第 3 章 Authentication [config.openshift.io/v1]
- 描述
-
身份验证指定了集群范围的身份验证设置(如 OAuth 和 webhook 令牌验证器)。实例的规范名称
为集群。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。 - 类型
-
object - 必填
-
spec
-
3.1. 规格
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
|
| spec 包含用于配置的用户可设置值 |
|
|
| status 包含从集群中观察到的值。它们可能无法被覆盖。 |
3.1.1. .spec
- 描述
- spec 包含用于配置的用户可设置值
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| oauthMetadata 包含外部 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看:oc get --raw '/.well-known/oauth-authorization-server' 以了解更多详情,请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 if oauthMetadata.name is non-empty,这个值优先于状态中存储的元数据引用。键"oauthMetadata"用于查找数据。如果指定且未找到配置映射或预期的键,则不会提供元数据。如果指定的元数据无效,则不会提供元数据。此配置映射的命名空间是 openshift-config。 |
|
|
| serviceAccountIssuer 是绑定服务帐户令牌签发者的标识符。默认值为 https://kubernetes.default.svc WARNING :更新此字段不会立即验证带有之前签发者值的所有绑定令牌。相反,在平台选择的时间期间,上一个服务帐户签发者发布的令牌将继续被信任(当前设置为 24h)。这个时间段可能会随时间变化。这允许内部组件转换新的服务帐户签发者,而无需服务中断。 |
|
|
| Type 标识集群受管,使用面向用户的身份验证模式。具体来说,它管理响应登录尝试的组件。默认为 IntegratedOAuth。 |
|
|
| webhookTokenAuthenticator 配置远程令牌查看器。这些远程身份验证 Webhook 可用于通过 tokenreviews.authentication.k8s.io REST API 验证 bearer 令牌。这需要遵循外部身份验证服务置备的 bearer 令牌。只有将 "Type" 设置为 "None" 时,才能设置。 |
|
|
| webhookTokenAuthenticators 是 DEPRECATED,设置它无效。 |
|
|
| deprecatedWebhookTokenAuthenticator 包含远程令牌验证器所需的配置选项。这与 WebhookTokenAuthenticator 相同,但它在 KubeConfig 字段中缺少 'required' 验证。 |
3.1.2. .spec.oauthMetadata
- 描述
- oauthMetadata 包含外部 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看:oc get --raw '/.well-known/oauth-authorization-server' 以了解更多详情,请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 if oauthMetadata.name is non-empty,这个值优先于状态中存储的元数据引用。键"oauthMetadata"用于查找数据。如果指定且未找到配置映射或预期的键,则不会提供元数据。如果指定的元数据无效,则不会提供元数据。此配置映射的命名空间是 openshift-config。
- 类型
-
object - 必填
-
name
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| name 是引用的配置映射的 metadata.name |
3.1.3. .spec.webhookTokenAuthenticator
- 描述
- webhookTokenAuthenticator 配置远程令牌查看器。这些远程身份验证 Webhook 可用于通过 tokenreviews.authentication.k8s.io REST API 验证 bearer 令牌。这需要遵循外部身份验证服务置备的 bearer 令牌。只有将 "Type" 设置为 "None" 时,才能设置。
- 类型
-
object - 必填
-
kubeConfig
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| kubeconfig 引用包含 kube 配置文件数据的 secret,该 secret 描述了如何访问远程 Webhook 服务。所引用 secret 的命名空间是 openshift-config。详情请查看 :https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 键"kubeConfig"用于查找数据。如果没有找到 secret 或预期密钥,则不会使用 Webhook。如果指定的 kube config 数据无效,则 webhook 不会被遵守。 |
3.1.4. .spec.webhookTokenAuthenticator.kubeConfig
- 描述
- kubeconfig 引用包含 kube 配置文件数据的 secret,该 secret 描述了如何访问远程 Webhook 服务。所引用 secret 的命名空间是 openshift-config。详情请查看 :https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 键"kubeConfig"用于查找数据。如果没有找到 secret 或预期密钥,则不会使用 Webhook。如果指定的 kube config 数据无效,则 webhook 不会被遵守。
- 类型
-
object - 必填
-
name
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| name 是引用的 secret 的 metadata.name |
3.1.5. .spec.webhookTokenAuthenticators
- 描述
- webhookTokenAuthenticators 是 DEPRECATED,设置它无效。
- 类型
-
array
3.1.6. .spec.webhookTokenAuthenticators[]
- 描述
- deprecatedWebhookTokenAuthenticator 包含远程令牌验证器所需的配置选项。这与 WebhookTokenAuthenticator 相同,但它在 KubeConfig 字段中缺少 'required' 验证。
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| kubeconfig 包含 kube 配置文件数据,它们描述了如何访问远程 Webhook 服务。详情请查看 :https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 键"kubeConfig"用于查找数据。如果没有找到 secret 或预期密钥,则不会使用 Webhook。如果指定的 kube config 数据无效,则 webhook 不会被遵守。此 secret 的命名空间由使用点决定。 |
3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig
- 描述
- kubeconfig 包含 kube 配置文件数据,它们描述了如何访问远程 Webhook 服务。详情请查看 :https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 键"kubeConfig"用于查找数据。如果没有找到 secret 或预期密钥,则不会使用 Webhook。如果指定的 kube config 数据无效,则 webhook 不会被遵守。此 secret 的命名空间由使用点决定。
- 类型
-
object - 必填
-
name
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| name 是引用的 secret 的 metadata.name |
3.1.8. .status
- 描述
- status 包含从集群中观察到的值。它们可能无法被覆盖。
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| integratedOAuthMetadata 包含用于集群集成 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看:oc get --raw '/.well-known/oauth-authorization-server'。如需更多详情,请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2,其中包含基于集群状态观察的值。spec.oauthMetadata 中的明确设置的值优先于此字段。如果 authentication spec.type 没有设置为 IntegratedOAuth,则此字段没有意义。键"oauthMetadata"用于查找数据。如果没有找到配置映射或预期的键,则不会提供元数据。如果指定的元数据无效,则不会提供元数据。此配置映射的命名空间是 openshift-config-managed。 |
3.1.9. .status.integratedOAuthMetadata
- 描述
- integratedOAuthMetadata 包含用于集群集成 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看:oc get --raw '/.well-known/oauth-authorization-server'。如需更多详情,请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2,其中包含基于集群状态观察的值。spec.oauthMetadata 中的明确设置的值优先于此字段。如果 authentication spec.type 没有设置为 IntegratedOAuth,则此字段没有意义。键"oauthMetadata"用于查找数据。如果没有找到配置映射或预期的键,则不会提供元数据。如果指定的元数据无效,则不会提供元数据。此配置映射的命名空间是 openshift-config-managed。
- 类型
-
object - 必填
-
name
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| name 是引用的配置映射的 metadata.name |
