされた CA 証明書が含まれている必要があります。
`発行者 URL`	`string`	issuerURL は必須項目であり、アイデンティティープロバイダーがトークンを発行する際に使用する URL を設定します。Kubernetes API サーバーは、JWT 内の iss クレームを、設定済みのアイデンティティープロバイダーの issuerURL と照合することにより、認証トークンの処理方法を決定します。文字数は 1 文字以上 512 文字以下でなければなりません。有効な URL である必要があり、URL は https スキームを使用し、クエリー、フラグメント、またはユーザーを含まないものでなければなりません。

audiences

array (string)

audiences は必須フィールドであり、アイデンティティープロバイダーによって発行される JWT トークンが発行される対象となるオーディエンスを設定します。少なくとも 1 つのエントリーは、JWT トークン内の aud クレームと一致する必要があります。

各審査対象作品には最低 1 点、最大 10 点の応募作品を含める必要があります。

発行者認証局

object

issuerCertificateAuthority はオプションのフィールドで、Kubernetes API サーバーが検出情報を取得する際にアイデンティティープロバイダーへの接続を検証するために使用する認証局を設定します。

指定しない場合は、システム信頼が使用されます。

指定する場合、それは openshift-config 名前空間内の ConfigMap を参照する必要があり、その ConfigMap のデータフィールドにある ca-bundle.crt キーの下に、PEM エンコードされた CA 証明書が含まれている必要があります。

発行者 URL

string

issuerURL は必須項目であり、アイデンティティープロバイダーがトークンを発行する際に使用する URL を設定します。Kubernetes API サーバーは、JWT 内の iss クレームを、設定済みのアイデンティティープロバイダーの issuerURL と照合することにより、認証トークンの処理方法を決定します。

文字数は 1 文字以上 512 文字以下でなければなりません。有効な URL である必要があり、URL は https スキームを使用し、クエリー、フラグメント、またはユーザーを含まないものでなければなりません。

3.1.16. .spec.oidcProviders[].issuer.issuerCertificateAuthority
リンクのコピー

説明

issuerCertificateAuthority はオプションのフィールドで、Kubernetes API サーバーが検出情報を取得する際にアイデンティティープロバイダーへの接続を検証するために使用する認証局を設定します。

指定しない場合は、システム信頼が使用されます。

指定する場合、それは openshift-config 名前空間内の ConfigMap を参照する必要があり、その ConfigMap のデータフィールドにある ca-bundle.crt キーの下に、PEM エンコードされた CA 証明書が含まれている必要があります。

型

object

必須

name

Expand

プロパティー	型	説明
`name`	`string`	name は、参照される config map の metadata.name です

3.1.17. .spec.oidcProviders[].oidcClients
リンクのコピー

説明: oidcClients は、クラスター上のプラットフォームクライアントがアイデンティティープロバイダーからトークンを要求する方法を設定するオプションのフィールドです。oidcClients には 20 個のエントリーを含めることはできません。また、エントリーには一意の名前空間と名前のペアが必要です。
型: array

3.1.18. .spec.oidcProviders[].oidcClients[]
リンクのコピー

説明

OIDCClientConfig は、プラットフォームクライアントが認証方法としてアイデンティティープロバイダーとどのようにやり取りするかを設定します。

型

object

必須

clientID
componentName
コンポーネント名空間

Expand

プロパティー	型	説明
`clientID`	`string`	clientID は必須フィールドであり、プラットフォームコンポーネントがアイデンティティープロバイダーに対して行う認証要求に使用する、アイデンティティープロバイダーからのクライアント識別子を設定します。プラットフォームコンポーネントがアイデンティティープロバイダーを認証モードとして使用するためには、アイデンティティープロバイダーがこの識別子を受け入れる必要があります。 clientID は空文字列 ("") であってはなりません。
`clientSecret`	`object`	clientSecret はオプションのフィールドで、プラットフォームコンポーネントがアイデンティティープロバイダーに認証要求を行う際に使用するクライアントシークレットを設定します。指定がない場合、アイデンティティープロバイダーへの認証要求を行う際にクライアントシークレットは使用されません。 clientSecret が指定されている場合、'openshift-config' 名前空間内の Secret を参照します。この Secret には、'.data' フィールドの 'clientSecret' キーにクライアントシークレットが含まれています。クライアントシークレットは、アイデンティティープロバイダーへの認証リクエストを行う際に使用されます。パブリッククライアントはクライアントシークレットを必要としませんが、プライベートクライアントはアイデンティティープロバイダーと連携するためにクライアントシークレットを必要とします。
`componentName`	`string`	componentName は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するように設定するプラットフォームコンポーネントの名前を指定します。これは、一意の識別子として componentNamespace と組み合わせて使用されます。 componentName は空文字列 ("") であってはならず、長さは 256 文字を超えてはなりません。
`コンポーネント名空間`	`string`	componentNamespace は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するように設定されているプラットフォームコンポーネントが実行されている名前空間を指定します。これは、コンポーネント名と組み合わせて一意の識別子として使用されます。 componentNamespace は空文字列 ("") であってはならず、長さは 63 文字を超えてはなりません。
`extraScopes`	`array (string)`	extraScopes はオプションのフィールドで、プラットフォームコンポーネントがアイデンティティープロバイダーに認証リクエストを行う際に要求すべき追加スコープを設定します。これは、標準の OIDC スコープを超えて特定のスコープを要求する必要があるクレームマッピングを設定している場合に役立ちます。省略すると、追加のスコープは要求されません。

3.1.19. .spec.oidcProviders[].oidcClients[].clientSecret
リンクのコピー

説明

clientSecret はオプションのフィールドで、プラットフォームコンポーネントがアイデンティティープロバイダーに認証要求を行う際に使用するクライアントシークレットを設定します。

指定がない場合、アイデンティティープロバイダーへの認証要求を行う際にクライアントシークレットは使用されません。

clientSecret が指定されている場合、'openshift-config' 名前空間内の Secret を参照します。この Secret には、'.data' フィールドの 'clientSecret' キーにクライアントシークレットが含まれています。クライアントシークレットは、アイデンティティープロバイダーへの認証リクエストを行う際に使用されます。

パブリッククライアントはクライアントシークレットを必要としませんが、プライベートクライアントはアイデンティティープロバイダーと連携するためにクライアントシークレットを必要とします。

型

object

必須

name

Expand

プロパティー	型	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.20. .spec.webhookTokenAuthenticator
リンクのコピー

説明

webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.io REST API. API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。

"Type" が "None"に設定されている場合にのみ設定できます。

型

object

必須

kubeConfig

Expand

プロパティー型説明

プロパティー	型	説明
`kubeConfig`	`object`	kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。詳細は、以下を参照してください。 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication キー "kubeConfig" はデータを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

kubeConfig

object

kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。

詳細は、以下を参照してください。

https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication

キー "kubeConfig" はデータを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

3.1.21. .spec.webhookTokenAuthenticator.kubeConfig
リンクのコピー

説明

kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。

詳細は、以下を参照してください。

https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication

キー "kubeConfig" はデータを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

型

object

必須

name

Expand

プロパティー	型	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.22. .spec.webhookTokenAuthenticators
リンクのコピー

説明: webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。
型: array

3.1.23. .spec.webhookTokenAuthenticators[]
リンクのコピー

説明: deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの 'required' 検証がありません。
型: object

Expand

プロパティー	型	説明
`kubeConfig`	`object`	kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

3.1.24. .spec.webhookTokenAuthenticators[].kubeConfig
リンクのコピー

説明

kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

型

object

必須

name

Expand

プロパティー	型	説明
`name`	`string`	name は、参照されるシークレットの metadata.name です。

3.1.25. .status
リンクのコピー

説明: status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。
型: object

Expand

プロパティー	型	説明
`integratedOAuthMetadata`	`object`	integratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバー Metadata の検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所 (oc get --raw '/.well-known/oauth-authorization-server') から表示できます。詳細は、IETF ドラフト (https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2) を参照してください。これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー "oauthMetadata" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。
`oidcClients`	`array`	oidcClients は、参加オペレーターが、cluster-admin によってカスタマイズ可能な OIDC クライアントの現在の OIDC クライアントステータスを配置する場所です。
`oidcClients[]`	`object`	OIDCClientStatus は、プラットフォームコンポーネントの現在の状態と、それらが設定済みのアイデンティティープロバイダーとどのように連携するかを表します。

3.1.26. .status.integratedOAuthMetadata
リンクのコピー

説明

integratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバー Metadata の検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所 (oc get --raw '/.well-known/oauth-authorization-server') から表示できます。詳細は、IETF ドラフト (https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2) を参照してください。これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー "oauthMetadata" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

型

object

必須

name

Expand

プロパティー	型	説明
`name`	`string`	name は、参照される config map の metadata.name です

3.1.27. .status.oidcClients
リンクのコピー

説明: oidcClients は、参加オペレーターが、cluster-admin によってカスタマイズ可能な OIDC クライアントの現在の OIDC クライアントステータスを配置する場所です。
型: array

3.1.28. .status.oidcClients[]
リンクのコピー

説明

OIDCClientStatus は、プラットフォームコンポーネントの現在の状態と、それらが設定済みのアイデンティティープロバイダーとどのように連携するかを表します。

型

object

必須

componentName
コンポーネント名空間

Expand

プロパティー	型	説明
`componentName`	`string`	componentName は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するプラットフォームコンポーネントの名前を指定します。これは、一意の識別子として componentNamespace と組み合わせて使用されます。 componentName は空文字列 ("") であってはならず、長さは 256 文字を超えてはなりません。
`コンポーネント名空間`	`string`	componentNamespace は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するプラットフォームコンポーネントが実行されている名前空間を指定します。これは、コンポーネント名と組み合わせて一意の識別子として使用されます。 componentNamespace は空文字列 ("") であってはならず、長さは 63 文字を超えてはなりません。
`conditions`	`array`	条件は、`oidcClients` エントリーの状態を伝えるために使用されます。サポートされている条件には、Available、Degraded、および Progressing が含まれます。 Available が true の場合、コンポーネントは設定済みのクライアントを正常に使用しています。Degraded が true の場合、クライアント設定の処理中に何らかの問題が発生したことを意味します。Progressing が true の場合、コンポーネントが `oidcClients` エントリーに関連する何らかのアクションを実行していることを意味します。
`conditions[]`	`object`	condition には、この API Resource の現在の状態のある側面の詳細が含まれます。
`consumingUsers`	`array (string)`	consumingUsers は、`clientSecret` シークレットに対する読み取り権限を必要とする ServiceAccount のオプションのリストです。消費するユーザーは 5 件を超えてはなりません。
`現在の OIDC クライアント`	`array`	currentOIDCClients は、コンポーネントが現在使用しているクライアントのオプションのリストです。エントリーには、一意の発行者 URL/クライアント ID の組み合わせが必要です。
`currentOIDCClients[]`	`object`	OIDCClientReference は、プラットフォームコンポーネントのクライアント設定への参照です。

3.1.29. .status.oidcClients[].conditions
リンクのコピー

説明

条件は、oidcClients エントリーの状態を伝えるために使用されます。

サポートされている条件には、Available、Degraded、および Progressing が含まれます。

Available が true の場合、コンポーネントは設定済みのクライアントを正常に使用しています。Degraded が true の場合、クライアント設定の処理中に何らかの問題が発生したことを意味します。Progressing が true の場合、コンポーネントが oidcClients エントリーに関連する何らかのアクションを実行していることを意味します。

型

array

3.1.30. .status.oidcClients[].conditions[]
リンクのコピー

説明

condition には、この API Resource の現在の状態のある側面の詳細が含まれます。

型

object

必須

lastTransitionTime
message
reason
status
type

Expand

プロパティー	型	説明
`lastTransitionTime`	`string`	lastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。これは、基本的な条件が変更された時点となります。不明な場合には、API フィールドが変更された時点を使用することも可能です。
`message`	`string`	message は、遷移の詳細を示す人が判読できるメッセージです。空の文字列の場合もあります。
`observedGeneration`	`integer`	observedGeneration は、それをベースに条件が設定された .metadata.generation を表します。たとえば、.metadata.generation が現在 12 で、.status.conditions[x].observedGeneration が 9 の場合、インスタンスの現在の状態に対して条件が古くなっています。
`reason`	`string`	reason には、条件の最後の遷移の理由を示すプログラムによる識別子が含まれます。特定の条件タイプのプロデューサーは、このフィールドの期待値と意味、および値が保証された API と見なされるかどうかを定義できます。値は CamelCase 文字列である必要があります。このフィールドには空白を指定できません。
`status`	`string`	条件のステータス、True、False、Unknown のいずれか。
`type`	`string`	CamelCase または foo.example.com/CamelCase の条件のタイプ。

3.1.31. .status.oidcClients[].currentOIDCClients
リンクのコピー

説明: currentOIDCClients は、コンポーネントが現在使用しているクライアントのオプションのリストです。エントリーには、一意の発行者 URL/クライアント ID の組み合わせが必要です。
型: array

3.1.32. .status.oidcClients[].currentOIDCClients[]
リンクのコピー

説明

OIDCClientReference は、プラットフォームコンポーネントのクライアント設定への参照です。

型

object

必須

clientID
発行者 URL
oidcProviderName

Expand

プロパティー型説明

プロパティー	型	説明
`clientID`	`string`	clientID は必須フィールドであり、プラットフォームコンポーネントがアイデンティティープロバイダーに対して行う認証要求に使用する、アイデンティティープロバイダーからのクライアント識別子を指定します。 clientID は空であってはなりません。
`発行者 URL`	`string`	issuerURL は必須フィールドであり、このクライアントがリクエストを行うように設定されているアイデンティティープロバイダーの URL を指定します。発行者 URL は https スキームを使用する必要があります。
`oidcProviderName`	`string`	oidcProviderName は、このクライアントに関連付けられている 'oidcProviders' で設定されたアイデンティティープロバイダーの名前への必須の参照です。 oidcProviderName は空文字列 ("") であってはなりません。

clientID

string

clientID は必須フィールドであり、プラットフォームコンポーネントがアイデンティティープロバイダーに対して行う認証要求に使用する、アイデンティティープロバイダーからのクライアント識別子を指定します。

clientID は空であってはなりません。

発行者 URL

string

issuerURL は必須フィールドであり、このクライアントがリクエストを行うように設定されているアイデンティティープロバイダーの URL を指定します。

発行者 URL は https スキームを使用する必要があります。

oidcProviderName

string

oidcProviderName は、このクライアントに関連付けられている 'oidcProviders' で設定されたアイデンティティープロバイダーの名前への必須の参照です。

oidcProviderName は空文字列 ("") であってはなりません。

3.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

3.1.1. .specリンクのコピーリンクがクリップボードにコピーされました!

3.1.2. .spec.oauthMetadataリンクのコピーリンクがクリップボードにコピーされました!

3.1.3. .spec.oidcProvidersリンクのコピーリンクがクリップボードにコピーされました!

3.1.4. .spec.oidcProviders[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.5. .spec.oidcProviders[].claimMappingsリンクのコピーリンクがクリップボードにコピーされました!

3.1.6. .spec.oidcProviders[].claimMappings.extraリンクのコピーリンクがクリップボードにコピーされました!

3.1.7. .spec.oidcProviders[].claimMappings.extra[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.8. .spec.oidcProviders[].claimMappings.groupsリンクのコピーリンクがクリップボードにコピーされました!

3.1.9. .spec.oidcProviders[].claimMappings.uidリンクのコピーリンクがクリップボードにコピーされました!

3.1.10. .spec.oidcProviders[].claimMappings.usernameリンクのコピーリンクがクリップボードにコピーされました!

3.1.11. .spec.oidcProviders[].claimMappings.username.prefixリンクのコピーリンクがクリップボードにコピーされました!

3.1.12. .spec.oidcProviders[].claimValidationRulesリンクのコピーリンクがクリップボードにコピーされました!

3.1.13. .spec.oidcProviders[].claimValidationRules[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.14. .spec.oidcProviders[].claimValidationRules[].requiredClaimリンクのコピーリンクがクリップボードにコピーされました!

3.1.15. .spec.oidcProviders[].issuerリンクのコピーリンクがクリップボードにコピーされました!

3.1.16. .spec.oidcProviders[].issuer.issuerCertificateAuthorityリンクのコピーリンクがクリップボードにコピーされました!

3.1.17. .spec.oidcProviders[].oidcClientsリンクのコピーリンクがクリップボードにコピーされました!

3.1.18. .spec.oidcProviders[].oidcClients[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.19. .spec.oidcProviders[].oidcClients[].clientSecretリンクのコピーリンクがクリップボードにコピーされました!

3.1.20. .spec.webhookTokenAuthenticatorリンクのコピーリンクがクリップボードにコピーされました!

3.1.21. .spec.webhookTokenAuthenticator.kubeConfigリンクのコピーリンクがクリップボードにコピーされました!

3.1.22. .spec.webhookTokenAuthenticatorsリンクのコピーリンクがクリップボードにコピーされました!

3.1.23. .spec.webhookTokenAuthenticators[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.24. .spec.webhookTokenAuthenticators[].kubeConfigリンクのコピーリンクがクリップボードにコピーされました!

3.1.25. .statusリンクのコピーリンクがクリップボードにコピーされました!

3.1.26. .status.integratedOAuthMetadataリンクのコピーリンクがクリップボードにコピーされました!

3.1.27. .status.oidcClientsリンクのコピーリンクがクリップボードにコピーされました!

3.1.28. .status.oidcClients[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.29. .status.oidcClients[].conditionsリンクのコピーリンクがクリップボードにコピーされました!

3.1.30. .status.oidcClients[].conditions[]リンクのコピーリンクがクリップボードにコピーされました!

3.1.31. .status.oidcClients[].currentOIDCClientsリンクのコピーリンクがクリップボードにコピーされました!

3.1.32. .status.oidcClients[].currentOIDCClients[]リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.1. 仕様
リンクのコピー

3.1.1. .spec
リンクのコピー

3.1.2. .spec.oauthMetadata
リンクのコピー

3.1.3. .spec.oidcProviders
リンクのコピー

3.1.4. .spec.oidcProviders[]
リンクのコピー

3.1.5. .spec.oidcProviders[].claimMappings
リンクのコピー

3.1.6. .spec.oidcProviders[].claimMappings.extra
リンクのコピー

3.1.7. .spec.oidcProviders[].claimMappings.extra[]
リンクのコピー

3.1.8. .spec.oidcProviders[].claimMappings.groups
リンクのコピー

3.1.9. .spec.oidcProviders[].claimMappings.uid
リンクのコピー

3.1.10. .spec.oidcProviders[].claimMappings.username
リンクのコピー

3.1.11. .spec.oidcProviders[].claimMappings.username.prefix
リンクのコピー

3.1.12. .spec.oidcProviders[].claimValidationRules
リンクのコピー

3.1.13. .spec.oidcProviders[].claimValidationRules[]
リンクのコピー

3.1.14. .spec.oidcProviders[].claimValidationRules[].requiredClaim
リンクのコピー

3.1.15. .spec.oidcProviders[].issuer
リンクのコピー

3.1.16. .spec.oidcProviders[].issuer.issuerCertificateAuthority
リンクのコピー

3.1.17. .spec.oidcProviders[].oidcClients
リンクのコピー

3.1.18. .spec.oidcProviders[].oidcClients[]
リンクのコピー

3.1.19. .spec.oidcProviders[].oidcClients[].clientSecret
リンクのコピー

3.1.20. .spec.webhookTokenAuthenticator
リンクのコピー

3.1.21. .spec.webhookTokenAuthenticator.kubeConfig
リンクのコピー

3.1.22. .spec.webhookTokenAuthenticators
リンクのコピー

3.1.23. .spec.webhookTokenAuthenticators[]
リンクのコピー

3.1.24. .spec.webhookTokenAuthenticators[].kubeConfig
リンクのコピー

3.1.25. .status
リンクのコピー

3.1.26. .status.integratedOAuthMetadata
リンクのコピー

3.1.27. .status.oidcClients
リンクのコピー

3.1.28. .status.oidcClients[]
リンクのコピー

3.1.29. .status.oidcClients[].conditions
リンクのコピー

3.1.30. .status.oidcClients[].conditions[]
リンクのコピー

3.1.31. .status.oidcClients[].currentOIDCClients
リンクのコピー

3.1.32. .status.oidcClients[].currentOIDCClients[]
リンクのコピー