第1章 認証および認可の概要
1.1. OpenShift Dedicated の認証および認可に関する一般的な用語集
この用語集では、OpenShift Dedicated の認証および認可で使用される一般的な用語を定義します。
- 認証
- 認証は、OpenShift Dedicated クラスターへのアクセスを決定し、認証されたユーザーのみが OpenShift Dedicated クラスターにアクセスできるようにします。
- authorization
- 認可は、要求されたアクションを実行するパーミッションを識別されたユーザーが持っているかどうかを決定します。
- ベアラートークン
-
ベアラートークンは、ヘッダー
Authorization: Bearer <token>で API を認証するために使用されます。
- config map
-
config map は、設定データを Pod に注入する方法を提供します。タイプ
ConfigMapのボリューム内の config map に格納されたデータを参照できます。Pod で実行しているアプリケーションは、このデータを使用できます。 - コンテナー
- ソフトウェアとそのすべての依存関係を構成する軽量で実行可能なイメージ。コンテナーはオペレーティングシステムを仮想化するため、データセンター、パブリッククラウドまたはプライベートクラウド、またはローカルホストでコンテナーを実行できます。
- カスタムリソース (CR)
- CR は Kubernetes API のエクステンションです。
- グループ
- グループはユーザーの集まりです。グループは、一度に複数のユーザーにパーミッションを付与する場合に便利です。
- HTPasswd
- HTPasswd は、HTTP ユーザーの認証用のユーザー名とパスワードを格納するファイルを更新します。
- Keystone
- Keystone は、ID、トークン、カタログ、およびポリシーサービスを提供する Red Hat OpenStack Platform (RHOSP) プロジェクトです。
- Lightweight Directory Access Protocol (LDAP)
- LDAP は、ユーザー情報を照会するプロトコルです。
- namespace
- namespace は、すべてのプロセスから見える特定のシステムリソースを分離します。namespace 内では、その namespace のメンバーであるプロセスのみがそれらのリソースを参照できます。
- node
- ノードは、OpenShift Dedicated クラスター内のワーカーマシンです。ノードは、仮想マシン (VM) または物理マシンのいずれかです。
- OAuth クライアント
- OAuth クライアントは、ベアラートークンを取得するために使用されます。
- OAuth サーバー
- OpenShift Dedicated コントロールプレーンには、設定されたアイデンティティープロバイダーからユーザーのアイデンティティーを決定し、アクセストークンを作成する OAuth サーバーが組み込まれています。
- OpenID Connect
- OpenID Connect は、ユーザーが Single Sign-On (SSO) を使用して OpenID プロバイダーを使用するサイトにアクセスすることを認証するためのプロトコルです。
- Pod
- Pod は、Kubernetes における最小の論理単位です。Pod は、ワーカーノードで実行される 1 つ以上のコンテナーで構成されます。
- 通常ユーザー
- 最初のログイン時または API 経由でクラスター内に自動的に作成されるユーザー。
- リクエストヘッダー
- 要求ヘッダーは、サーバーが要求の応答を追跡できるように、HTTP 要求コンテキストに関する情報を提供するために使用される HTTP ヘッダーです。
- ロールベースのアクセス制御 (RBAC)
- クラスターユーザーとワークロードが、ロールを実行するために必要なリソースにのみアクセスできるようにするための重要なセキュリティーコントロール。
- サービスアカウント
- サービスアカウントは、クラスターコンポーネントまたはアプリケーションによって使用されます。
- システムユーザー
- クラスターのインストール時に自動的に作成されるユーザー。
- ユーザー
- ユーザーは、API に要求を送信できるエンティティーです。
