3장. 인증 [config.openshift.io/v1]
- 설명
-
인증은 인증을 위한 클러스터 전체 설정(예: OAuth 및 Webhook 토큰 인증기)을 지정합니다. 인스턴스의 표준 이름은
cluster
입니다. 호환성 수준 1: 최소 12 개월 또는 3 개의 마이너 릴리스 (더 긴 버전) 동안 주요 릴리스 내에서 사용할 수 있습니다. - 유형
-
object
- 필수 항목
-
spec
-
3.1. 사양
속성 | 유형 | 설명 |
---|---|---|
|
| APIVersion은 버전이 지정된 이 오브젝트 표현의 스키마를 정의합니다. 서버는 인식된 스키마를 최신 내부 값으로 변환해야 하며, 인식되지 않는 값을 거부할 수 있습니다. 자세한 내용은 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| kind는 이 오브젝트가 나타내는 REST 리소스에 해당하는 문자열 값입니다. 서버는 클라이언트에서 요청을 제출한 끝점에서 이를 유추할 수 있습니다. CamelCase로 업데이트할 수 없습니다. 자세한 내용은 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| 표준 오브젝트의 메타데이터입니다. 자세한 내용은 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
| spec에는 구성에 대한 사용자 설정 가능 값이 있습니다. |
|
| status에는 클러스터에서 관찰된 값이 포함되어 있습니다. 재정의할 수 없습니다. |
3.1.1. .spec
- 설명
- spec에는 구성에 대한 사용자 설정 가능 값이 있습니다.
- 유형
-
object
속성 | 유형 | 설명 |
---|---|---|
|
| oauthMetadata에는 외부 OAuth 서버의 OAuth 2.0 인증 서버 메타데이터에 대한 검색 끝점 데이터가 포함되어 있습니다. 이 검색 문서는 제공된 위치에서 확인할 수 있습니다. oc get --raw '/.well-known/oauth-authorization-server' 자세한 내용은 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 If oauthMetadata.name is non-empty, this value has precedence over any metadata reference stored in status. "oauthMetadata" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 메타데이터가 제공되지 않습니다. 지정된 메타데이터가 유효하지 않으면 메타데이터가 제공되지 않습니다. 이 구성 맵의 네임스페이스는 openshift-config입니다. |
|
| serviceAccountIssuer는 바인딩된 서비스 계정 토큰 발행자의 식별자입니다. 기본값은 https://kubernetes.default.svc WARNING: 이 필드 업데이트로 인해 이전 발행자 값으로 바인딩된 모든 토큰이 즉시 무효화되지 않습니다. 대신 이전 서비스 계정 발행자가 발행한 토큰은 플랫폼에서 선택한 기간(현재 24h로 설정) 동안 계속 신뢰할 수 있습니다. 이 기간은 시간에 따라 변경될 수 있습니다. 이를 통해 내부 구성 요소가 서비스 중단 없이 새 서비스 계정 발행자를 사용할 수 있습니다. |
|
| type은 사용 중인 클러스터의 사용자 관리 인증 모드를 식별합니다. 특히 로그인 시도에 응답하는 구성 요소를 관리합니다. 기본값은 IntegratedOAuth입니다. |
|
| webhookTokenAuthenticator는 원격 토큰 검토자를 구성합니다. 이러한 원격 인증 Webhook는 tokenreviews.authentication.k8s.io REST API를 통해 전달자 토큰을 확인하는 데 사용할 수 있습니다. 이는 외부 인증 서비스에서 프로비저닝한 전달자 토큰을 준수하는 데 필요합니다. |
|
| webhookTokenAuthenticators는 DEPRECATED이며 설정해도 적용되지 않습니다. |
|
| deprecatedWebhookTokenAuthenticator에는 원격 토큰 인증기에 필요한 구성 옵션이 있습니다. 이는 WebhookTokenAuthenticator와 동일하지만 KubeConfig 필드에 대한 '필수' 검증이 누락되어 있습니다. |
3.1.2. .spec.oauthMetadata
- 설명
- oauthMetadata에는 외부 OAuth 서버의 OAuth 2.0 인증 서버 메타데이터에 대한 검색 끝점 데이터가 포함되어 있습니다. 이 검색 문서는 제공된 위치에서 확인할 수 있습니다. oc get --raw '/.well-known/oauth-authorization-server' 자세한 내용은 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 If oauthMetadata.name is non-empty, this value has precedence over any metadata reference stored in status. "oauthMetadata" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 메타데이터가 제공되지 않습니다. 지정된 메타데이터가 유효하지 않으면 메타데이터가 제공되지 않습니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.
- 유형
-
object
- 필수 항목
-
name
-
속성 | 유형 | 설명 |
---|---|---|
|
| name은 참조된 구성 맵의 metadata.name입니다. |
3.1.3. .spec.webhookTokenAuthenticator
- 설명
- webhookTokenAuthenticator는 원격 토큰 검토자를 구성합니다. 이러한 원격 인증 Webhook는 tokenreviews.authentication.k8s.io REST API를 통해 전달자 토큰을 확인하는 데 사용할 수 있습니다. 이는 외부 인증 서비스에서 프로비저닝한 전달자 토큰을 준수하는 데 필요합니다.
- 유형
-
object
- 필수 항목
-
kubeConfig
-
속성 | 유형 | 설명 |
---|---|---|
|
| kubeconfig는 원격 Webhook 서비스에 액세스하는 방법을 설명하는 kube 구성 파일 데이터가 포함된 시크릿을 참조합니다. 참조된 시크릿의 네임스페이스는 openshift-config입니다. 자세한 내용은 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 키를 사용하여 데이터를 찾습니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 Webhook가 적용되지 않습니다. 지정된 kube 구성 데이터가 유효하지 않으면 Webhook가 적용되지 않습니다. |
3.1.4. .spec.webhookTokenAuthenticator.kubeConfig
- 설명
- kubeconfig는 원격 Webhook 서비스에 액세스하는 방법을 설명하는 kube 구성 파일 데이터가 포함된 시크릿을 참조합니다. 참조된 시크릿의 네임스페이스는 openshift-config입니다. 자세한 내용은 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 키를 사용하여 데이터를 찾습니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 Webhook가 적용되지 않습니다. 지정된 kube 구성 데이터가 유효하지 않으면 Webhook가 적용되지 않습니다.
- 유형
-
object
- 필수 항목
-
name
-
속성 | 유형 | 설명 |
---|---|---|
|
| name은 참조된 보안의 metadata.name입니다. |
3.1.5. .spec.webhookTokenAuthenticators
- 설명
- webhookTokenAuthenticators는 DEPRECATED이며 설정해도 적용되지 않습니다.
- 유형
-
array
3.1.6. .spec.webhookTokenAuthenticators[]
- 설명
- deprecatedWebhookTokenAuthenticator에는 원격 토큰 인증기에 필요한 구성 옵션이 있습니다. 이는 WebhookTokenAuthenticator와 동일하지만 KubeConfig 필드에 대한 '필수' 검증이 누락되어 있습니다.
- 유형
-
object
속성 | 유형 | 설명 |
---|---|---|
|
| kubeconfig에는 원격 Webhook 서비스에 액세스하는 방법을 설명하는 kube 구성 파일 데이터가 포함되어 있습니다. 자세한 내용은 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 키를 사용하여 데이터를 찾습니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 Webhook가 적용되지 않습니다. 지정된 kube 구성 데이터가 유효하지 않으면 Webhook가 적용되지 않습니다. 이 보안의 네임스페이스는 사용 지점에 따라 결정됩니다. |
3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig
- 설명
- kubeconfig에는 원격 Webhook 서비스에 액세스하는 방법을 설명하는 kube 구성 파일 데이터가 포함되어 있습니다. 자세한 내용은 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 키를 사용하여 데이터를 찾습니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 Webhook가 적용되지 않습니다. 지정된 kube 구성 데이터가 유효하지 않으면 Webhook가 적용되지 않습니다. 이 보안의 네임스페이스는 사용 지점에 따라 결정됩니다.
- 유형
-
object
- 필수 항목
-
name
-
속성 | 유형 | 설명 |
---|---|---|
|
| name은 참조된 보안의 metadata.name입니다. |
3.1.8. .status
- 설명
- status에는 클러스터에서 관찰된 값이 포함되어 있습니다. 재정의할 수 없습니다.
- 유형
-
object
속성 | 유형 | 설명 |
---|---|---|
|
| integratedOAuthMetadata에는 클러스터 내 통합 OAuth 서버의 OAuth 2.0 인증 서버 메타데이터에 대한 검색 끝점 데이터가 포함되어 있습니다. 이 검색 문서는 제공된 위치에서 확인할 수 있습니다. oc get --raw '/.well-known/oauth-authorization-server' 자세한 내용은 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 클러스터 상태를 기반으로 관찰된 값이 포함되어 있습니다. spec.oauthMetadata에서 명시적으로 설정된 값이 이 필드보다 우선합니다. 인증 spec.type이 IntegratedOAuth로 설정되지 않은 경우 이 필드는 의미가 없습니다. "oauthMetadata" 키는 데이터를 찾는 데 사용됩니다. 구성 맵 또는 예상 키를 찾을 수 없는 경우 메타데이터가 제공되지 않습니다. 지정된 메타데이터가 유효하지 않으면 메타데이터가 제공되지 않습니다. 이 구성 맵의 네임스페이스는 openshift-config-managed입니다. |
3.1.9. .status.integratedOAuthMetadata
- 설명
- integratedOAuthMetadata에는 클러스터 내 통합 OAuth 서버의 OAuth 2.0 인증 서버 메타데이터에 대한 검색 끝점 데이터가 포함되어 있습니다. 이 검색 문서는 제공된 위치에서 확인할 수 있습니다. oc get --raw '/.well-known/oauth-authorization-server' 자세한 내용은 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 클러스터 상태를 기반으로 관찰된 값이 포함되어 있습니다. spec.oauthMetadata에서 명시적으로 설정된 값이 이 필드보다 우선합니다. 인증 spec.type이 IntegratedOAuth로 설정되지 않은 경우 이 필드는 의미가 없습니다. "oauthMetadata" 키는 데이터를 찾는 데 사용됩니다. 구성 맵 또는 예상 키를 찾을 수 없는 경우 메타데이터가 제공되지 않습니다. 지정된 메타데이터가 유효하지 않으면 메타데이터가 제공되지 않습니다. 이 구성 맵의 네임스페이스는 openshift-config-managed입니다.
- 유형
-
object
- 필수 항목
-
name
-
속성 | 유형 | 설명 |
---|---|---|
|
| name은 참조된 구성 맵의 metadata.name입니다. |