Вопросы к Поиску с Алисой

Примеры ответов Поиска с Алисой

Главная / Технологии / Какие существуют способы аутентификации в Kubernetes через OIDC?

Вопрос для Поиска с Алисой

22 июля

#Kubernetes #OIDC #Аутентификация #Безопасность #Инфраструктура

Какие существуют способы аутентификации в Kubernetes через OIDC?

Алиса

На основе источников, возможны неточности

Как это работает?

Некоторые способы аутентификации в Kubernetes через OIDC:

Использование OIDC-провайдера. docs.selectel.ru С его помощью можно централизованно управлять пользователями и их доступом ко всем сервисам и приложениям, для которых подключён OIDC-провайдер, в том числе и к кластеру Managed Kubernetes. docs.selectel.ru Для аутентификации пользователей по OIDC используются, например, Keycloak или Dex. docs.selectel.ru

Настройка поддержки OIDC в Kubernetes API-сервере. devops.lifeisfile.com Для этого нужно передать определённые параметры: devops.lifeisfile.com

`--oidc-issuer-url — URL-адрес OpenID-провайдера, который будет использоваться для аутентификации. devops.lifeisfile.com

`--oidc-client-id — идентификатор клиента, который был зарегистрирован на стороне провайдера OpenID и идентифицирует кластер Kubernetes. devops.lifeisfile.com

`--oidc-username-claim — название поля, которое содержит имя пользователя в токене OpenID. devops.lifeisfile.com Оно может быть различным в зависимости от провайдера OpenID. devops.lifeisfile.com

`--oidc-groups-claim — название поля, которое содержит список групп пользователя в токене OpenID. devops.lifeisfile.com

`--oidc-ca-file — путь к файлу сертификата корневого удостоверяющего центра. devops.lifeisfile.com

Использование webhooks. devops.lifeisfile.com В этом сценарии каждому пользователю выдаётся токен сторонним поставщиком идентификации. devops.lifeisfile.com При получении запроса кластер запускает webhook и передаёт токен стороннему поставщику для проверки подлинности. devops.lifeisfile.com

Применение аутентифицирующего прокси**. devops.lifeisfile.com Этот подход не требует использования токенов доступа. devops.lifeisfile.com Запросы не направляются напрямую на API-сервер кластера, а отправляются на сторонний сервис — аутентифицирующий прокси. devops.lifeisfile.com Там пользователи должны доказать свою личность. devops.lifeisfile.com Это может быть любым способом, например, имя пользователя и пароль, аппаратный токен или SSH-ключи, настроенные в профиле терминала. devops.lifeisfile.com

docs.selectel.ru

devops.lifeisfile.com

geek-cookbook.funkypenguin.co.nz

docs.oracle.com

vlasov.pro

Найти в Поиске

Примеры полезных ответов Поиска с Алисой на вопросы из разных сфер. Вопросы сгенерированы нейросетью YandexGPT для актуальных тем, которые определяются на базе обобщённых запросов к Поиску с Алисой.

Пожаловаться на контент

Пользовательское соглашение

Связаться с нами

Задать новый вопрос

Как это работает?