第 17 章 OAuth [config.openshift.io/v1]
- 描述
-
OAuth 包含有关 OAuth 的集群范围信息。规范名称
为集群
。它用于配置集成的 OAuth 服务器。只有在顶层身份验证配置类型设置为 IntegratedOAuth 时,才会满足此配置。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。 - 类型
-
object
- 必填
-
spec
-
17.1. 规格
属性 | 类型 | 描述 |
---|---|---|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
| spec 包含用于配置的用户可设置值 |
|
| status 包含从集群中观察到的值。它们可能无法被覆盖。 |
17.1.1. .spec
- 描述
- spec 包含用于配置的用户可设置值
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| identityProviders 是用户标识自身的方式的有序列表。当此列表为空时,不会为用户置备身份。 |
|
| IdentityProvider 为使用凭证进行身份验证的用户提供身份 |
|
| 模板允许您自定义登录页面等页面。 |
|
| tokenConfig 包含授权和访问令牌的选项 |
17.1.2. .spec.identityProviders
- 描述
- identityProviders 是用户标识自身的方式的有序列表。当此列表为空时,不会为用户置备身份。
- 类型
-
array
17.1.3. .spec.identityProviders[]
- 描述
- IdentityProvider 为使用凭证进行身份验证的用户提供身份
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| basicAuth 包含 BasicAuth IdP 的配置选项 |
|
| GitHub 使用 GitHub 凭证启用用户身份验证 |
|
| GitLab 使用 GitLab 凭证启用用户身份验证 |
|
| Google 使用 Google 凭证启用用户身份验证 |
|
| htpasswd 使用 HTPasswd 文件启用用户身份验证来验证凭证 |
|
| Keystone 使用 Keystone 密码凭证启用用户身份验证 |
|
| LDAP 使用 LDAP 凭证启用用户身份验证 |
|
| mappingMethod 决定此提供程序的身份如何映射到用户 Defaults 到 "claim" |
|
| name 用于验证此提供程序返回的身份。- 它必须是唯一的且不由所使用的任何其他身份提供程序共享 - 它必须是有效的路径片段:name cannot equal "." 或 ".."。或者包含 "/" 或 "%" 或 ":" Ref: https://godoc.org/github.com/openshift/origin/pkg/user/apis/user/validation#ValidateIdentityProviderName |
|
| OpenID 启用使用 OpenID 凭证进行用户身份验证 |
|
| requestHeader 使用请求标头凭证启用用户身份验证 |
|
| type 标识此条目的身份提供程序类型。 |
17.1.4. .spec.identityProviders[].basicAuth
- 描述
- basicAuth 包含 BasicAuth IdP 的配置选项
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。 |
|
| tlsClientCert 是按名称对 secret 的可选引用,其中包含连接到服务器时可用的 PEM 编码 TLS 客户端证书。键 "tls.crt" 用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| tlsClientKey 是名称对 secret 的可选引用,其中包含 tlsClientCert 中引用的客户端证书的 PEM 编码 TLS 私钥。"tls.key"键用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| URL 是要连接的远程 URL |
17.1.5. .spec.identityProviders[].basicAuth.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.6. .spec.identityProviders[].basicAuth.tlsClientCert
- 描述
- tlsClientCert 是按名称对 secret 的可选引用,其中包含连接到服务器时可用的 PEM 编码 TLS 客户端证书。键 "tls.crt" 用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.7. .spec.identityProviders[].basicAuth.tlsClientKey
- 描述
- tlsClientKey 是名称对 secret 的可选引用,其中包含 tlsClientCert 中引用的客户端证书的 PEM 编码 TLS 私钥。"tls.key"键用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.8. .spec.identityProviders[].github
- 描述
- GitHub 使用 GitHub 凭证启用用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。这只能在主机名设置为非空值时才进行配置。此配置映射的命名空间是 openshift-config。 |
|
| clientId 是 oauth 客户端 ID |
|
| clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| hostname 是可选域(如 "mycompany.com")用于托管 GitHub Enterprise 实例。它必须与在 /setup/settings"hostname 中配置的 GitHub Enterprise 设置值匹配。 |
|
| 机构(可选)限制允许哪些机构登录 |
|
| 团队(可选)限制允许哪些团队登录。格式为 <org>/<team>。 |
17.1.9. .spec.identityProviders[].github.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。这只能在主机名设置为非空值时才进行配置。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.10. .spec.identityProviders[].github.clientSecret
- 描述
- clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.11. .spec.identityProviders[].gitlab
- 描述
- GitLab 使用 GitLab 凭证启用用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。 |
|
| clientId 是 oauth 客户端 ID |
|
| clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| URL 是 oauth 服务器基本 URL |
17.1.12. .spec.identityProviders[].gitlab.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.13. .spec.identityProviders[].gitlab.clientSecret
- 描述
- clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.14. .spec.identityProviders[].google
- 描述
- Google 使用 Google 凭证启用用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| clientId 是 oauth 客户端 ID |
|
| clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| hostedDomain 是可选的 Google App 域(如 "mycompany.com"),用于限制登录 |
17.1.15. .spec.identityProviders[].google.clientSecret
- 描述
- clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.16. .spec.identityProviders[].htpasswd
- 描述
- htpasswd 使用 HTPasswd 文件启用用户身份验证来验证凭证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| fileData 是按照名称引用 secret,其中包含要用作 htpasswd 文件的数据。"htpasswd"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的 htpasswd 数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
17.1.17. .spec.identityProviders[].htpasswd.fileData
- 描述
- fileData 是按照名称引用 secret,其中包含要用作 htpasswd 文件的数据。"htpasswd"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的 htpasswd 数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.18. .spec.identityProviders[].keystone
- 描述
- Keystone 使用 Keystone 密码凭证启用用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。 |
|
| keystone v3 需要 domainname |
|
| tlsClientCert 是按名称对 secret 的可选引用,其中包含连接到服务器时可用的 PEM 编码 TLS 客户端证书。键 "tls.crt" 用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| tlsClientKey 是名称对 secret 的可选引用,其中包含 tlsClientCert 中引用的客户端证书的 PEM 编码 TLS 私钥。"tls.key"键用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| URL 是要连接的远程 URL |
17.1.19. .spec.identityProviders[].keystone.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.20. .spec.identityProviders[].keystone.tlsClientCert
- 描述
- tlsClientCert 是按名称对 secret 的可选引用,其中包含连接到服务器时可用的 PEM 编码 TLS 客户端证书。键 "tls.crt" 用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.21. .spec.identityProviders[].keystone.tlsClientKey
- 描述
- tlsClientKey 是名称对 secret 的可选引用,其中包含 tlsClientCert 中引用的客户端证书的 PEM 编码 TLS 私钥。"tls.key"键用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。如果指定的证书数据无效,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.22. .spec.identityProviders[].ldap
- 描述
- LDAP 使用 LDAP 凭证启用用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| 属性将 LDAP 属性映射到身份 |
|
| bindDN 是一个在搜索阶段要绑定的可选 DN。 |
|
| bindPassword 是按照名称对 secret 的可选引用,其中包含要在搜索阶段绑定的密码。键"bindPassword"用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。 |
|
|
insecure,如果为 true,则表示连接不应使用 TLS WARNING: Should not be set to |
|
| URL 是 RFC 2255 URL,指定要使用的 LDAP 搜索参数。URL 的语法为: ldap://host:port/basedn?attribute?scope?filter |
17.1.23. .spec.identityProviders[].ldap.attributes
- 描述
- 属性将 LDAP 属性映射到身份
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| email 是属性列表,其值应用作电子邮件地址。可选。如果未指定,则不会为身份设置电子邮件 |
|
| id 是值应用作用户 ID 的属性列表。必需。使用第一个非空属性。至少需要一个属性。如果列出的属性都没有值,身份验证会失败。LDAP 标准身份属性是 "dn" |
|
| name 是属性的列表,其值应用作显示名称。可选。如果未指定,则不会为身份 LDAP 标准显示名称属性设置显示名称"cn" |
|
| preferredUsername 是属性列表,其值应用作首选用户名。LDAP 标准登录属性是"uid" |
17.1.24. .spec.identityProviders[].ldap.bindPassword
- 描述
- bindPassword 是按照名称对 secret 的可选引用,其中包含要在搜索阶段绑定的密码。键"bindPassword"用于查找数据。如果指定且未找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.25. .spec.identityProviders[].ldap.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.26. .spec.identityProviders[].openID
- 描述
- OpenID 启用使用 OpenID 凭证进行用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。 |
|
| 声明映射 |
|
| clientId 是 oauth 客户端 ID |
|
| clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。 |
|
| extraAuthorizeParameters 是添加到授权请求的任何自定义参数。 |
|
| extraScope 除了标准"openid"范围外,还具有请求的任何范围。 |
|
| issuer 是 OpenID 提供程序断言作为其颁发者标识符的 URL。它必须使用没有查询或片段组件的 https 方案。 |
17.1.27. .spec.identityProviders[].openID.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的可选引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。"ca.crt"键用于查找数据。如果指定且未找到配置映射或预期的密钥,则不会满足身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。若为空,则使用默认的系统根证书。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.28. .spec.identityProviders[].openID.claims
- 描述
- 声明映射
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| email 是应将其值用作电子邮件地址的声明列表。可选。如果未指定,则不会为身份设置电子邮件 |
|
| groups 是操作的声明值列表,用于为用户将组从 OIDC 供应商同步到 OpenShift。如果指定了多个声明,则使用第一个带有非空值的声明。 |
|
| name 是应用作显示名称的声明的列表。可选。如果未指定,则不会为身份设置显示名称 |
|
| preferredUsername 是应用作首选用户名的声明列表。如果未指定,则首选用户名由子声明的值决定 |
17.1.29. .spec.identityProviders[].openID.clientSecret
- 描述
- clientSecret 是包含 oauth 客户端 secret 的名称所需的 secret 引用。"clientSecret"键用于查找数据。如果没有找到 secret 或预期密钥,则不会遵守身份提供程序。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.30. .spec.identityProviders[].requestHeader
- 描述
- requestHeader 使用请求标头凭证启用用户身份验证
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的必要引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。具体来说,它允许验证传入的请求以防止标头欺骗。"ca.crt"键用于查找数据。如果没有找到配置映射或预期密钥,则不会遵守身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。此配置映射的命名空间是 openshift-config。 |
|
| challengeURL 是一个 URL,用于将未经身份验证的 /authorize 请求重定向到来自 OAuth 客户端的未验证请求,该请求希望在此处重定向 WWW-Authenticate 质询。${url} 替换为当前的 URL,进行转义,在查询参数 https://www.example.com/sso-login?then=${url} ${query} 替换为当前查询字符串 https://www.example.com/auth-proxy/oauth/authorize?${query} 必需(当 challenge 设置为 true 时)。 |
|
| clientCommonNames 是需要匹配的一个可选名称列表。如果为空,则针对 clientCA 捆绑包验证的任何客户端证书都将被视为权威。 |
|
| emailHeaders 是一组用于检查电子邮件地址的标头 |
|
| 标头是一组用于检查身份信息的标头 |
|
| loginURL 是一个 URL,用于将未经身份验证的 /authorize 请求重定向到来自 OAuth 客户端的 Unauthenticated 请求,预期在此 ${url} 被重定向为当前 URL,进行转义以在查询参数中安全 https://www.example.com/sso-login?then=${url} ${query} 替换为当前查询字符串 https://www.example.com/auth-proxy/oauth/authorize?${query} 必需。 |
|
| nameHeaders 是一组用于检查显示名称的标头 |
|
| preferredUsernameHeaders 是一组用于检查首选用户名的标头 |
17.1.31. .spec.identityProviders[].requestHeader.ca
- 描述
- CA 是包含 PEM 编码 CA 捆绑包的名称对配置映射的必要引用。它被用作信任定位符,以验证远程服务器出示的 TLS 证书。具体来说,它允许验证传入的请求以防止标头欺骗。"ca.crt"键用于查找数据。如果没有找到配置映射或预期密钥,则不会遵守身份提供程序。如果指定的 ca 数据无效,则不会遵守身份提供程序。此配置映射的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的配置映射的 metadata.name |
17.1.32. .spec.templates
- 描述
- 模板允许您自定义登录页面等页面。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| error 是 secret 的名称,用于指定在身份验证或授权流期间用来呈现错误页面的 go 模板。"errors.html"键用于查找模板数据。如果指定且未找到 secret 或预期键,则会使用默认错误页面。如果指定的模板无效,则使用默认错误页面。如果未指定,则使用默认错误页面。此 secret 的命名空间是 openshift-config。 |
|
| login 是 secret 的名称,用于指定用来呈现登录页面的 go 模板。"login.html"密钥用于查找模板数据。如果指定且未找到 secret 或预期密钥,则会使用默认的登录页面。如果指定的模板无效,则使用默认登录页面。如果未指定,则使用默认登录页面。此 secret 的命名空间是 openshift-config。 |
|
| providerSelection 是 secret 的名称,用于指定用来呈现供应商选择页面的 go 模板。"providers.html" 键用于查找模板数据。如果指定且未找到 secret 或预期密钥,则会使用默认供应商选择页面。如果指定模板无效,则使用默认供应商选择页面。如果未指定,则使用默认供应商选择页面。此 secret 的命名空间是 openshift-config。 |
17.1.33. .spec.templates.error
- 描述
- error 是 secret 的名称,用于指定在身份验证或授权流期间用来呈现错误页面的 go 模板。"errors.html"键用于查找模板数据。如果指定且未找到 secret 或预期键,则会使用默认错误页面。如果指定的模板无效,则使用默认错误页面。如果未指定,则使用默认错误页面。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.34. .spec.templates.login
- 描述
- login 是 secret 的名称,用于指定用来呈现登录页面的 go 模板。"login.html"密钥用于查找模板数据。如果指定且未找到 secret 或预期密钥,则会使用默认的登录页面。如果指定的模板无效,则使用默认登录页面。如果未指定,则使用默认登录页面。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.35. .spec.templates.providerSelection
- 描述
- providerSelection 是 secret 的名称,用于指定用来呈现供应商选择页面的 go 模板。"providers.html" 键用于查找模板数据。如果指定且未找到 secret 或预期密钥,则会使用默认供应商选择页面。如果指定模板无效,则使用默认供应商选择页面。如果未指定,则使用默认供应商选择页面。此 secret 的命名空间是 openshift-config。
- 类型
-
object
- 必填
-
name
-
属性 | 类型 | 描述 |
---|---|---|
|
| name 是引用的 secret 的 metadata.name |
17.1.36. .spec.tokenConfig
- 描述
- tokenConfig 包含授权和访问令牌的选项
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| accessTokenInactivityTimeout 为任何客户端授予的令牌定义令牌不活跃超时。该值代表令牌连续使用之间可持续发生的最长时间。如果在这个时时窗口中不使用令牌,则令牌将变为无效。用户将在令牌超时后获取新令牌,以便重新获得访问。使用有效的持续时间字符串,如 "5m", "1.5h" 或 "2h45m"。持续时间允许的最小值为 300s (5 分钟)。如果为每个客户端配置了超时,则该值将具有优先权。如果没有指定超时值,且客户端不会覆盖值,则令牌在其生命周期前有效。警告:通过更改此值,现有令牌的超时时间不会受到影响(降低) |
|
| accessTokenInactivityTimeoutSeconds - DEPRECATED: 设置此字段无效。 |
|
| accessTokenMaxAgeSeconds 定义访问令牌的最长期限 |
17.1.37. .status
- 描述
- status 包含从集群中观察到的值。它们可能无法被覆盖。
- 类型
-
object