19장. OAuth [config.openshift.io/v1]

identityProviders

array

identityProviders는 사용자가 자신을 식별할 수 있는 정렬된 방법 목록입니다. 이 목록이 비어 있으면 사용자에 대한 ID가 프로비저닝되지 않습니다.

identityProviders[]

object

IdentityProvider는 인증 정보를 사용하여 인증할 수 있는 ID를 제공합니다.

templates

object

템플릿을 사용하면 로그인 페이지와 같은 페이지를 사용자 지정할 수 있습니다.

tokenConfig

object

tokenConfig에는 권한 부여 및 액세스 토큰 옵션이 포함되어 있습니다.

basicAuth

object

basicauth에는 BasicAuth IdP에 대한 구성 옵션이 포함되어 있습니다.

github

object

GitHub에서 GitHub 자격 증명을 사용하여 사용자 인증 가능

gitlab

object

GitLab에서 GitLab 인증 정보를 사용하여 사용자 인증 가능

google

object

Google에서 Google 인증 정보를 사용하여 사용자 인증 가능

htpasswd

object

htpasswd를 사용하면 HTPasswd 파일을 사용하여 사용자 인증을 통해 인증 정보를 검증할 수 있습니다.

Keystone

object

Keystone에서 keystone 암호 자격 증명을 사용하여 사용자 인증 가능

ldap

object

LDAP에서 LDAP 인증 정보를 사용하여 사용자 인증 가능

mappingMethod

string

mappingMethod는 이 공급자의 ID가 사용자에게 매핑되는 방식을 결정합니다. 기본값은 "claim"입니다.

name

string

name은 이 공급자가 반환하는 ID를 지정하는 데 사용됩니다. - 다른 ID 공급자가 반환한 ID를 고유하고 공유하지 않아야 합니다. - 유효한 경로 세그먼트여야 합니다. name cannot be a valid path segment: name cannot equal "." or ".." or contain "/" or "%" or ":" Ref: https://godoc.org/github.com/openshift/origin/pkg/user/apis/user/validation#ValidateIdentityProviderName

openID

object

OpenID는 OpenID 인증 정보를 사용하여 사용자 인증 가능

requestHeader

object

requestHeader를 사용하면 요청 헤더 자격 증명을 사용한 사용자 인증 가능

type

string

type은 이 항목의 ID 공급자 유형을 식별합니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별 구성 맵에 대한 선택적 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 비어있는 경우 기본 시스템 루트가 사용됩니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

tlsClientCert

object

tlsClientCert는 서버에 연결할 때 제공할 PEM 인코딩 TLS 클라이언트 인증서가 포함된 이름으로 시크릿에 대한 선택적 참조입니다. "tls.crt" 키는 데이터를 찾는 데 사용됩니다. 지정된 및 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 인증서 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

tlsClientKey

object

tlsClientKey는 tlsClientCert에서 참조하는 클라이언트 인증서에 대한 PEM 인코딩 TLS 개인 키가 포함된 이름으로 시크릿에 대한 선택적 참조입니다. "tls.key" 키는 데이터를 찾는 데 사용됩니다. 지정된 및 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 인증서 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

url

string

URL은 연결할 원격 URL입니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별 구성 맵에 대한 선택적 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 비어있는 경우 기본 시스템 루트가 사용됩니다. 이는 hostname이 비어 있지 않은 값으로 설정된 경우에만 구성할 수 있습니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

clientID

string

clientID는 oauth 클라이언트 ID입니다.

clientSecret

object

clientSecret은 oauth 클라이언트 시크릿을 포함하는 이름별로 보안에 필요한 참조입니다. "clientSecret" 키는 데이터를 찾는 데 사용됩니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

hostname

string

hostname은 GitHub Enterprise의 호스팅 인스턴스와 함께 사용할 선택적 도메인(예: "mycompany.com")입니다. /setup/settings#hostname에 구성된 GitHub Enterprise 설정 값과 일치해야 합니다.

조직

배열(문자열)

조직에서 선택적으로 로그인할 수 있는 조직을 제한합니다.

팀

배열(문자열)

팀은 선택적으로 로그인할 수 있는 팀을 제한합니다. 형식은 <org>/<team>입니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별 구성 맵에 대한 선택적 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 비어있는 경우 기본 시스템 루트가 사용됩니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

clientID

string

clientID는 oauth 클라이언트 ID입니다.

clientSecret

object

clientSecret은 oauth 클라이언트 시크릿을 포함하는 이름별로 보안에 필요한 참조입니다. "clientSecret" 키는 데이터를 찾는 데 사용됩니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

url

string

URL은 oauth 서버 기본 URL입니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

clientID

string

clientID는 oauth 클라이언트 ID입니다.

clientSecret

object

clientSecret은 oauth 클라이언트 시크릿을 포함하는 이름별로 보안에 필요한 참조입니다. "clientSecret" 키는 데이터를 찾는 데 사용됩니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

hostedDomain

string

hostedDomain은 로그인을 제한하는 선택적 Google 앱 도메인(예: "mycompany.com")입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

fileData

object

fileData는 htpasswd 파일로 사용할 데이터를 포함하는 이름별 시크릿에 대한 필수 참조입니다. "htpasswd" 키는 데이터를 찾는 데 사용됩니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 htpasswd 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별 구성 맵에 대한 선택적 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 비어있는 경우 기본 시스템 루트가 사용됩니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

domainName

string

keystone v3에는 domainname이 필요합니다.

tlsClientCert

object

tlsClientCert는 서버에 연결할 때 제공할 PEM 인코딩 TLS 클라이언트 인증서가 포함된 이름으로 시크릿에 대한 선택적 참조입니다. "tls.crt" 키는 데이터를 찾는 데 사용됩니다. 지정된 및 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 인증서 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

tlsClientKey

object

tlsClientKey는 tlsClientCert에서 참조하는 클라이언트 인증서에 대한 PEM 인코딩 TLS 개인 키가 포함된 이름으로 시크릿에 대한 선택적 참조입니다. "tls.key" 키는 데이터를 찾는 데 사용됩니다. 지정된 및 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 인증서 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

url

string

URL은 연결할 원격 URL입니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

속성

object

속성은 LDAP 속성을 ID에 매핑

bindDN

string

bindDN은 검색 단계에서 바인딩할 선택적 DN입니다.

bindPassword

object

bindPassword는 검색 단계에서 바인딩할 암호가 포함된 이름별 보안에 대한 선택적 참조입니다. "bindPassword" 키는 데이터를 찾는 데 사용됩니다. 지정된 및 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별 구성 맵에 대한 선택적 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 비어있는 경우 기본 시스템 루트가 사용됩니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

insecure

boolean

비보안( true 인 경우)은 연결이 TLS WARNING를 사용하지 않아야 함을 나타냅니다. URL 스키마 "ldaps://" URL을 "ldaps://" URL을 "ldaps://" URL로 설정하면 안전하지 않은 경우 insecure 가 true 로 설정된 경우에도 "ldap://" URL이 안전하지 않게 연결됩니다. false 인 경우 "ldap://" URL은 https://tools.ietf.org/html/rfc2830 에 지정된 StartTLS를 사용하여 TLS 연결로 업그레이드됩니다.

url

string

URL은 사용할 LDAP 검색 매개변수를 지정하는 RFC 2255 URL입니다. URL 구문은 ldap://host:port/basedn?attribute?scope?filter입니다.

email

배열(문자열)

email은 값을 이메일 주소로 사용해야 하는 속성 목록입니다. 선택 사항입니다. 지정되지 않은 경우 ID에 대한 이메일이 설정되어 있지 않습니다.

id

배열(문자열)

ID는 값을 사용자 ID로 사용해야 하는 속성 목록입니다. 필수 항목입니다. 비어 있지 않은 첫 번째 속성이 사용됩니다. 하나 이상의 속성이 필요합니다. 나열된 어떤 속성에도 값이 없는 경우 인증이 실패합니다. LDAP 표준 ID 속성은 "dn"입니다.

name

배열(문자열)

name은 표시 이름으로 값을 사용해야 하는 속성 목록입니다. 선택 사항입니다. 지정되지 않은 경우 ID LDAP 표준 표시 이름 속성에 대해 표시 이름이 "cn"으로 설정되어 있지 않습니다.

preferredUsername

배열(문자열)

PreferredUsername은 기본 사용자 이름으로 값을 사용해야 하는 속성 목록입니다. LDAP 표준 로그인 속성은 "uid"입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별 구성 맵에 대한 선택적 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 지정되고 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 비어있는 경우 기본 시스템 루트가 사용됩니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

클레임

object

클레임 매핑

clientID

string

clientID는 oauth 클라이언트 ID입니다.

clientSecret

object

clientSecret은 oauth 클라이언트 시크릿을 포함하는 이름별로 보안에 필요한 참조입니다. "clientSecret" 키는 데이터를 찾는 데 사용됩니다. 시크릿 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

extraAuthorizeParameters

오브젝트(문자열)

extraAuthorizeParameters는 권한 부여 요청에 추가할 사용자 지정 매개변수입니다.

extraScopes

배열(문자열)

extraScopes는 표준 "openid" 범위 외에 요청할 모든 범위입니다.

issuer

string

issuer는 OpenID 공급자가 발급자 식별자로 어설션하는 URL입니다. 쿼리 또는 조각 구성 요소 없이 https 체계를 사용해야 합니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

email

배열(문자열)

email은 해당 값을 이메일 주소로 사용해야 하는 클레임 목록입니다. 선택 사항입니다. 지정되지 않은 경우 ID에 대한 이메일이 설정되어 있지 않습니다.

groups

배열(문자열)

그룹은 OIDC 공급자의 그룹을 사용자의 OpenShift와 동기화하는 데 사용해야 하는 클레임 값 목록입니다. 여러 클레임이 지정되는 경우 비어 있지 않은 값이 있는 첫 번째 클레임이 사용됩니다.

name

배열(문자열)

name은 표시 이름으로 값을 사용해야 하는 클레임 목록입니다. 선택 사항입니다. 지정되지 않은 경우 ID에 대한 표시 이름이 설정되어 있지 않습니다.

preferredUsername

배열(문자열)

PreferredUsername은 기본 사용자 이름으로 값을 사용해야 하는 클레임 목록입니다. 지정되지 않은 경우 기본 사용자 이름은 하위 클레임의 값에서 결정됩니다.

name

string

name은 참조된 보안의 metadata.name입니다.

ca

object

CA는 PEM 인코딩 CA 번들이 포함된 이름별로 구성 맵에 대한 필수 참조입니다. 원격 서버에서 제공하는 TLS 인증서의 유효성을 검사하는 신뢰 앵커로 사용됩니다. 특히, 헤더 스푸핑을 방지하기 위해 들어오는 요청을 확인할 수 있습니다. "ca.crt" 키는 데이터를 찾는 데 사용됩니다. 구성 맵 또는 예상 키를 찾을 수 없는 경우 ID 공급자가 적용되지 않습니다. 지정된 ca 데이터가 유효하지 않으면 ID 공급자가 적용되지 않습니다. 이 구성 맵의 네임스페이스는 openshift-config입니다.

challengeURL

string

challengeURL은 WWW-Authenticate 챌린지가 여기에서 리디렉션될 것으로 예상되는 OAuth 클라이언트의 인증되지 않은 요청으로 인증되지 않은 요청을 리디렉션하는 URL입니다. ${url}은 현재 URL로 교체되고 https://www.example.com/sso-login?then=${url} ${query}가 챌린지가 true로 설정된 경우 현재 쿼리 문자열 https://www.example.com/auth-proxy/oauth/authorize?${query} 로 교체됩니다.

clientCommonNames

배열(문자열)

clientCommonNames는 일치하는 항목이 필요한 일반 이름의 선택적 목록입니다. 비어 있는 경우 clientCA 번들에 대해 검증된 모든 클라이언트 인증서가 권한 있는 것으로 간주됩니다.

emailHeaders

배열(문자열)

emailHeaders는 이메일 주소를 확인할 헤더 세트입니다.

headers

배열(문자열)

헤더는 ID 정보를 확인할 헤더 세트입니다.

loginURL

string

loginURL은 대화형 로그인이 예상되는 OAuth 클라이언트의 인증되지 않은 /승인 요청을 리디렉션하는 URL입니다. 여기서 ${url}은 현재 URL로 교체되고, 로그인이 true로 설정된 경우 쿼리 매개변수 https://www.example.com/sso-login?then=${url} ${ query} 에서 안전하도록 이스케이프됩니다.

nameHeaders

배열(문자열)

nameHeaders는 표시 이름을 확인할 헤더 세트입니다.

preferredUsernameHeaders

배열(문자열)

preferredUsernameHeaders는 기본 사용자 이름을 확인할 헤더 세트입니다.

name

string

name은 참조된 구성 맵의 metadata.name입니다.

error

object

오류는 인증 또는 권한 부여 흐름 중에 오류 페이지를 렌더링하는 데 사용할 go 템플릿을 지정하는 보안의 이름입니다. "errors.html" 키는 템플릿 데이터를 찾는 데 사용됩니다. 지정된 경우 시크릿 또는 예상 키를 찾을 수 없는 경우 기본 오류 페이지가 사용됩니다. 지정된 템플릿이 유효하지 않으면 기본 오류 페이지가 사용됩니다. 지정하지 않으면 기본 오류 페이지가 사용됩니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

login

object

login은 로그인 페이지를 렌더링하는 데 사용할 이동 템플릿을 지정하는 시크릿의 이름입니다. "login.html" 키는 템플릿 데이터를 찾는 데 사용됩니다. 지정된 경우 시크릿 또는 예상 키를 찾을 수 없는 경우 기본 로그인 페이지가 사용됩니다. 지정된 템플릿이 유효하지 않으면 기본 로그인 페이지가 사용됩니다. 지정되지 않은 경우 기본 로그인 페이지가 사용됩니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

providerSelection

object

providerSelection은 공급자 선택 페이지를 렌더링하는 데 사용할 이동 템플릿을 지정하는 시크릿의 이름입니다. "providers.html" 키는 템플릿 데이터를 찾는 데 사용됩니다. 지정되고 시크릿 또는 예상 키가 없는 경우 기본 공급자 선택 페이지가 사용됩니다. 지정된 템플릿이 유효하지 않으면 기본 공급자 선택 페이지가 사용됩니다. 지정되지 않은 경우 기본 공급자 선택 페이지가 사용됩니다. 이 시크릿의 네임스페이스는 openshift-config입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

name

string

name은 참조된 보안의 metadata.name입니다.

accessTokenInactivityTimeout

string

accessTokenInactivityTimeout은 클라이언트에서 부여하는 토큰에 대한 토큰 비활성 타임아웃을 정의합니다. 값은 토큰의 연속 사용 간에 발생할 수 있는 최대 시간을 나타냅니다. 이 시간 창에서 사용되지 않으면 토큰이 유효하지 않습니다. 사용자는 토큰이 시간 초과되면 액세스 권한을 얻기 위해 새 토큰을 취득해야 합니다. "5m", "1.5h" 또는 "2h45m"과 같은 유효한 시간 문자열을 사용합니다. 기간 동안 허용되는 최소 값은 300s(5분)입니다. 시간 초과가 클라이언트별로 구성된 경우 해당 값이 우선합니다. 시간 초과 값을 지정하지 않고 클라이언트가 값을 재정의하지 않으면 수명이 될 때까지 토큰이 유효합니다. 경고: 이 값을 변경하여 기존 토큰의 시간 초과는 영향을 받지 않습니다(낮음)

accessTokenInactivityTimeoutSeconds

integer

accessTokenInactivityTimeoutSeconds - DEPRECATED: 이 필드를 설정해도 적용되지 않습니다.

accessTokenMaxAgeSeconds

integer

accessTokenMaxAgeSeconds는 액세스 토큰의 최대 사용 기간을 정의합니다.