第 2 章 了解身份验证
要使用户与 OpenShift Dedicated 交互,必须首先对集群进行身份验证。身份验证层标识了与 OpenShift Dedicated API 请求关联的用户。然后,授权层使用有关请求用户的信息来确定是否允许该请求。
2.1. 用户
OpenShift Dedicated 中的用户是可以向 OpenShift Dedicated API 发出请求的实体。OpenShift Dedicated User 对象代表操作者,通过向它们或所在的组添加角色为其授予系统中的权限。通常,这代表与 OpenShift Dedicated 交互的开发人员或管理员的帐户。
可能存在的用户类型有几种:
| 用户类型 | 描述 |
|---|---|
|
|
这是大多数交互式 OpenShift Dedicated 用户的类型。常规用户于第一次登录时在系统中自动创建,或者也可通过 API 创建。常规用户通过 |
|
|
许多系统用户在基础架构定义时自动创建,主要用于使基础架构与 API 安全地交互。这包括集群管理员(有权访问一切资源)、特定于一个节点的用户、供路由器和 registry 使用的用户,以及一些其他用户。最后,还有一种 |
|
|
服务帐户是与项目关联的特殊系统用户;有些是首次创建项目时自动创建的,而项目管理员则可为访问项目的内容创建更多的服务帐户。服务帐户通过 |
每一用户必须通过某种形式的身份验证才能访问 OpenShift Dedicated。无身份验证或身份验证无效的 API 请求会被看作为由 anonymous 系统用户发出的请求。经过身份验证后,策略决定用户被授权执行的操作。
