2.3. API 인증
OpenShift Container Platform API에 대한 요청은 OAuth 액세스 토큰 또는 X.509 클라이언트 인증서를 사용하여 인증되며 잘못된 인증 정보가 거부되고 익명 요청에는 권한 부여 처리를 위해 가상 사용자 및 그룹 ID가 할당되어 있습니다.
- OAuth 액세스 토큰
-
<namespace_route>/oauth/authorize및<namespace_route>/oauth/token끝점을 사용하여 OpenShift Container Platform OAuth 서버에서 가져옵니다. -
Authorization: Bearer…헤더로 전송됩니다. -
WebSocket 요청의 경우
base64url.bearer.authorization.k8s.io.<base64url-encoded-token>형식의 WebSocket 하위 프로토콜 헤더로 전송됩니다.
-
- X.509 클라이언트 인증서
- API 서버에 대한 HTTPS 연결이 필요합니다.
- 신뢰할 수 있는 인증 기관 번들과 대조하여 API 서버에서 확인합니다.
- API 서버는 인증서를 작성하고 컨트롤러에 분배하여 자체적으로 인증합니다.
유효하지 않은 액세스 토큰 또는 유효하지 않은 인증서가 있는 요청은 401 오류와 함께 인증 계층에서 거부됩니다.
액세스 토큰이나 인증서가 없는 경우 인증 계층은 system:anonymous 가상 사용자 및 system:unauthenticated 가상 그룹을 요청에 할당합니다. 그러면 권한 부여 계층에서 익명 사용자가 할 수 있는 요청(있는 경우)을 결정합니다.
2.3.1. OpenShift Container Platform OAuth 서버 링크 복사링크가 클립보드에 복사되었습니다!
OpenShift Container Platform 컨트롤 플레인에는 내장 OAuth 서버가 포함되어 있습니다. 사용자는 API 인증을 위해 OAuth 액세스 토큰을 가져옵니다.
사용자가 새 OAuth 토큰을 요청하면 OAuth 서버는 구성된 ID 공급자를 사용하여 요청한 사람의 ID를 확인합니다.
그런 다음 해당 ID와 매핑되는 사용자를 결정하고 그 사용자를 위한 액세스 토큰을 만들어 제공합니다.