DexAuthenticator
Scope: Namespaced
При появлении объекта DexAuthenticator в namespace будут созданы:
- Deployment с oauth2-proxy и redis;
- Service, ведущий на Deployment с oauth2-proxy;
- Ingress, который принимает запросы по адресу
https://<applicationDomain>/dex-authenticatorи отправляет их в сторону Service; - Secret’ы, необходимые для доступа к Dex.
Важно! При перезапуске пода с oauth2-proxy с помощью refresh token’а будут получены и сохранены в память redis актуальные access token и id token.
Пример:
apiVersion: deckhouse.io/v1
kind: DexAuthenticator
metadata:
name: app-name
namespace: app-namespace
spec:
applicationDomain: app-name.kube.my-domain.com
sendAuthorizationHeader: false
applicationIngressCertificateSecretName: ingress-tls
applicationIngressClassName: nginx
keepUsersLoggedInFor: 720h
allowedGroups:
- everyone
- admins
whitelistSourceRanges:
- 1.1.1.1/32
- 192.168.0.0/24
- объектspec
Обязательный параметр
- массив строкspec.allowedGroups
Группы, пользователям которых разрешено проходить аутентификацию.
Дополнительно параметр помогает ограничить список групп до тех, которые несут для приложения полезную информацию.
Например, в случае если у пользователя более 50 групп, но приложению Grafana мы хотим передать только определенные 5 групп.
По умолчанию:
All groups are allowed. - строкаspec.applicationDomain
Обязательный параметр
Внешний адрес вашего приложения, с которого пользовательский запрос будет перенаправлен для авторизации в Dex.
Не должен содержать HTTP-схему.
Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationDomain: my-app.domain.com - строкаspec.applicationIngressCertificateSecretName
Имя Secret’а с TLS-сертификатом (от домена
applicationDomain), который используется в Ingress-объекте приложения. Secret должен обязательно находиться в том же namespace, что и DexAuthenticator.Шаблон:
^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$Пример:
applicationIngressCertificateSecretName: ingress-tls - строкаspec.applicationIngressClassName
Обязательный параметр
Название Ingress-класса, которое будет использоваться в Ingress-объекте (должно совпадать с названием Ingress-класса для
applicationDomain).Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationIngressClassName: nginx - строкаspec.keepUsersLoggedInFor
Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).
По умолчанию:
"168h"Пример:
keepUsersLoggedInFor: 24h - объектspec.nodeSelector
Определяет
nodeSelectorдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список
nodeSelector. Поды инстанса унаследуют это поле как есть. - булевый
Флаг, который отвечает за отправку конечному приложению заголовка
Authorization: Bearer.Включать, только если приложение умеет обрабатывать такой заголовок.
- строкаspec.signOutURL
Передайте URL приложения, запросы с которого будут проксированы на URL выхода у
dex-authenticator. - массив объектовspec.tolerations
Определяет
tolerationsдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.
- строкаspec.tolerations.effect
Определяет, какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect’у.
Допустимые значения:
NoSchedule,PreferNoSchedule,NoExecute - строкаspec.tolerations.key
Определяет, какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.
Если ключ не указан (пуст),
operatorдолжен бытьExists, что подразумевает соответствие любымvalueиkey. - строкаspec.tolerations.operator
Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (
Equal) значению или допустимо существование ключа с любым значением.Указание
Existsравносильно допуску любого значения (для value), чтобы под с указанным toleration удовлетворял соответствующему taint’у.По умолчанию:
"Equal"Допустимые значения:
Exists,Equal - целочисленныйspec.tolerations.tolerationSeconds
Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем вытеснить (evict) под с узла, если toleration перестал удовлетворять taint’у (справедливо только для effect
NoExecute, иначе игнорируется).Если не установлено, под не будет вытеснен с узла, если toleration перестал удовлетворять taint. Если установлен в ноль (или отрицателен), под будет вытеснен с узла немедленно, если toleration перестал удовлетворять taint’у.
По умолчанию используется значение «не установлено».
- строкаspec.tolerations.value
Значение, которому должен удовлетворять toleration.
Должно быть пустым, если operator —
Exists.
- массив строкspec.whitelistSourceRanges
Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.
Пример:
whitelistSourceRanges: 192.168.42.0/24- строкаЭлемент массива
Шаблон:
^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$
При появлении объекта DexAuthenticator в namespace будут созданы:
- Deployment с oauth2-proxy и redis;
- Service, ведущий на Deployment с oauth2-proxy;
- Ingress, который принимает запросы по адресу
https://<applicationDomain>/dex-authenticatorи отправляет их в сторону Service; - Secret’ы, необходимые для доступа к Dex.
Важно! При перезапуске пода с oauth2-proxy с помощью refresh token’а будут получены и сохранены в память redis актуальные access token и id token.
Пример:
apiVersion: deckhouse.io/v1
kind: DexAuthenticator
metadata:
name: app-name
namespace: app-namespace
spec:
applicationDomain: app-name.kube.my-domain.com
sendAuthorizationHeader: false
applicationIngressCertificateSecretName: ingress-tls
applicationIngressClassName: nginx
keepUsersLoggedInFor: 720h
allowedGroups:
- everyone
- admins
whitelistSourceRanges:
- 1.1.1.1/32
- 192.168.0.0/24
- объектspec
Обязательный параметр
- массив строкspec.allowedGroups
Группы, пользователям которых разрешено проходить аутентификацию.
Дополнительно параметр помогает ограничить список групп до тех, которые несут для приложения полезную информацию.
Например, в случае если у пользователя более 50 групп, но приложению Grafana мы хотим передать только определенные 5 групп.
По умолчанию:
All groups are allowed. - строкаspec.applicationDomain
Обязательный параметр
Внешний адрес вашего приложения, с которого пользовательский запрос будет перенаправлен для авторизации в Dex.
Не должен содержать HTTP-схему.
Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationDomain: my-app.domain.com - строкаspec.applicationIngressCertificateSecretName
Имя Secret’а с TLS-сертификатом (от домена
applicationDomain), который используется в Ingress-объекте приложения. Secret должен обязательно находиться в том же namespace, что и DexAuthenticator.Шаблон:
^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$Пример:
applicationIngressCertificateSecretName: ingress-tls - строкаspec.applicationIngressClassName
Обязательный параметр
Название Ingress-класса, которое будет использоваться в Ingress-объекте (должно совпадать с названием Ingress-класса для
applicationDomain).Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationIngressClassName: nginx - строкаspec.keepUsersLoggedInFor
Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).
По умолчанию:
"168h"Пример:
keepUsersLoggedInFor: 24h - объектspec.nodeSelector
Определяет
nodeSelectorдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список
nodeSelector. Поды инстанса унаследуют это поле как есть. - булевый
Флаг, который отвечает за отправку конечному приложению заголовка
Authorization: Bearer.Включать, только если приложение умеет обрабатывать такой заголовок.
- строкаspec.signOutURL
Передайте URL приложения, запросы с которого будут проксированы на URL выхода у
dex-authenticator. - массив объектовspec.tolerations
Определяет
tolerationsдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.
- строкаspec.tolerations.effect
Определяет, какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect’у.
Допустимые значения:
NoSchedule,PreferNoSchedule,NoExecute - строкаspec.tolerations.key
Определяет, какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.
Если ключ не указан (пуст),
operatorдолжен бытьExists, что подразумевает соответствие любымvalueиkey. - строкаspec.tolerations.operator
Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (
Equal) значению или допустимо существование ключа с любым значением.Указание
Existsравносильно допуску любого значения (для value), чтобы под с указанным toleration удовлетворял соответствующему taint’у.По умолчанию:
"Equal"Допустимые значения:
Exists,Equal - целочисленныйspec.tolerations.tolerationSeconds
Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем вытеснить (evict) под с узла, если toleration перестал удовлетворять taint’у (справедливо только для effect
NoExecute, иначе игнорируется).Если не установлено, под не будет вытеснен с узла, если toleration перестал удовлетворять taint. Если установлен в ноль (или отрицателен), под будет вытеснен с узла немедленно, если toleration перестал удовлетворять taint’у.
По умолчанию используется значение «не установлено».
- строкаspec.tolerations.value
Значение, которому должен удовлетворять toleration.
Должно быть пустым, если operator —
Exists.
- массив строкspec.whitelistSourceRanges
Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.
Пример:
whitelistSourceRanges: 192.168.42.0/24- строкаЭлемент массива
Шаблон:
^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$
DexClient
Scope: Namespaced
Позволяет приложениям, поддерживающим DC-аутентификацию, взаимодействовать с Dex.
После появления в кластере объекта DexClient:
- в Dex будет зарегистрирован клиент с идентификатором (clientID)
dex-client-<NAME>@<NAMESPACE>, где<NAME>и<NAMESPACE>—metadata.nameиmetadata.namespaceобъекта DexClient соответственно; - в соответствующем namespace будет создан Secret
dex-client-<NAME>(где<NAME>—metadata.nameобъекта DexClient), содержащий пароль доступа к клиенту (clientSecret).
- объектspec
Обязательный параметр
- массив строкspec.allowedGroups
Список групп, участникам которых разрешено подключаться к этому клиенту;
По умолчанию разрешено всем группам.
- массив строкspec.redirectURIs
Список адресов, на которые допустимо редиректить Dex’у после успешного прохождения аутентификации.
Позволяет приложениям, поддерживающим DC-аутентификацию, взаимодействовать с Dex.
После появления в кластере объекта DexClient:
- в Dex будет зарегистрирован клиент с идентификатором (clientID)
dex-client-<NAME>@<NAMESPACE>, где<NAME>и<NAMESPACE>—metadata.nameиmetadata.namespaceобъекта DexClient соответственно; - в соответствующем namespace будет создан Secret
dex-client-<NAME>(где<NAME>—metadata.nameобъекта DexClient), содержащий пароль доступа к клиенту (clientSecret).
- объектspec
Обязательный параметр
- массив строкspec.allowedGroups
Список групп, участникам которых разрешено подключаться к этому клиенту;
По умолчанию разрешено всем группам.
- массив строкspec.redirectURIs
Список адресов, на которые допустимо редиректить Dex’у после успешного прохождения аутентификации.
DexProvider
Scope: Cluster
Описывает конфигурацию подключения стороннего провайдера.
С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.
- объектspec
Обязательный параметр
- объектspec.bitbucketCloud
Параметры провайдера Bitbucket Cloud (можно указывать, только если
type: BitbucketCloud).- строкаspec.bitbucketCloud.clientID
Обязательный параметр
ID приложения, созданного в Bitbucket Cloud (Key).
- строкаspec.bitbucketCloud.clientSecret
Обязательный параметр
Secret приложения, созданного в Bitbucket Cloud (Secret).
- булевыйspec.bitbucketCloud.includeTeamGroups
Включает в список команд все группы команды, в которых состоит пользователь.
Пример групп пользователя с включенной опцией:
groups=["my_team", "my_team/administrators", "my_team/members"]По умолчанию:
false - массив строкspec.bitbucketCloud.teams
Список-фильтр команд, допустимых для приема из Bitbucket Cloud.
Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться успешной.
Токен будет содержать команды пользователя в claim
groups, как и у других провайдеров.
- объектspec.crowd
Параметры провайдера Crowd (можно указывать, только если
type: Crowd).- строкаspec.crowd.baseURL
Обязательный параметр
Адрес Crowd.
Пример:
baseURL: https://crowd.example.com/crowd - строкаspec.crowd.clientID
Обязательный параметр
ID приложения, созданного в Crowd (Application Name).
- строкаspec.crowd.clientSecret
Обязательный параметр
Пароль приложения, созданного в Crowd (Password).
- булевыйspec.crowd.enableBasicAuth
Включает возможность basic-авторизации для Kubernetes API server.
В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом OIDC/Crowd).
Работает только при включенном
publishAPI.Полученные от IdP данные авторизации и групп сохраняются в кэш на 10 секунд.
- массив строкspec.crowd.groups
Список-фильтр групп, допустимых для приема из Crowd.
Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из Crowd.
- строкаspec.crowd.usernamePrompt
Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.
По умолчанию:
"Crowd username"
- строкаspec.displayName
Обязательный параметр
Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.
Если настроен всего один провайдер, страница выбора провайдера показываться не будет.
- объектspec.github
Параметры провайдера GitHub (можно указывать, только если
type: Github).- строкаspec.github.clientID
Обязательный параметр
ID организации на GitHub.
- строкаspec.github.clientSecret
Обязательный параметр
Secret организации на GitHub.
- массив объектовspec.github.orgs
Массив названий организаций в GitHub.
- строкаspec.github.orgs.name
Обязательный параметр
Название организации.
- массив строкspec.github.orgs.teams
Список-фильтр команд, допустимых для приема из GitHub.
Токен пользователя будет содержать пересечение множеств команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все команды из GitHub.
- строкаspec.github.teamNameField
Формат команд, которые будут получены из GitHub.
Если в организации
acmeесть группаSite Reliability Engineers, в случае:Nameбудет получена группа с именем['acme:Site Reliability Engineers'];Slugбудет получена группа с именем['acme:site-reliability-engineers'];Bothбудут получены группы с именами['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].
По умолчанию:
"Name"Допустимые значения:
Name,Slug,Both - булевыйspec.github.useLoginAsID
Позволяет вместо использования внутреннего GitHub ID использовать имя пользователя.
- объектspec.gitlab
Параметры провайдера GitLab (можно указывать, только если
type: Gitlab).- строкаspec.gitlab.baseURL
Адрес GitLab.
Пример:
baseURL: https://gitlab.example.com - строкаspec.gitlab.clientID
Обязательный параметр
ID приложения, созданного в GitLab (Application ID).
- строкаspec.gitlab.clientSecret
Обязательный параметр
Secret приложения, созданного в GitLab (Secret).
- массив строкspec.gitlab.groups
Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.
Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из GitLab.
- булевыйspec.gitlab.useLoginAsID
Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.
- объектspec.ldap
Параметры провайдера LDAP.
- строкаspec.ldap.bindDN
Путь до сервис-аккаунта приложения в LDAP.
Пример:
bindDN: uid=serviceaccount,cn=users,dc=example,dc=com - строкаspec.ldap.bindPW
Пароль для сервис-аккаунта приложения в LDAP.
Пример:
bindPW: password - объектspec.ldap.groupSearch
Настройки фильтра для поиска групп для указанного пользователя.
Подробнее о процессе фильтрации…
- строкаspec.ldap.groupSearch.baseDN
Обязательный параметр
Откуда будет начат поиск групп
Пример:
baseDN: cn=users,dc=example,dc=com - строкаspec.ldap.groupSearch.filter
Фильтр для директории с группами.
Пример:
filter: "(objectClass=person)" - строкаspec.ldap.groupSearch.nameAttr
Обязательный параметр
Имя атрибута, в котором хранится уникальное имя группы.
Пример:
nameAttr: name - массив объектовspec.ldap.groupSearch.userMatchers
Обязательный параметр
Список сопоставлений атрибута имени юзера с именем группы.
- строкаspec.ldap.groupSearch.userMatchers.groupAttr
Обязательный параметр
Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.
Пример:
groupAttr: member - строкаspec.ldap.groupSearch.userMatchers.userAttr
Обязательный параметр
Имя атрибута, в котором хранится имя пользователя.
Пример:
userAttr: uid
- строкаspec.ldap.host
Обязательный параметр
Адрес и порт (опционально) LDAP-сервера.
Пример:
host: ldap.example.com:636 - булевыйspec.ldap.insecureNoSSL
Подключаться к каталогу LDAP не по защищенному порту.
По умолчанию:
false - булевыйspec.ldap.insecureSkipVerify
Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.
По умолчанию:
false - строкаspec.ldap.rootCAData
Цепочка CA в формате PEM, используемая для валидации TLS.
Пример:
rootCAData: | -----BEGIN CERTIFICATE----- MIIFaDC... -----END CERTIFICATE----- - объектspec.ldap.userSearch
Обязательный параметр
Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).
Подробнее о процессе фильтрации…
- строкаspec.ldap.userSearch.baseDN
Обязательный параметр
Откуда будет начат поиск пользователей.
Пример:
baseDN: cn=users,dc=example,dc=com - строкаspec.ldap.userSearch.emailAttr
Обязательный параметр
Имя атрибута, из которого будет получен email пользователя.
Пример:
emailAttr: mail - строкаspec.ldap.userSearch.filter
Позволяет добавить фильтр для директории с пользователями.
Пример:
filter: "(objectClass=person)" - строкаspec.ldap.userSearch.idAttr
Обязательный параметр
Имя атрибута, из которого будет получен ID пользователя.
Пример:
idAttr: uid - строкаspec.ldap.userSearch.nameAttr
Атрибут отображаемого имени пользователя.
Пример:
nameAttr: name - строкаspec.ldap.userSearch.username
Обязательный параметр
Имя атрибута, из которого будет получен username пользователя.
Пример:
username: uid
- строкаspec.ldap.usernamePrompt
Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.
По умолчанию:
"LDAP username"Пример:
usernamePrompt: SSO Username
- объектspec.oidc
Параметры провайдера OIDC (можно указывать, только если
type: OIDC).- булевыйspec.oidc.basicAuthUnsupported
Использовать POST-запросы для общения с провайдером вместо добавления токена в Basic Authorization header.
В большинстве случаев Dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.
По умолчанию:
false - объектspec.oidc.claimMapping
Некоторые провайдеры возвращают нестандартные claim’ы (например, mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.
Dex может преобразовать нестандартный claim в стандартный, только если id_token, полученный от OIDC-провайдера, не содержит аналогичный стандартный claim.
- строкаspec.oidc.claimMapping.email
Claim, который будет использован для получения email пользователя.
По умолчанию:
"email" - строкаspec.oidc.claimMapping.groups
Claim, который будет использован для получения групп пользователя.
По умолчанию:
"groups" - строкаspec.oidc.claimMapping.preferred_username
Claim, который будет использован для получения предпочтительного имени пользователя.
По умолчанию:
"preferred_username"
- булевыйspec.oidc.claimMappingOverride
Если включено, сопоставление claim’ов (
claimMapping) будет переопределять стандартные claim’ы OIDC.По умолчанию сопоставление claim’ов будет использоваться только в том случае, если стандартные claim’ы OIDC отсутствуют, например, если в id_token нет claim’а
email, будет использоватьсяclaimMapping.email.По умолчанию:
false - строкаspec.oidc.clientID
Обязательный параметр
ID приложения, созданного в OIDC-провайдере.
- строкаspec.oidc.clientSecret
Обязательный параметр
Пароль приложения, созданного в OIDC-провайдере.
- булевыйspec.oidc.enableBasicAuth
Включает возможность basic-авторизации для Kubernetes API server.
В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в OIDC (возможно включить при указании только одного провайдера с типом OIDC/Crowd).
Работает только при включенном параметре publishAPI.
Полученные от IdP данные авторизации и групп сохраняются в кэш на 10 секунд.
- булевыйspec.oidc.getUserInfo
Запрашивать дополнительные данные об успешно подключенном пользователе.
По умолчанию:
false - булевыйspec.oidc.insecureSkipEmailVerified
Игнорировать информацию о статусе подтверждения email пользователя.
Как именно подтверждается email, решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден email или нет.
По умолчанию:
false - булевыйspec.oidc.insecureSkipVerify
Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.
По умолчанию:
false - строкаspec.oidc.issuer
Обязательный параметр
Адрес OIDC-провайдера.
Пример:
issuer: https://accounts.google.com - строкаspec.oidc.promptType
Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.
По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.
По умолчанию:
"consent" - строкаspec.oidc.rootCAData
Цепочка CA в формате PEM, используемая для валидации TLS.
Пример:
rootCAData: | -----BEGIN CERTIFICATE----- MIIFaDC... -----END CERTIFICATE----- - массив строкspec.oidc.scopes
Список полей для включения в ответ при запросе токена.
По умолчанию:
["openid","profile","email","groups","offline_access"] - строкаspec.oidc.userIDKey
Claim, который будет использован для получения ID пользователя.
По умолчанию:
"sub" - строкаspec.oidc.userNameKey
Claim, который будет использован для получения имени пользователя.
По умолчанию:
"name"
- строкаspec.type
Обязательный параметр
Тип внешнего провайдера.
Допустимые значения:
Github,Gitlab,BitbucketCloud,Crowd,OIDC,LDAP
Описывает конфигурацию подключения стороннего провайдера.
С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.
- объектspec
Обязательный параметр
- объектspec.bitbucketCloud
Параметры провайдера Bitbucket Cloud (можно указывать, только если
type: BitbucketCloud).- строкаspec.bitbucketCloud.clientID
Обязательный параметр
ID приложения, созданного в Bitbucket Cloud (Key).
- строкаspec.bitbucketCloud.clientSecret
Обязательный параметр
Secret приложения, созданного в Bitbucket Cloud (Secret).
- булевыйspec.bitbucketCloud.includeTeamGroups
Включает в список команд все группы команды, в которых состоит пользователь.
Пример групп пользователя с включенной опцией:
groups=["my_team", "my_team/administrators", "my_team/members"]По умолчанию:
false - массив строкspec.bitbucketCloud.teams
Список-фильтр команд, допустимых для приема из Bitbucket Cloud.
Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться успешной.
Токен будет содержать команды пользователя в claim
groups, как и у других провайдеров.
- объектspec.crowd
Параметры провайдера Crowd (можно указывать, только если
type: Crowd).- строкаspec.crowd.baseURL
Обязательный параметр
Адрес Crowd.
Пример:
baseURL: https://crowd.example.com/crowd - строкаspec.crowd.clientID
Обязательный параметр
ID приложения, созданного в Crowd (Application Name).
- строкаspec.crowd.clientSecret
Обязательный параметр
Пароль приложения, созданного в Crowd (Password).
- булевыйspec.crowd.enableBasicAuth
Включает возможность basic-авторизации для Kubernetes API server.
В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом OIDC/Crowd).
Работает только при включенном
publishAPI.Полученные от IdP данные авторизации и групп сохраняются в кэш на 10 секунд.
- массив строкspec.crowd.groups
Список-фильтр групп, допустимых для приема из Crowd.
Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из Crowd.
- строкаspec.crowd.usernamePrompt
Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.
По умолчанию:
"Crowd username"
- строкаspec.displayName
Обязательный параметр
Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.
Если настроен всего один провайдер, страница выбора провайдера показываться не будет.
- объектspec.github
Параметры провайдера GitHub (можно указывать? только если
type: Github).- строкаspec.github.clientID
Обязательный параметр
ID организации на GitHub.
- строкаspec.github.clientSecret
Обязательный параметр
Secret организации на GitHub.
- массив объектовspec.github.orgs
Массив названий организаций в GitHub.
- строкаspec.github.orgs.name
Обязательный параметр
Название организации.
- массив строкspec.github.orgs.teams
Список команд, допустимых для приема из GitHub.
Токен пользователя будет содержать объединенное множество команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все команды из GitHub.
- строкаspec.github.teamNameField
Формат команд, которые будут получены из GitHub.
Если в организации
acmeесть группаSite Reliability Engineers, в случае:nameбудет получена группа с именем['acme:Site Reliability Engineers'];slugбудет получена группа с именем['acme:site-reliability-engineers'];bothбудут получены группы с именами['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].
По умолчанию:
"name"Допустимые значения:
name,slug,both - булевыйspec.github.useLoginAsID
Позволяет вместо использования внутреннего GitHub ID использовать имя пользователя.
- объектspec.gitlab
Параметры провайдера GitLab (можно указывать, только если
type: Gitlab).- строкаspec.gitlab.baseURL
Адрес GitLab.
Пример:
baseURL: https://gitlab.example.com - строкаspec.gitlab.clientID
Обязательный параметр
ID приложения, созданного в GitLab (Application ID).
- строкаspec.gitlab.clientSecret
Обязательный параметр
Secret приложения, созданного в GitLab (Secret).
- массив строкspec.gitlab.groups
Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.
Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из GitLab.
- булевыйspec.gitlab.useLoginAsID
Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.
- объектspec.ldap
Параметры провайдера LDAP.
- строкаspec.ldap.bindDN
Путь до сервис-аккаунта приложения в LDAP.
Пример:
bindDN: uid=serviceaccount,cn=users,dc=example,dc=com - строкаspec.ldap.bindPW
Пароль для сервис-аккаунта приложения в LDAP.
Пример:
bindPW: password - объектspec.ldap.groupSearch
Настройки фильтра для поиска групп для указанного пользователя.
Подробнее о процессе фильтрации…
- строкаspec.ldap.groupSearch.baseDN
Обязательный параметр
Откуда будет начат поиск групп
Пример:
baseDN: cn=users,dc=example,dc=com - строкаspec.ldap.groupSearch.filter
Фильтр для директории с группами.
Пример:
filter: "(objectClass=person)" - строкаspec.ldap.groupSearch.nameAttr
Обязательный параметр
Имя атрибута, в котором хранится уникальное имя группы.
Пример:
nameAttr: name - массив объектовspec.ldap.groupSearch.userMatchers
Обязательный параметр
Список сопоставлений атрибута имени юзера с именем группы.
- строкаspec.ldap.groupSearch.userMatchers.groupAttr
Обязательный параметр
Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.
Пример:
groupAttr: member - строкаspec.ldap.groupSearch.userMatchers.userAttr
Обязательный параметр
Имя атрибута, в котором хранится имя пользователя.
Пример:
userAttr: uid
- строкаspec.ldap.host
Обязательный параметр
Адрес и порт (опционально) LDAP-сервера.
Пример:
host: ldap.example.com:636 - булевыйspec.ldap.insecureNoSSL
Подключаться к каталогу LDAP не по защищенному порту.
По умолчанию:
false - булевыйspec.ldap.insecureSkipVerify
Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.
По умолчанию:
false - строкаspec.ldap.rootCAData
Цепочка CA в формате PEM, используемая для валидации TLS.
Пример:
rootCAData: | -----BEGIN CERTIFICATE----- MIIFaDC... -----END CERTIFICATE----- - объектspec.ldap.userSearch
Обязательный параметр
Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).
Подробнее о процессе фильтрации…
- строкаspec.ldap.userSearch.baseDN
Обязательный параметр
Откуда будет начат поиск пользователей.
Пример:
baseDN: cn=users,dc=example,dc=com - строкаspec.ldap.userSearch.emailAttr
Обязательный параметр
Имя атрибута, из которого будет получен email пользователя.
Пример:
emailAttr: mail - строкаspec.ldap.userSearch.filter
Позволяет добавить фильтр для директории с пользователями.
Пример:
filter: "(objectClass=person)" - строкаspec.ldap.userSearch.idAttr
Обязательный параметр
Имя атрибута, из которого будет получен ID пользователя.
Пример:
idAttr: uid - строкаspec.ldap.userSearch.nameAttr
Атрибут отображаемого имени пользователя.
Пример:
nameAttr: name - строкаspec.ldap.userSearch.username
Обязательный параметр
Имя атрибута, из которого будет получен username пользователя.
Пример:
username: uid
- строкаspec.ldap.usernamePrompt
Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.
По умолчанию:
"LDAP username"Пример:
usernamePrompt: SSO Username
- объектspec.oidc
Параметры провайдера OIDC (можно указывать, только если
type: OIDC).- булевыйspec.oidc.basicAuthUnsupported
Использовать POST-запросы для общения с провайдером вместо добавления токена в Basic Authorization header.
В большинстве случаев Dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.
По умолчанию:
false - объектspec.oidc.claimMapping
Некоторые провайдеры возвращают нестандартные claim’ы (например, mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.
Dex может преобразовать нестандартный claim в стандартный, только если id_token, полученный от OIDC-провайдера, не содержит аналогичный стандартный claim.
- строкаspec.oidc.claimMapping.email
Claim, который будет использован для получения email пользователя.
По умолчанию:
"email" - строкаspec.oidc.claimMapping.groups
Claim, который будет использован для получения групп пользователя.
По умолчанию:
"groups" - строкаspec.oidc.claimMapping.preferred_username
Claim, который будет использован для получения предпочтительного имени пользователя.
По умолчанию:
"preferred_username"
- булевыйspec.oidc.claimMappingOverride
Если включено, сопоставление claim’ов (
claimMapping) будет переопределять стандартные claim’ы OIDC.По умолчанию сопоставление claim’ов будет использоваться только в том случае, если стандартные claim’ы OIDC отсутствуют, например, если в id_token нет claim’а
email, будет использоватьсяclaimMapping.email.По умолчанию:
false - строкаspec.oidc.clientID
Обязательный параметр
ID приложения, созданного в OIDC-провайдере.
- строкаspec.oidc.clientSecret
Обязательный параметр
Пароль приложения, созданного в OIDC-провайдере.
- булевыйspec.oidc.enableBasicAuth
Включает возможность basic-авторизации для Kubernetes API server.
В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в OIDC (возможно включить при указании только одного провайдера с типом OIDC/Crowd).
Работает только при включенном параметре publishAPI.
Полученные от IdP данные авторизации и групп сохраняются в кэш на 10 секунд.
- булевыйspec.oidc.getUserInfo
Запрашивать дополнительные данные об успешно подключенном пользователе.
По умолчанию:
false - булевыйspec.oidc.insecureSkipEmailVerified
Игнорировать информацию о статусе подтверждения email пользователя.
Как именно подтверждается email, решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден email или нет.
По умолчанию:
false - булевыйspec.oidc.insecureSkipVerify
Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.
По умолчанию:
false - строкаspec.oidc.issuer
Обязательный параметр
Адрес OIDC-провайдера.
Пример:
issuer: https://accounts.google.com - строкаspec.oidc.promptType
Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.
По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.
По умолчанию:
"consent" - строкаspec.oidc.rootCAData
Цепочка CA в формате PEM, используемая для валидации TLS.
Пример:
rootCAData: | -----BEGIN CERTIFICATE----- MIIFaDC... -----END CERTIFICATE----- - массив строкspec.oidc.scopes
Список полей для включения в ответ при запросе токена.
По умолчанию:
["openid","profile","email","groups","offline_access"] - строкаspec.oidc.userIDKey
Claim, который будет использован для получения ID пользователя.
По умолчанию:
"sub" - строкаspec.oidc.userNameKey
Claim, который будет использован для получения имени пользователя.
По умолчанию:
"name"
- строкаspec.type
Обязательный параметр
Тип внешнего провайдера.
Допустимые значения:
Github,Gitlab,BitbucketCloud,Crowd,OIDC,LDAP
Group
Scope: Cluster
Version: v1alpha1
Содержит информацию о статических группах.
- объектspec
Обязательный параметр
- массив объектовspec.members
Обязательный параметр
Список членов группы.
- строкаspec.members.kind
Обязательный параметр
Тип члена группы.
Допустимые значения:
User,Group - строкаspec.members.name
Обязательный параметр
Имя пользователя (члена группы) или название группы (члена группы).
- строкаspec.name
Обязательный параметр
Уникальное имя группы.
- объектspec.status
- массив объектовspec.status.errors
- строкаspec.status.errors.message
- объектspec.status.errors.objectRef
- строкаspec.status.errors.objectRef.kind
Допустимые значения:
User,Group - строкаspec.status.errors.objectRef.name
User
Scope: Cluster
Содержит информацию о статическом пользователе.
- объектspec
Обязательный параметр
- строкаspec.email
Обязательный параметр
Email пользователя.
Важно! При использовании совместно с модулем user-authz, для выдачи прав конкретному пользователю в качестве имени пользователя в CR ClusterAuthorizationRule необходимо указывать
email.Пример:
email: user@domain.com - массив строкspec.groupsПараметр устарел
Список групп, в которых у пользователя есть членство.
Т.к. параметр устарел, добавление пользователя в группы теперь осуществляется через ресурс Group.
- строкаspec.password
Обязательный параметр
Хэш пароля пользователя в явном виде или закодированный в Base64.
Для получения хэша пароля в Base64 можно воспользоваться командой
echo "<PASSWORD>" | htpasswd -BinC 10 "" | cut -d: -f2 | base64 -w0. Также можно воспользоваться онлайн-сервисом (например, https://bcrypt-generator.com/).Пример:
password: JDJ5JDEwJE9HN1lOOUhnOXU5NmY2cGp4R3NIcS56NWQuOVQxQ0VrdWIud3BRdVJ5Sy5QQU5INlpKNDguCgo= - строкаspec.ttl
Время жизни учетной записи пользователя (TTL).
Задаётся в виде строки с указанием часов и минут: 30m, 1h, 2h30m, 24h.
Указать TTL можно только 1 раз. При повторном изменении TTL, дата
expireAtне обновляется.Шаблон:
^([0-9]+h([0-9]+m)?|[0-9]+m)$Пример:
ttl: 24h - строкаspec.userIDПараметр устарел
Уникальное имя (ID) пользователя.
Больше не используется. Заполняется автоматический.
Содержит информацию о статическом пользователе.
- объектspec
Обязательный параметр
- строкаspec.email
Обязательный параметр
Email пользователя.
Важно! При использовании совместно с модулем user-authz для выдачи прав конкретному пользователю в качестве имени пользователя в custom resource ClusterAuthorizationRule необходимо указывать
email.Пример:
email: user@domain.com - массив строкspec.groupsПараметр устарел
Список групп, в которых у пользователя есть членство.
Т.к. параметр устарел, добавление пользователя в группы теперь осуществляется через ресурс Group.
- строкаspec.password
Обязательный параметр
Хэш пароля пользователя в явном виде или закодированный в Base64.
Для получения хэша пароля в Base64 можно воспользоваться командой
echo "<PASSWORD>" | htpasswd -BinC 10 "" | cut -d: -f2 | base64 -w0. Также можно воспользоваться онлайн-сервисом (например, https://bcrypt-generator.com/).Пример:
password: JDJ5JDEwJE9HN1lOOUhnOXU5NmY2cGp4R3NIcS56NWQuOVQxQ0VrdWIud3BRdVJ5Sy5QQU5INlpKNDguCgo= - строкаspec.ttl
Время жизни учетной записи пользователя (TTL).
Задается в виде строки с указанием часов и минут: 30m, 1h, 2h30m, 24h.
Указать TTL можно только 1 раз. При повторном изменении TTL дата
expireAtне обновляется.Шаблон:
^([0-9]+h([0-9]+m)?|[0-9]+m)$Пример:
ttl: 24h - строкаspec.userID
Уникальное имя (ID) пользователя.
Пример:
userID: '08a8684b-db88-4b73-90a9-3cd1661f5466'