主页
产品
OpenShift Container Platform
4.19
配置 API
第 3 章 Authentication [config.openshift.io/v1]

第 3 章 Authentication [config.openshift.io/v1]

描述

身份验证指定了集群范围的身份验证设置（如 OAuth 和 webhook 令牌验证器）。实例的规范名称 为集群。

兼容性级别 1：在主发行版本中至少提供 12 个月或 3 个次版本（以更长的时间为准）。

类型

object

必填

spec

3.1. 规格
复制链接

Expand

属性	类型	描述
`apiVersion`	`string`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`string`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
`spec`	`对象`	spec 包含用于配置的用户可设置值
`status`	`对象`	status 包含从集群中观察到的值。它们可能无法被覆盖。

3.1.1. .spec
复制链接

描述: spec 包含用于配置的用户可设置值
类型: object

Expand

属性	类型	描述
`oauthMetadata`	`对象`	oauthMetadata 包含外部 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看：oc get --raw '/.well-known/oauth-authorization-server' 以了解更多详情，请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 if oauthMetadata.name is non-empty，这个值优先于状态中存储的元数据引用。键"oauthMetadata"用于查找数据。如果指定且未找到配置映射或预期的键，则不会提供元数据。如果指定的元数据无效，则不会提供元数据。此配置映射的命名空间是 openshift-config。
`serviceAccountIssuer`	`字符串`	serviceAccountIssuer 是绑定服务帐户令牌签发者的标识符。默认值为 https://kubernetes.default.svc WARNING ：更新此字段不会立即验证带有之前签发者值的所有绑定令牌。相反，在平台选择的时间期间，上一个服务帐户签发者发布的令牌将继续被信任（当前设置为 24h）。这个时间段可能会随时间变化。这允许内部组件转换新的服务帐户签发者，而无需服务中断。
`type`	`字符串`	Type 标识集群受管，使用面向用户的身份验证模式。具体来说，它管理响应登录尝试的组件。默认为 IntegratedOAuth。
`webhookTokenAuthenticator`	`对象`	webhookTokenAuthenticator 配置远程令牌查看器。这些远程身份验证 Webhook 可用于通过 tokenreviews.authentication.k8s.io REST API 验证 bearer 令牌。这需要遵循外部身份验证服务置备的 bearer 令牌。只有将 "Type" 设置为 "None" 时，才能设置。
`webhookTokenAuthenticators`	`array`	webhookTokenAuthenticators 是 DEPRECATED，设置它无效。
`webhookTokenAuthenticators[]`	`对象`	deprecatedWebhookTokenAuthenticator 包含远程令牌验证器所需的配置选项。这与 WebhookTokenAuthenticator 相同，但它在 KubeConfig 字段中缺少 'required' 验证。

3.1.2. .spec.oauthMetadata
复制链接

描述

oauthMetadata 包含外部 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看：oc get --raw '/.well-known/oauth-authorization-server' 以了解更多详情，请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 if oauthMetadata.name is non-empty，这个值优先于状态中存储的元数据引用。键"oauthMetadata"用于查找数据。如果指定且未找到配置映射或预期的键，则不会提供元数据。如果指定的元数据无效，则不会提供元数据。此配置映射的命名空间是 openshift-config。

类型

object

必填

name

Expand

属性	类型	描述
`name`	`字符串`	name 是引用的配置映射的 metadata.name

3.1.3. .spec.webhookTokenAuthenticator
复制链接

描述

webhookTokenAuthenticator 配置远程令牌查看器。这些远程身份验证 Webhook 可用于通过 tokenreviews.authentication.k8s.io REST API 验证 bearer 令牌。这需要遵循外部身份验证服务置备的 bearer 令牌。

只有将 "Type" 设置为 "None" 时，才能设置。

类型

object

必填

kubeConfig

Expand

属性类型描述

属性	类型	描述
`kubeConfig`	`对象`	kubeconfig 引用包含 kube 配置文件数据的 secret，该 secret 描述了如何访问远程 Webhook 服务。所引用 secret 的命名空间是 openshift-config。如需了解更多详细信息，请参阅： https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication "kubeConfig"键用于查找数据。如果没有找到 secret 或预期密钥，则不会使用 Webhook。如果指定的 kube config 数据无效，则 webhook 不会被遵守。

kubeConfig

对象

kubeconfig 引用包含 kube 配置文件数据的 secret，该 secret 描述了如何访问远程 Webhook 服务。所引用 secret 的命名空间是 openshift-config。

"kubeConfig"键用于查找数据。如果没有找到 secret 或预期密钥，则不会使用 Webhook。如果指定的 kube config 数据无效，则 webhook 不会被遵守。

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig
复制链接

描述

kubeconfig 引用包含 kube 配置文件数据的 secret，该 secret 描述了如何访问远程 Webhook 服务。所引用 secret 的命名空间是 openshift-config。

"kubeConfig"键用于查找数据。如果没有找到 secret 或预期密钥，则不会使用 Webhook。如果指定的 kube config 数据无效，则 webhook 不会被遵守。

类型

object

必填

name

Expand

属性	类型	描述
`name`	`字符串`	name 是引用的 secret 的 metadata.name

3.1.5. .spec.webhookTokenAuthenticators
复制链接

描述: webhookTokenAuthenticators 是 DEPRECATED，设置它无效。
类型: array

3.1.6. .spec.webhookTokenAuthenticators[]
复制链接

描述: deprecatedWebhookTokenAuthenticator 包含远程令牌验证器所需的配置选项。这与 WebhookTokenAuthenticator 相同，但它在 KubeConfig 字段中缺少 'required' 验证。
类型: object

Expand

属性	类型	描述
`kubeConfig`	`对象`	kubeconfig 包含 kube 配置文件数据，它们描述了如何访问远程 Webhook 服务。详情请查看：https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 键"kubeConfig"用于查找数据。如果没有找到 secret 或预期密钥，则不会使用 Webhook。如果指定的 kube config 数据无效，则 webhook 不会被遵守。此 secret 的命名空间由使用点决定。

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig
复制链接

描述

kubeconfig 包含 kube 配置文件数据，它们描述了如何访问远程 Webhook 服务。详情请查看：https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 键"kubeConfig"用于查找数据。如果没有找到 secret 或预期密钥，则不会使用 Webhook。如果指定的 kube config 数据无效，则 webhook 不会被遵守。此 secret 的命名空间由使用点决定。

类型

object

必填

name

Expand

属性	类型	描述
`name`	`字符串`	name 是引用的 secret 的 metadata.name

3.1.8. .status
复制链接

描述: status 包含从集群中观察到的值。它们可能无法被覆盖。
类型: object

Expand

属性	类型	描述
`integratedOAuthMetadata`	`对象`	integratedOAuthMetadata 包含用于集群集成 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看：oc get --raw '/.well-known/oauth-authorization-server'。如需更多详情，请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2，其中包含基于集群状态观察的值。spec.oauthMetadata 中的明确设置的值优先于此字段。如果 authentication spec.type 没有设置为 IntegratedOAuth，则此字段没有意义。键"oauthMetadata"用于查找数据。如果没有找到配置映射或预期的键，则不会提供元数据。如果指定的元数据无效，则不会提供元数据。此配置映射的命名空间是 openshift-config-managed。

3.1.9. .status.integratedOAuthMetadata
复制链接

描述

integratedOAuthMetadata 包含用于集群集成 OAuth 服务器的 OAuth 2.0 授权服务器元数据的发现端点数据。此发现文档可从其服务位置查看：oc get --raw '/.well-known/oauth-authorization-server'。如需更多详情，请参阅 IETF Draft: https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2，其中包含基于集群状态观察的值。spec.oauthMetadata 中的明确设置的值优先于此字段。如果 authentication spec.type 没有设置为 IntegratedOAuth，则此字段没有意义。键"oauthMetadata"用于查找数据。如果没有找到配置映射或预期的键，则不会提供元数据。如果指定的元数据无效，则不会提供元数据。此配置映射的命名空间是 openshift-config-managed。

类型

object

必填

name

Expand

属性	类型	描述
`name`	`字符串`	name 是引用的配置映射的 metadata.name

返回顶部

第 3 章 Authentication [config.openshift.io/v1]

3.1. 规格
复制链接

3.1.1. .spec
复制链接

3.1.2. .spec.oauthMetadata
复制链接

3.1.3. .spec.webhookTokenAuthenticator
复制链接

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig
复制链接

3.1.5. .spec.webhookTokenAuthenticators
复制链接

3.1.6. .spec.webhookTokenAuthenticators[]
复制链接

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig
复制链接

3.1.8. .status
复制链接

3.1.9. .status.integratedOAuthMetadata
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章 Authentication [config.openshift.io/v1]

3.1. 规格复制链接链接已复制到粘贴板!

3.1.1. .spec复制链接链接已复制到粘贴板!

3.1.2. .spec.oauthMetadata复制链接链接已复制到粘贴板!

3.1.3. .spec.webhookTokenAuthenticator复制链接链接已复制到粘贴板!

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig复制链接链接已复制到粘贴板!

3.1.5. .spec.webhookTokenAuthenticators复制链接链接已复制到粘贴板!

3.1.6. .spec.webhookTokenAuthenticators[]复制链接链接已复制到粘贴板!

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig复制链接链接已复制到粘贴板!

3.1.8. .status复制链接链接已复制到粘贴板!

3.1.9. .status.integratedOAuthMetadata复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.1. 规格
复制链接

3.1.1. .spec
复制链接

3.1.2. .spec.oauthMetadata
复制链接

3.1.3. .spec.webhookTokenAuthenticator
复制链接

3.1.4. .spec.webhookTokenAuthenticator.kubeConfig
复制链接

3.1.5. .spec.webhookTokenAuthenticators
复制链接

3.1.6. .spec.webhookTokenAuthenticators[]
复制链接

3.1.7. .spec.webhookTokenAuthenticators[].kubeConfig
复制链接

3.1.8. .status
复制链接

3.1.9. .status.integratedOAuthMetadata
复制链接