第 1 章 身份验证和授权概述
1.1. 关于 OpenShift Container Platform 中的身份验证
为了控制对 OpenShift Container Platform 集群的访问,集群管理员可以配置 用户身份验证,并确保只有批准的用户访问集群。
要与 OpenShift Container Platform 集群交互,用户必须首先以某种方式向 OpenShift Container Platform API 进行身份验证。您可以通过向 OpenShift Container Platform API 的请求中提供 OAuth 访问令牌或 X.509 客户端证书 进行验证。
如果您没有提供有效的访问令牌或证书,则您的请求会未经身份验证,您会收到 HTTP 401 错误。
管理员可以通过以下任务配置身份验证:
- 配置身份提供程序:您可以在 OpenShift Container Platform 中定义任何支持的身份提供程序,并将其添加到集群中。
配置内部 OAuth 服务器 :OpenShift Container Platform control plane 包含内置的 OAuth 服务器,用于决定用户身份来自配置的身份提供程序并创建访问令牌。您可以配置令牌持续时间和不活跃超时,并自定义内部 OAuth 服务器 URL。
注意用户可以 查看和管理归其拥有的 OAuth 令牌。
注册 OAuth 客户端:OpenShift Container Platform 包括几个 默认 OAuth 客户端。您可以 注册和配置其他 OAuth 客户端。
注意当用户为 OAuth 令牌发送请求时,必须指定接收和使用令牌的默认或自定义 OAuth 客户端。
- 使用 Cloud Credentials Operator 管理云供应商凭证:集群组件使用云供应商凭证来获取执行集群相关任务所需的权限。
- 模拟系统管理员用户:您可以通过 模拟系统管理员 用户 来授予用户集群管理员权限。