Модуль user-authn: Custom Resources

Описывает конфигурацию подключения стороннего провайдера.

С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.

Пример использования…

• specобъект

  Обязательный параметр

  • spec.bitbucketCloudобъект

    Параметры провайдера Bitbucket Cloud (можно указывать только если type: BitbucketCloud).

    • spec.bitbucketCloud.clientIDстрока

      Обязательный параметр

      ID приложения созданного в Bitbucket Cloud (Key).

    • spec.bitbucketCloud.clientSecretстрока

      Обязательный параметр

      Secret приложения созданного в Bitbucket Cloud (Secret).

    • spec.bitbucketCloud.includeTeamGroupsбулевый

      Включает в список команд все группы команды, в которых состоит пользователь.

      Пример групп пользователя с включенной опцией:

      groups=["my_team", "my_team/administrators", "my_team/members"]
      

      По умолчанию: false

    • spec.bitbucketCloud.teamsмассив строк

      Список-фильтр команд, допустимых для приема из Bitbucket Cloud’а.

      Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться не успешной.

      Токен будет содержать команды пользователя в claim groups, как и у других провайдеров.

  • spec.crowdобъект

    Параметры провайдера Crowd (можно указывать только если type: Crowd).

    • spec.crowd.baseURLстрока

      Обязательный параметр

      Адрес Crowd.

      Пример:

      baseURL: https://crowd.example.com/crowd
      

    • spec.crowd.clientIDстрока

      Обязательный параметр

      ID приложения созданного в Crowd (Application Name).

    • spec.crowd.clientSecretстрока

      Обязательный параметр

      Пароль приложения созданного в Crowd (Password).

    • spec.crowd.enableBasicAuthбулевый

      Включает возможность basic-авторизации для Kubernetes API server.

      В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом Crowd).

      Работает только при включенном publishAPI.

      Полученные от Crowd данные авторизации и групп сохраняются в кэш на 10 секунд.

    • spec.crowd.groupsмассив строк

      Список-фильтр групп, допустимых для приема из Crowd.

      Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

      Если параметр не указан, токен пользователя будет содержать все группы из Crowd.

    • spec.crowd.usernamePromptстрока

      Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

      По умолчанию: "Crowd username"

  • spec.displayNameстрока

    Обязательный параметр

    Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.

    Если настроен всего один провайдер, страница выбора провайдера показываться не будет.

  • spec.githubобъект

    Параметры провайдера GitHub (можно указывать только если type: Github).

    • spec.github.clientIDстрока

      Обязательный параметр

      ID организации на GitHub.

    • spec.github.clientSecretстрока

      Обязательный параметр

      Secret организации на GitHub.

    • spec.github.orgsмассив объектов

      Массив названий организаций в GitHub.

      • spec.github.orgs.nameстрока

        Обязательный параметр

        Название организации.

      • spec.github.orgs.teamsмассив строк

        Список-фильтр команд, допустимых для приёма из GitHub.

        Токен пользователя будет содержать пересечение множеств команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все команды из GitHub.

    • spec.github.teamNameFieldстрока

      Формат команд, которые будут получены из GitHub.

      Если в организации acme есть группа Site Reliability Engineers, то в случае:

      • Name будет получена группа с именем ['acme:Site Reliability Engineers'];
      • Slug будет получена группа с именем ['acme:site-reliability-engineers'];
      • Both будут получены группы с именами ['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].

      По умолчанию: "Name"

      Допустимые значения: Name, Slug, Both

    • spec.github.useLoginAsIDбулевый

      Позволяет вместо использования внутреннего GitHub ID, использовать имя пользователя.

  • spec.gitlabобъект

    Параметры провайдера GitLab (можно указывать только если type: Gitlab).

    • spec.gitlab.baseURLстрока

      Адрес GitLab.

      Пример:

      baseURL: https://gitlab.example.com
      

    • spec.gitlab.clientIDстрока

      Обязательный параметр

      ID приложения созданного в GitLab (Application ID).

    • spec.gitlab.clientSecretстрока

      Обязательный параметр

      Secret приложения созданного в GitLab (Secret).

    • spec.gitlab.groupsмассив строк

      Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.

      Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

      Если параметр не указан, токен пользователя будет содержать все группы из GitLab’а.

    • spec.gitlab.useLoginAsIDбулевый

      Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.

  • spec.ldapобъект

    Параметры провайдера LDAP.

    • spec.ldap.bindDNстрока

      Путь до сервис-аккаунта приложения в LDAP.

      Пример:

      bindDN: uid=serviceaccount,cn=users,dc=example,dc=com
      

    • spec.ldap.bindPWстрока

      Пароль для сервис-аккаунта приложения в LDAP.

      Пример:

      bindPW: password
      

    • spec.ldap.groupSearchобъект

      Настройки фильтра для поиска групп для указанного пользователя.

      Подробнее о процессе фильтрации…

      • spec.ldap.groupSearch.baseDNстрока

        Обязательный параметр

        Откуда будет начат поиск групп

        Пример:

        baseDN: cn=users,dc=example,dc=com
        

      • spec.ldap.groupSearch.filterстрока

        Фильтр для директории с группами.

        Пример:

        filter: "(objectClass=person)"
        

      • spec.ldap.groupSearch.nameAttrстрока

        Обязательный параметр

        Имя атрибута, в котором хранится уникальное имя группы.

        Пример:

        nameAttr: name
        

      • spec.ldap.groupSearch.userMatchersмассив объектов

        Обязательный параметр

        Список сопоставлений атрибута имени юзера с именем группы.

        • spec.ldap.groupSearch.userMatchers.groupAttrстрока

          Обязательный параметр

          Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.

          Пример:

          groupAttr: member
          

        • spec.ldap.groupSearch.userMatchers.userAttrстрока

          Обязательный параметр

          Имя атрибута, в котором хранится имя пользователя.

          Пример:

          userAttr: uid
          

    • spec.ldap.hostстрока

      Обязательный параметр

      Адрес и порт (опционально) LDAP-сервера.

      Пример:

      host: ldap.example.com:636
      

    • spec.ldap.insecureNoSSLбулевый

      Подключаться к каталогу LDAP не по защищенному порту.

      По умолчанию: false

    • spec.ldap.insecureSkipVerifyбулевый

      Не производить проверку подлинности провайдера при помощи TLS. Не безопасно, не рекомендуется использовать в production-окружениях.

      По умолчанию: false

    • spec.ldap.rootCADataстрока

      Цепочка CA в формате PEM, используемая для валидации TLS.

      Пример:

      -----BEGIN CERTIFICATE-----
      MIIFaDC...
      -----END CERTIFICATE-----
      

    • spec.ldap.startTLSбулевый

      Использовать STARTTLS для шифрования.

      По умолчанию: false

    • spec.ldap.userSearchобъект

      Обязательный параметр

      Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).

      Подробнее о процессе фильтрации…

      • spec.ldap.userSearch.baseDNстрока

        Обязательный параметр

        Откуда будет начат поиск пользователей.

        Пример:

        baseDN: cn=users,dc=example,dc=com
        

      • spec.ldap.userSearch.emailAttrстрока

        Обязательный параметр

        Имя атрибута из которого будет получен email пользователя.

        Пример:

        emailAttr: mail
        

      • spec.ldap.userSearch.filterстрока

        Позволяет добавить фильтр для директории с пользователями.

        Пример:

        filter: "(objectClass=person)"
        

      • spec.ldap.userSearch.idAttrстрока

        Обязательный параметр

        Имя атрибута из которого будет получен идентификатор пользователя.

        Пример:

        idAttr: uid
        

      • spec.ldap.userSearch.nameAttrстрока

        Атрибут отображаемого имени пользователя.

        Пример:

        nameAttr: name
        

      • spec.ldap.userSearch.usernameстрока

        Обязательный параметр

        Имя атрибута из которого будет получен username пользователя.

        Пример:

        username: uid
        

    • spec.ldap.usernamePromptстрока

      Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

      По умолчанию: "LDAP username"

      Пример:

      usernamePrompt: SSO Username
      

  • spec.oidcобъект

    Параметры провайдера OIDC (можно указывать только если type: OIDC).

    • spec.oidc.basicAuthUnsupportedбулевый

      Использовать POST-запросы для общения с провайдером, вместо добавления токена в Basic Authorization header.

      В большинстве случаев dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.

      По умолчанию: false

    • spec.oidc.claimMappingобъект

      Некоторые провайдеры возвращают нестандартные claim’ы (например mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.

      Dex может преобразовать нестандартный claim в стандартный только если id_token полученный от OIDC-провайдера не содержит аналогичный стандартный claim.

      • spec.oidc.claimMapping.emailстрока

        Claim, который будет использован для получения почтового адреса пользователя.

        По умолчанию: "email"

      • spec.oidc.claimMapping.groupsстрока

        Claim, который будет использован для получения групп пользователя.

        По умолчанию: "groups"

      • spec.oidc.claimMapping.preferred_usernameстрока

        Claim, который будет использован для получения предпочтительного имени пользователя.

        По умолчанию: "preferred_username"

    • spec.oidc.clientIDстрока

      Обязательный параметр

      ID приложения, созданного в OIDC провайдере.

    • spec.oidc.clientSecretстрока

      Обязательный параметр

      Пароль приложения, созданного в OIDC провайдере.

    • spec.oidc.getUserInfoбулевый

      Запрашивать дополнительные данные об успешно подключенном пользователе.

      Подробнее…

      По умолчанию: false

    • spec.oidc.insecureSkipEmailVerifiedбулевый

      Игнорировать информацию о статусе подтверждения e-mail пользователя.

      Как именно подтверждается e-mail решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден e-mail или нет.

      По умолчанию: false

    • spec.oidc.insecureSkipVerifyбулевый

      Не производить проверку подлинности провайдера при помощи TLS. Не безопасно, не рекомендуется использовать в production-окружениях.

      По умолчанию: false

    • spec.oidc.issuerстрока

      Обязательный параметр

      Адрес OIDC-провайдера.

      Пример:

      issuer: https://accounts.google.com
      

    • spec.oidc.promptTypeстрока

      Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.

      По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.

      По умолчанию: "consent"

    • spec.oidc.rootCADataстрока

      Цепочка CA в формате PEM, используемая для валидации TLS.

      Пример:

      -----BEGIN CERTIFICATE-----
      MIIFaDC...
      -----END CERTIFICATE-----
      

    • spec.oidc.scopesмассив строк

      Список полей для включения в ответ при запросе токена.

      По умолчанию: ["openid","profile","email","groups","offline_access"]

    • spec.oidc.userIDKeyстрока

      Claim, который будет использован для получения ID пользователя.

      По умолчанию: "sub"

    • spec.oidc.userNameKeyстрока

      Claim, который будет использован для получения имени пользователя.

      По умолчанию: "name"

  • spec.typeстрока

    Обязательный параметр

    Тип внешнего провайдера.

    Допустимые значения: Github, Gitlab, BitbucketCloud, Crowd, OIDC, LDAP