Deckhouse Kubernetes Platform устанавливает CRD, но не удаляет их при отключении модуля. Если вам больше не нужны созданные CRD, удалите их.

Стадия жизненного цикла модуля: General Availability

DexAuthenticator

Scope: Namespaced

  • v1
  • v2alpha1
  • v1alpha1

При появлении объекта DexAuthenticator в пространстве имен будут созданы:

  • Deployment с OAuth2-Proxy и Redis;
  • Сервис (Service), ведущий на OAuth2-Proxy;
  • Ingress-ресурс, который принимает запросы по адресу https://<applicationDomain>/dex-authenticator и отправляет их в сторону сервиса;
  • HTTPRoute (опционально), который принимает запросы по адресу https://<applicationDomain>/dex-authenticator и отправляет их в сторону сервиса;
  • Секреты, необходимые для доступа к Dex.

Внимание. DexAuthenticator работает только по HTTPS. Ingress приложения должен иметь настроенный TLS.

Внимание. При перезапуске пода с OAuth2-Proxy, с помощью refresh-токена в память Redis будут получены и сохранены актуальные Access Token и ID Token.

Пример:

apiVersion: deckhouse.io/v1
kind: DexAuthenticator
metadata:
  name: app-name
  namespace: app-namespace
spec:
  applicationDomain: app-name.kube.my-domain.com
  sendAuthorizationHeader: false
  applicationIngressCertificateSecretName: ingress-tls
  applicationIngressClassName: nginx
  keepUsersLoggedInFor: 720h
  allowedGroups:
  - everyone
  - admins
  whitelistSourceRanges:
  - 1.1.1.1/32
  - 192.168.0.0/24
  additionalApplications:
  - domain: additional-app-name.kube.my-domain.com
    ingressSecretName: ingress-tls
    ingressClassName: nginx
    signOutURL: "/logout"
    whitelistSourceRanges:
    - 2.2.2.2/32
  • spec
    объект

    Обязательный параметр

    • spec.additionalApplications
      массив объектов

      Список дополнительных приложений, для которых необходима аутентификация.

      • spec.additionalApplications.domain
        строка

        Обязательный параметр

        Домен приложения (для использования в Ingress-ресурсе), запросы на который будут перенаправлены в Dex для аутентификации.

        Внимание. Укажите DNS-имя, соответствующее требованиям RFC 1123 (subdomain), без HTTP-схемы. Использование IP-адресов не допускается.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      • spec.additionalApplications.ingressClassName
        строка

        Обязательный параметр

        Название Ingress-класса, которое будет использоваться в Ingress-ресурсе (должно совпадать с названием Ingress-класса для домена приложения).

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      • spec.additionalApplications.ingressSecretName
        строка

        Имя секрета (Secret) с TLS-сертификатом для домена приложения, который используется в Ingress-ресурсе приложения. Секрет должен обязательно находиться в том же пространстве имен, что и DexAuthenticator.

        Шаблон: ^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$

      • spec.additionalApplications.signOutURL
        строка

        URL для завершения сеанса аутентификации.

        Используется в приложении для направления запросов на “Выход” (завершение сеанса). Для указанного URL будет создан отдельный Ingress-ресурс, запросы на который будут перенаправляться в dex-authenticator.

      • spec.additionalApplications.whitelistSourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

        Пример:

        whitelistSourceRanges:
- 192.168.42.0/24
        • Элемент массива
          строка

          Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

    • spec.allowedEmails
      массив строк

      Email’ы пользователей, которым разрешено проходить аутентификацию.

      По умолчанию разрешено всем пользователям.

      По умолчанию: All emails are allowed.

    • spec.allowedGroups
      массив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      По умолчанию разрешено всем группам.

      По умолчанию: All groups are allowed.

    • spec.applicationDomain
      строка

      Обязательный параметр

      Адрес приложения (домен DNS для Ingress-ресурса), для которого необходима аутентификация.

      Внимание. Укажите DNS-имя, соответствующее требованиям RFC 1123 (subdomain), без HTTP-схемы. Использование IP-адресов не допускается.

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      applicationDomain: my-app.domain.com
    • spec.applicationIngressCertificateSecretName
      строка

      Имя секрета (Secret) с TLS-сертификатом для домена приложения, который используется в Ingress-ресурсе приложения. Секрет должен обязательно находиться в том же пространстве имен, что и DexAuthenticator.

      Шаблон: ^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$

      Пример:

      applicationIngressCertificateSecretName: ingress-tls
    • spec.applicationIngressClassName
      строка

      Обязательный параметр

      Название Ingress-класса, которое будет использоваться в Ingress-ресурсе (должно совпадать с названием Ingress-класса для домена приложения).

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      applicationIngressClassName: nginx
    • spec.gatewayAPI
      объект

      Набор параметров для настройки создаваемого объекта HTTPRoute.

      Внимание. Используется только в кластерах с поддержкой Gateway API.

      Внимание. Должен быть указан тот же объект ListenerSet, который используется для домена приложения.

      • spec.gatewayAPI.applicationHTTPRouteListenerSetName
        строка

        Обязательный параметр

        Имя объекта ListenerSet из Gateway API, на который будет ссылаться создаваемый HTTPRoute.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        Максимальная длина: 253

        Пример:

        applicationHTTPRouteListenerSetName: default-listenerset
      • spec.gatewayAPI.applicationHTTPRouteListenerSetNamespace
        строка

        Имя неймспейса, в котором располагается объект ListenerSet из Gateway API, на который будет ссылаться создаваемый HTTPRoute.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        Максимальная длина: 63

        Пример:

        applicationHTTPRouteListenerSetNamespace: default
      • spec.gatewayAPI.applicationHTTPRouteListenerSetSectionName
        строка

        Имя секции объекта ListenerSet из Gateway API, на которую будет ссылаться создаваемый HTTPRoute.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        Максимальная длина: null

        Пример:

        applicationHTTPRouteListenerSetSectionName: default-listener
    • spec.highAvailability
      булевый

      Включает режим высокой доступности для экземпляра dex-authenticator.

      При включении этого режима будет развернуто несколько реплик подов для обеспечения отказоустойчивости.

      По умолчанию: false

    • spec.keepUsersLoggedInFor
      строка

      Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).

      По умолчанию: 168h

      Пример:

      keepUsersLoggedInFor: 24h
    • spec.nodeSelector
      объект

      Определяет nodeSelector для подов dex-authenticator.

      Формат: стандартный список nodeSelector. Поды инстанса унаследуют это поле как есть.

    • spec.podMetadata
      объект

      Дополнительные лейблы и аннотации для подов dex-authenticator.

      • spec.podMetadata.annotations
        объект

        Дополнительные аннотации для подов dex-authenticator.

      • spec.podMetadata.labels
        объект

        Дополнительные лейблы для подов dex-authenticator.

    • spec.resources
      объект

      Ресурсы контейнеров (CPU/память) — requests/limits.

      Если поле задано, применяются указанные значения, а VPA для этого экземпляра отключается. Если поле не задано, поведение не меняется — при включённом модуле VPA ресурсы управляются VPA, при выключенном — используются значения по умолчанию.

      Ресурсы можно задать напрямую для контейнера dex-authenticator (для обратной совместимости) либо во вложенных объектах — отдельно для каждого контейнера.

      • spec.resources.limits
        объект

        Верхняя граница ресурсов контейнера dex-authenticator (CPU/память). Поле поддерживается для обратной совместимости.

        Значения указываются в формате Kubernetes, например: 200m, 256Mi.

      • spec.resources.redis
        объект

        Ресурсы контейнера redis (CPU/память) — requests/limits.

        • spec.resources.redis.limits
          объект

          Верхняя граница ресурсов контейнера redis (CPU/память).

          Значения указываются в формате Kubernetes, например: 200m, 256Mi.

        • spec.resources.redis.requests
          объект

          Гарантированно выделяемые ресурсы контейнера redis (CPU/память).

          Значения указываются в формате Kubernetes, например: 100m, 128Mi.

      • spec.resources.requests
        объект

        Гарантированно выделяемые ресурсы контейнера dex-authenticator (CPU/память). Поле поддерживается для обратной совместимости.

        Значения указываются в формате Kubernetes, например: 100m, 128Mi.

    • spec.sendAuthorizationHeader
      булевый

      Флаг, который отвечает за отправку конечному приложению заголовка Authorization: Bearer.

      Внимание. Включайте, только если приложение умеет обрабатывать такой заголовок.

    • spec.signOutURL
      строка

      URL для завершения сеанса аутентификации.

      Используется в приложении для направления запросов на «Выход» (завершение сеанса). Для указанного URL будет создан отдельный Ingress-ресурс, запросы на который будут перенаправляться в dex-authenticator.

    • spec.tolerations
      массив объектов

      Определяет tolerations для подов dex-authenticator.

      Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.

      • spec.tolerations.effect
        строка

        Определяет, какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect.

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • spec.tolerations.key
        строка

        Определяет, какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.

        Если ключ (key) не указан (пуст), operator должен быть Exists, что подразумевает соответствие любым value и key.

      • spec.tolerations.operator
        строка

        Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (Equal) значению или допустимо существование ключа с любым значением.

        Указание Exists означает, что значение value может быть любым, чтобы под с указанным toleration был размещён на узле с соответствующим taint.

        По умолчанию: Equal

        Допустимые значения: Exists, Equal

      • spec.tolerations.tolerationSeconds
        целочисленный

        Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем выселить (evict) под с узла, если toleration больше не соответствует taint (справедливо только для effect NoExecute, иначе игнорируется).

        Если не установлено, тогда под не будет выселен с узла, если toleration больше не соответствует taint. Если установлен в ноль (или отрицателен), под будет выселен с узла немедленно, если toleration больше не соответствует taint.

        По умолчанию используется значение «не установлено».

      • spec.tolerations.value
        строка

        Значение, которому должен соответствовать toleration.

        Должно быть пустым, если operator имеет параметр Exists.

    • spec.whitelistSourceRanges
      массив строк

      Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

      Пример:

      whitelistSourceRanges:
- 192.168.42.0/24
      • Элемент массива
        строка

        Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

  • spec
    объект

    Обязательный параметр

    • spec.allowedEmails
      массив строк

      A list of emails of users are allowed to connect to the client.

      By default, all users can connect.

      По умолчанию: All users are allowed.

    • spec.allowedGroups
      массив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      По умолчанию разрешено всем группам.

      По умолчанию: All groups are allowed.

    • spec.applications
      массив объектов

      Обязательный параметр

      Список приложений, для которых необходима аутентификация.

      • spec.applications.domain
        строка

        Обязательный параметр

        Домен приложения (для использования в Ingress-ресурсе), запросы на который будут перенаправлены в Dex для аутентификации.

        Внимание. Укажите DNS-имя, соответствующее требованиям RFC 1123 (subdomain), без HTTP-схемы. Использование IP-адресов не допускается.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      • spec.applications.gatewayAPI
        объект

        Набор параметров для настройки создаваемого объекта HTTPRoute.

        Внимание. Используется только в кластерах с поддержкой Gateway API.

        Внимание. Должен быть указан тот же объект ListenerSet, который используется для домена приложения.

        • spec.applications.gatewayAPI.httpRouteListenerSetName
          строка

          Обязательный параметр

          Имя объекта ListenerSet из Gateway API, на который будет ссылаться создаваемый HTTPRoute.

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

          Максимальная длина: 253

          Пример:

          httpRouteListenerSetName: default-listener-set
        • spec.applications.gatewayAPI.httpRouteListenerSetNamespace
          строка

          Имя неймспейса, в котором располагается объект ListenerSet из Gateway API, на который будет ссылаться создаваемый HTTPRoute.

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

          Максимальная длина: 63

          Пример:

          httpRouteListenerSetNamespace: default
        • spec.applications.gatewayAPI.httpRouteListenerSetSectionName
          строка

          Имя секции объекта ListenerSet из Gateway API, на которую будет ссылаться создаваемый HTTPRoute.

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

          Максимальная длина: 253

          Пример:

          httpRouteListenerSetSectionName: web-listener
      • spec.applications.ingressClassName
        строка

        Обязательный параметр

        Название Ingress-класса, которое будет использоваться в Ingress-ресурсе (должно совпадать с названием Ingress-класса для домена приложения).

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      • spec.applications.ingressSecretName
        строка

        Имя секрета (Secret) с TLS-сертификатом для домена приложения, который используется в Ingress-ресурсе приложения. Секрет должен обязательно находиться в том же пространстве имен, что и DexAuthenticator.

        Шаблон: ^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$

      • spec.applications.signOutURL
        строка

        URL для завершения сеанса аутентификации.

        Используется в приложении для направления запросов на «Выход» (завершение сеанса). Для указанного URL будет создан отдельный Ingress-ресурс, запросы на который будут перенаправляться в dex-authenticator.

      • spec.applications.whitelistSourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

        Пример:

        whitelistSourceRanges:
- 192.168.42.0/24
        • Элемент массива
          строка

          Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

    • spec.highAvailability
      булевый

      Enables high availability mode for dex-authenticator.

      When this mode is enabled, multiple pod replicas will be deployed to ensure fault tolerance.

      По умолчанию: false

    • spec.keepUsersLoggedInFor
      строка

      Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).

      По умолчанию: 168h

    • spec.nodeSelector
      объект

      Определяет nodeSelector для подов dex-authenticator.

      Формат: стандартный список nodeSelector. Поды инстанса унаследуют это поле как есть.

    • spec.podMetadata
      объект

      Дополнительные лейблы и аннотации для подов dex-authenticator.

      • spec.podMetadata.annotations
        объект

        Дополнительные аннотации для подов dex-authenticator.

      • spec.podMetadata.labels
        объект

        Дополнительные лейблы для подов dex-authenticator.

    • spec.resources
      объект

      Ресурсы контейнеров (CPU/память) — requests/limits.

      Если поле задано, применяются указанные значения, а VPA для этого экземпляра отключается. Если поле не задано, поведение не меняется — при включённом модуле VPA ресурсы управляются VPA, при выключенном — используются значения по умолчанию.

      Ресурсы можно задать напрямую для контейнера dex-authenticator (для обратной совместимости) либо во вложенных объектах — отдельно для каждого контейнера.

      • spec.resources.limits
        объект

        Верхняя граница ресурсов контейнера dex-authenticator (CPU/память). Поле поддерживается для обратной совместимости.

        Значения указываются в формате Kubernetes, например: 200m, 256Mi.

      • spec.resources.redis
        объект

        Ресурсы контейнера redis (CPU/память) — requests/limits.

        • spec.resources.redis.limits
          объект

          Верхняя граница ресурсов контейнера redis (CPU/память).

          Значения указываются в формате Kubernetes, например: 200m, 256Mi.

        • spec.resources.redis.requests
          объект

          Гарантированно выделяемые ресурсы контейнера redis (CPU/память).

          Значения указываются в формате Kubernetes, например: 100m, 128Mi.

      • spec.resources.requests
        объект

        Гарантированно выделяемые ресурсы контейнера dex-authenticator (CPU/память). Поле поддерживается для обратной совместимости.

        Значения указываются в формате Kubernetes, например: 100m, 128Mi.

    • spec.sendAuthorizationHeader
      булевый

      Флаг, который отвечает за отправку конечному приложению заголовка Authorization: Bearer.

      Внимание. Включайте, только если приложение умеет обрабатывать такой заголовок.

    • spec.tolerations
      массив объектов

      Определяет tolerations для подов dex-authenticator.

      Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.

      • spec.tolerations.effect
        строка

        Определяет, какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect.

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • spec.tolerations.key
        строка

        Определяет, какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.

        Если ключ (key) не указан (пуст), operator должен быть Exists, что подразумевает соответствие любым value и key.

      • spec.tolerations.operator
        строка

        Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (Equal) значению или допустимо существование ключа с любым значением.

        Указание Exists означает, что значение value может быть любым, чтобы под с указанным toleration был размещён на узле с соответствующим taint.

        По умолчанию: Equal

        Допустимые значения: Exists, Equal

      • spec.tolerations.tolerationSeconds
        целочисленный

        Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем выселить (evict) под с узла, если toleration больше не соответствует taint (справедливо только для effect NoExecute, иначе игнорируется).

        Если не установлено, тогда под не будет выселен с узла, если toleration больше не соответствует taint. Если установлен в ноль (или отрицателен), под будет выселен с узла немедленно, если toleration больше не соответствует taint.

        По умолчанию используется значение «не установлено».

      • spec.tolerations.value
        строка

        Значение, которому должен удовлетворять toleration.

        Должно быть пустым, если operator имеет параметр Exists.

Устаревший ресурс. Поддержка ресурса может быть исключена в следующих версиях.

При появлении объекта DexAuthenticator в пространстве имен будут созданы:

  • Deployment с OAuth2-Proxy и Redis;
  • Сервис (Service), ведущий на OAuth2-Proxy;
  • Ingress-ресурс, который принимает запросы по адресу https://<applicationDomain>/dex-authenticator и отправляет их в сторону сервиса;
  • HTTPRoute (опционально), который принимает запросы по адресу https://<applicationDomain>/dex-authenticator и отправляет их в сторону сервиса;
  • Секреты, необходимые для доступа к Dex.

Внимание. DexAuthenticator работает только по HTTPS. Ingress приложения должен иметь настроенный TLS.

Внимание. При перезапуске пода с OAuth2-Proxy, с помощью refresh-токена в память Redis будут получены и сохранены актуальные Access Token и ID Token.

Пример:

apiVersion: deckhouse.io/v1
kind: DexAuthenticator
metadata:
  name: app-name
  namespace: app-namespace
spec:
  applicationDomain: app-name.kube.my-domain.com
  sendAuthorizationHeader: false
  applicationIngressCertificateSecretName: ingress-tls
  applicationIngressClassName: nginx
  keepUsersLoggedInFor: 720h
  allowedGroups:
  - everyone
  - admins
  whitelistSourceRanges:
  - 1.1.1.1/32
  - 192.168.0.0/24
  additionalApplications:
  - domain: additional-app-name.kube.my-domain.com
    ingressSecretName: ingress-tls
    ingressClassName: nginx
    signOutURL: "/logout"
    whitelistSourceRanges:
    - 2.2.2.2/32
  • spec
    объект

    Обязательный параметр

    • spec.additionalApplications
      массив объектов

      Список дополнительных приложений, для которых необходима аутентификация.

      • spec.additionalApplications.domain
        строка

        Обязательный параметр

        Домен приложения (для использования в Ingress-ресурсе), запросы на который будут перенаправлены в Dex для аутентификации.

        Внимание. Укажите DNS-имя, соответствующее требованиям RFC 1123 (subdomain), без HTTP-схемы. Использование IP-адресов не допускается.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      • spec.additionalApplications.ingressClassName
        строка

        Обязательный параметр

        Название Ingress-класса, которое будет использоваться в Ingress-ресурсе (должно совпадать с названием Ingress-класса для домена приложения).

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      • spec.additionalApplications.ingressSecretName
        строка

        Имя секрета (Secret) с TLS-сертификатом для домена приложения, который используется в Ingress-ресурсе приложения. Секрет должен обязательно находиться в том же пространстве имен, что и DexAuthenticator.

        Шаблон: ^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$

      • spec.additionalApplications.signOutURL
        строка

        URL для завершения сеанса аутентификации.

        Используется в приложении для направления запросов на “Выход” (завершение сеанса). Для указанного URL будет создан отдельный Ingress-ресурс, запросы на который будут перенаправляться в dex-authenticator.

      • spec.additionalApplications.whitelistSourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

        Пример:

        whitelistSourceRanges:
- 192.168.42.0/24
        • Элемент массива
          строка

          Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

    • spec.allowedEmails
      массив строк

      Email’ы пользователей, которым разрешено проходить аутентификацию.

      По умолчанию разрешено всем пользователям.

      По умолчанию: All emails are allowed.

    • spec.allowedGroups
      массив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      По умолчанию разрешено всем группам.

      По умолчанию: All groups are allowed.

    • spec.applicationDomain
      строка

      Обязательный параметр

      Адрес приложения (домен DNS для Ingress-ресурса), для которого необходима аутентификация.

      Внимание. Укажите DNS-имя, соответствующее требованиям RFC 1123 (subdomain), без HTTP-схемы. Использование IP-адресов не допускается.

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      applicationDomain: my-app.domain.com
    • spec.applicationIngressCertificateSecretName
      строка

      Имя секрета (Secret) с TLS-сертификатом для домена приложения, который используется в Ingress-ресурсе приложения. Секрет должен обязательно находиться в том же пространстве имен, что и DexAuthenticator.

      Шаблон: ^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$

      Пример:

      applicationIngressCertificateSecretName: ingress-tls
    • spec.applicationIngressClassName
      строка

      Обязательный параметр

      Название Ingress-класса, которое будет использоваться в Ingress-ресурсе (должно совпадать с названием Ingress-класса для домена приложения).

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      applicationIngressClassName: nginx
    • spec.gatewayAPI
      объект

      Набор параметров для настройки создаваемого объекта HTTPRoute.

      Внимание. Используется только в кластерах с поддержкой Gateway API.

      Внимание. Должен быть указан тот же объект ListenerSet, который используется для домена приложения.

      • spec.gatewayAPI.applicationHTTPRouteListenerSetName
        строка

        Обязательный параметр

        Имя объекта ListenerSet из Gateway API, на который будет ссылаться создаваемый HTTPRoute.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        Максимальная длина: 253

        Пример:

        applicationHTTPRouteListenerSetName: default-listenerset
      • spec.gatewayAPI.applicationHTTPRouteListenerSetNamespace
        строка

        Имя неймспейса, в котором располагается объект ListenerSet из Gateway API, на который будет ссылаться создаваемый HTTPRoute.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        Максимальная длина: 63

        Пример:

        applicationHTTPRouteListenerSetNamespace: default
      • spec.gatewayAPI.applicationHTTPRouteListenerSetSectionName
        строка

        Имя секции объекта ListenerSet из Gateway API, на которую будет ссылаться создаваемый HTTPRoute.

        Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        Максимальная длина: null

        Пример:

        applicationHTTPRouteListenerSetSectionName: default-listener
    • spec.highAvailability
      булевый

      Включает режим высокой доступности для экземпляра dex-authenticator.

      При включении этого режима будет развернуто несколько реплик подов для обеспечения отказоустойчивости.

      По умолчанию: false

    • spec.keepUsersLoggedInFor
      строка

      Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).

      По умолчанию: 168h

      Пример:

      keepUsersLoggedInFor: 24h
    • spec.nodeSelector
      объект

      Определяет nodeSelector для подов dex-authenticator.

      Формат: стандартный список nodeSelector. Поды инстанса унаследуют это поле как есть.

    • spec.podMetadata
      объект

      Дополнительные лейблы и аннотации для подов dex-authenticator.

      • spec.podMetadata.annotations
        объект

        Дополнительные аннотации для подов dex-authenticator.

      • spec.podMetadata.labels
        объект

        Дополнительные лейблы для подов dex-authenticator.

    • spec.resources
      объект

      Ресурсы контейнеров (CPU/память) — requests/limits.

      Если поле задано, применяются указанные значения, а VPA для этого экземпляра отключается. Если поле не задано, поведение не меняется — при включённом модуле VPA ресурсы управляются VPA, при выключенном — используются значения по умолчанию.

      Ресурсы можно задать напрямую для контейнера dex-authenticator (для обратной совместимости) либо во вложенных объектах — отдельно для каждого контейнера.

      • spec.resources.limits
        объект

        Верхняя граница ресурсов контейнера dex-authenticator (CPU/память). Поле поддерживается для обратной совместимости.

        Значения указываются в формате Kubernetes, например: 200m, 256Mi.

      • spec.resources.redis
        объект

        Ресурсы контейнера redis (CPU/память) — requests/limits.

        • spec.resources.redis.limits
          объект

          Верхняя граница ресурсов контейнера redis (CPU/память).

          Значения указываются в формате Kubernetes, например: 200m, 256Mi.

        • spec.resources.redis.requests
          объект

          Гарантированно выделяемые ресурсы контейнера redis (CPU/память).

          Значения указываются в формате Kubernetes, например: 100m, 128Mi.

      • spec.resources.requests
        объект

        Гарантированно выделяемые ресурсы контейнера dex-authenticator (CPU/память). Поле поддерживается для обратной совместимости.

        Значения указываются в формате Kubernetes, например: 100m, 128Mi.

    • spec.sendAuthorizationHeader
      булевый

      Флаг, который отвечает за отправку конечному приложению заголовка Authorization: Bearer.

      Внимание. Включайте, только если приложение умеет обрабатывать такой заголовок.

    • spec.signOutURL
      строка

      URL для завершения сеанса аутентификации.

      Используется в приложении для направления запросов на «Выход» (завершение сеанса). Для указанного URL будет создан отдельный Ingress-ресурс, запросы на который будут перенаправляться в dex-authenticator.

    • spec.tolerations
      массив объектов

      Определяет tolerations для подов dex-authenticator.

      Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.

      • spec.tolerations.effect
        строка

        Определяет, какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect.

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • spec.tolerations.key
        строка

        Определяет, какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.

        Если ключ (key) не указан (пуст), operator должен быть Exists, что подразумевает соответствие любым value и key.

      • spec.tolerations.operator
        строка

        Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (Equal) значению или допустимо существование ключа с любым значением.

        Указание Exists означает, что значение value может быть любым, чтобы под с указанным toleration был размещён на узле с соответствующим taint.

        По умолчанию: Equal

        Допустимые значения: Exists, Equal

      • spec.tolerations.tolerationSeconds
        целочисленный

        Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем выселить (evict) под с узла, если toleration больше не соответствует taint (справедливо только для effect NoExecute, иначе игнорируется).

        Если не установлено, тогда под не будет выселен с узла, если toleration больше не соответствует taint. Если установлен в ноль (или отрицателен), под будет выселен с узла немедленно, если toleration больше не соответствует taint.

        По умолчанию используется значение «не установлено».

      • spec.tolerations.value
        строка

        Значение, которому должен соответствовать toleration.

        Должно быть пустым, если operator имеет параметр Exists.

    • spec.whitelistSourceRanges
      массив строк

      Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

      Пример:

      whitelistSourceRanges:
- 192.168.42.0/24
      • Элемент массива
        строка

        Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

DexClient

Scope: Namespaced

  • v1
  • v1alpha1

Позволяет приложениям, поддерживающим DC-аутентификацию, взаимодействовать с Dex.

После появления в кластере объекта DexClient:

  • в Dex будет зарегистрирован клиент с идентификатором (clientID) dex-client-<NAME>@<NAMESPACE>, где <NAME> и <NAMESPACE>metadata.name и metadata.namespace объекта DexClient соответственно;
  • в соответствующем namespace будет создан Secret dex-client-<NAME> (где <NAME>metadata.name объекта DexClient), содержащий пароль доступа к клиенту (clientSecret).

Пример использования…

  • spec
    объект

    Обязательный параметр

    • spec.allowedEmails
      массив строк

      Email’ы пользователей, которым разрешено проходить аутентификацию.

      По умолчанию разрешено всем пользователям.

      По умолчанию: All users are allowed.

    • spec.allowedGroups
      массив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      По умолчанию разрешено всем группам.

    • spec.redirectURIs
      массив строк

      Список адресов, на которые допустимо редиректить Dex’у после успешного прохождения аутентификации.

    • spec.secretMetadata
      объект

      Список лейблов и аннотаций, которые будут перенесены в метаданные секретов ресурса DexClient.

      • spec.secretMetadata.annotations
        объект
      • spec.secretMetadata.labels
        объект
    • spec.trustedPeers
      массив строк

      ID клиентов, которым позволена cross-аутентификация.

      Подробнее…

Устаревший ресурс. Поддержка ресурса может быть исключена в следующих версиях.

Позволяет приложениям, поддерживающим DC-аутентификацию, взаимодействовать с Dex.

После появления в кластере объекта DexClient:

  • в Dex будет зарегистрирован клиент с идентификатором (clientID) dex-client-<NAME>@<NAMESPACE>, где <NAME> и <NAMESPACE>metadata.name и metadata.namespace объекта DexClient соответственно;
  • в соответствующем namespace будет создан Secret dex-client-<NAME> (где <NAME>metadata.name объекта DexClient), содержащий пароль доступа к клиенту (clientSecret).

Пример использования…

  • spec
    объект

    Обязательный параметр

    • spec.allowedEmails
      массив строк

      Email’ы пользователей, которым разрешено проходить аутентификацию.

      По умолчанию разрешено всем пользователям.

      По умолчанию: All users are allowed.

    • spec.allowedGroups
      массив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      По умолчанию разрешено всем группам.

    • spec.redirectURIs
      массив строк

      Список адресов, на которые допустимо редиректить Dex’у после успешного прохождения аутентификации.

    • spec.secretMetadata
      объект

      Список лейблов и аннотаций, которые будут перенесены в метаданные секретов ресурса DexClient.

      • spec.secretMetadata.annotations
        объект
      • spec.secretMetadata.labels
        объект
    • spec.trustedPeers
      массив строк

      ID клиентов, которым позволена cross-аутентификация.

      Подробнее…

DexProviderCheck

Scope: Cluster
Version: v1

Описывает одноразовую проверку доступности DexProvider.

Проверка убеждается, что провайдер существует, включён, Dex доступен, а эндпоинт провайдера отвечает на сетевом уровне. Полный сценарий аутентификации пользователя не выполняется.

  • spec
    объект

    Обязательный параметр

    • spec.initiatorType
      строка

      Указывает, кем инициирована проверка. Возможные значения:

      • Admin — администратором;
      • System — автоматически системой.

      Допустимые значения: Admin, System

    • spec.providerName
      строка

      Обязательный параметр

      Имя ресурса DexProvider, который нужно проверить.

      Пример:

      providerName: my-oidc
  • status
    объект
    • status.checks
      массив объектов

      Детальные результаты отдельных шагов проверки.

      • status.checks.message
        строка

        Дополнительное сообщение по шагу проверки.

      • status.checks.name
        строка

        Обязательный параметр

        Название шага проверки.

      • status.checks.status
        строка

        Обязательный параметр

        Статус шага проверки. Возможные значения:

        • Succeeded — шаг успешно выполнен;
        • Failed — шаг завершился ошибкой;
        • Skipped — шаг неприменим и был пропущен;
        • Warning — шаг выполнен, но настройка требует внимания (например, отключена проверка TLS-сертификата или сертификат скоро истекает). Общую проверку это не проваливает.

        Допустимые значения: Succeeded, Failed, Skipped, Warning

    • status.completedAt
      строка

      Время завершения проверки.

    • status.message
      строка

      Дополнительное сообщение о результате проверки или причине ошибки.

    • status.observedDexProviderGeneration
      целочисленный

      Поколение DexProvider, на котором была выполнена проверка.

    • status.phase
      строка

      Текущий статус выполнения проверки. Возможные значения:

      • Pending — проверка принята в обработку и ожидает выполнения или выполняется;
      • Succeeded — проверка доступности успешно завершена;
      • Failed — проверка доступности завершилась ошибкой.

      Допустимые значения: Pending, Succeeded, Failed

DexProvider

Scope: Cluster

  • v1
  • v1alpha1

Описывает конфигурацию подключения стороннего провайдера.

С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.

Пример использования…

Внимание. Запрещено использовать пользователей и группы с префиксом system:. Аутентификация таких пользователей или участников этих групп будет отклонена, а в логах kube-apiserver появится соответствующее предупреждение.

  • spec
    объект

    Обязательный параметр

    • spec.bitbucketCloud
      объект

      Параметры провайдера Bitbucket Cloud (можно указывать, только если type: BitbucketCloud).

      • spec.bitbucketCloud.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в Bitbucket Cloud (Key).

      • spec.bitbucketCloud.clientSecret
        строка

        Обязательный параметр

        Secret приложения, созданного в Bitbucket Cloud (Secret).

      • spec.bitbucketCloud.includeTeamGroups
        булевый

        Включает в список команд все группы команды, в которых состоит пользователь.

        Пример групп пользователя с включенной опцией:

        groups=["my_team", "my_team/administrators", "my_team/members"]

        По умолчанию: false

      • spec.bitbucketCloud.teams
        массив строк

        Список-фильтр команд, допустимых для приема из Bitbucket Cloud.

        Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться успешной.

        Токен будет содержать команды пользователя в claim groups, как и у других провайдеров.

    • spec.crowd
      объект

      Параметры провайдера Crowd (можно указывать, только если type: Crowd).

      • spec.crowd.baseURL
        строка

        Обязательный параметр

        Адрес Crowd.

        Пример:

        baseURL: https://crowd.example.com/crowd
      • spec.crowd.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в Crowd (Application Name).

      • spec.crowd.clientSecret
        строка

        Обязательный параметр

        Пароль приложения, созданного в Crowd (Password).

      • spec.crowd.enableBasicAuth
        булевый

        Включает возможность базовой аутентификации (Basic Authentication) для Kubernetes API server.

        В качестве учетных данных используются логин и пароль пользователя Crowd (из приложения, настроенного для этого провайдера).

        Ограничения:

        • работает только при включенном publishAPI;
        • может быть включено только для одного провайдера аутентификации типа OIDC или Crowd в кластере.

        Данные аутентификации и группы, полученные от провайдера аутентификации, кешируются на 10 секунд.

      • spec.crowd.groups
        массив строк

        Список-фильтр групп, допустимых для приема из Crowd.

        Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из Crowd.

      • spec.crowd.usernamePrompt
        строка

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: Crowd username

    • spec.displayName
      строка

      Обязательный параметр

      Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.

      Если настроен всего один провайдер, страница выбора провайдера показываться не будет.

    • spec.enabled
      булевый

      When false, this provider is ignored by Dex config renderer.

      По умолчанию: true

    • spec.github
      объект

      Параметры провайдера GitHub (можно указывать, только если type: Github).

      • spec.github.clientID
        строка

        Обязательный параметр

        ID организации на GitHub.

      • spec.github.clientSecret
        строка

        Обязательный параметр

        Secret организации на GitHub.

      • spec.github.orgs
        массив объектов

        Массив названий организаций в GitHub.

        • spec.github.orgs.name
          строка

          Обязательный параметр

          Название организации.

        • spec.github.orgs.teams
          массив строк

          Список-фильтр команд, допустимых для приема из GitHub.

          Токен пользователя будет содержать пересечение множеств команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

          Если параметр не указан, токен пользователя будет содержать все команды из GitHub.

      • spec.github.teamNameField
        строка

        Формат команд, которые будут получены из GitHub.

        Если в организации acme есть группа Site Reliability Engineers, в случае:

        • Name будет получена группа с именем ['acme:Site Reliability Engineers'];
        • Slug будет получена группа с именем ['acme:site-reliability-engineers'];
        • Both будут получены группы с именами ['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].

        По умолчанию: Name

        Допустимые значения: Name, Slug, Both

      • spec.github.useLoginAsID
        булевый

        Позволяет вместо использования внутреннего GitHub ID использовать имя пользователя.

    • spec.gitlab
      объект

      Параметры провайдера GitLab (можно указывать, только если type: Gitlab).

      • spec.gitlab.baseURL
        строка

        Адрес GitLab.

        Пример:

        baseURL: https://gitlab.example.com
      • spec.gitlab.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в GitLab (Application ID).

      • spec.gitlab.clientSecret
        строка

        Обязательный параметр

        Secret приложения, созданного в GitLab (Secret).

      • spec.gitlab.groups
        массив строк

        Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.

        Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из GitLab.

      • spec.gitlab.rootCAData
        строка

        A CA chain to validate the provider in PEM format.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.gitlab.useLoginAsID
        булевый

        Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.

    • spec.ldap
      объект

      Параметры провайдера LDAP.

      • spec.ldap.bindDN
        строка

        Путь до сервис-аккаунта приложения в LDAP.

        Пример:

        bindDN: uid=serviceaccount,cn=users,dc=example,dc=com
      • spec.ldap.bindPW
        строка

        Пароль для сервис-аккаунта приложения в LDAP.

        Пример:

        bindPW: password
      • spec.ldap.enableBasicAuth
        булевый

        Включает возможность базовой аутентификации (Basic Authentication) для Kubernetes API server с использованием этого LDAP-провайдера.

        В качестве учетных данных используются логин и пароль пользователя из LDAP. Эта функция недоступна если в кластере присутствует более одного провайдера аутентификации (IdP) типа OIDC, Crowd или LDAP.

        Работает только при включенном параметре publishAPI.

        Полученные от IdP данные аутентификации и групп сохраняются в кеш на 10 секунд.

      • spec.ldap.groupSearch
        объект

        Настройки фильтра для поиска групп для указанного пользователя.

        Подробнее о процессе фильтрации…

        • spec.ldap.groupSearch.baseDN
          строка

          Обязательный параметр

          Откуда будет начат поиск групп

          Пример:

          baseDN: cn=users,dc=example,dc=com
        • spec.ldap.groupSearch.filter
          строка

          Фильтр для директории с группами.

          Пример:

          filter: "(objectClass=person)"
        • spec.ldap.groupSearch.nameAttr
          строка

          Обязательный параметр

          Имя атрибута, в котором хранится уникальное имя группы.

          Пример:

          nameAttr: name
        • spec.ldap.groupSearch.userMatchers
          массив объектов

          Обязательный параметр

          Список сопоставлений атрибута имени юзера с именем группы.

          • spec.ldap.groupSearch.userMatchers.groupAttr
            строка

            Обязательный параметр

            Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.

            Пример:

            groupAttr: member
          • spec.ldap.groupSearch.userMatchers.userAttr
            строка

            Обязательный параметр

            Имя атрибута, в котором хранится имя пользователя.

            Пример:

            userAttr: uid
      • spec.ldap.host
        строка

        Обязательный параметр

        Адрес и порт (опционально) LDAP-сервера.

        Пример:

        host: ldap.example.com:636
      • spec.ldap.insecureNoSSL
        булевый

        Подключаться к каталогу LDAP не по защищенному порту.

        Несовместимо с startTLS, insecureSkipVerify и rootCAData: если insecureNoSSL: true, TLS отключён и эти параметры не имеют эффекта.

        По умолчанию: false

      • spec.ldap.insecureSkipVerify
        булевый

        Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.

        Не используется при insecureNoSSL: true.

        По умолчанию: false

      • spec.ldap.kerberos
        объект

        Опциональные настройки Kerberos (SPNEGO) SSO для LDAP.

        • spec.ldap.kerberos.enabled
          булевый

          Включить поток аутентификации Kerberos SPNEGO для данного LDAP‑провайдера.

          По умолчанию: false

        • spec.ldap.kerberos.expectedRealm
          строка

          Необязательный требуемый realm (без учета регистра). Если указан и не совпадает с realm билета — вход отклоняется.

        • spec.ldap.kerberos.fallbackToPassword
          булевый

          Если true, при отсутствии/некорректном заголовке Authorization: Negotiate будет показана форма ввода логина/пароля вместо ответа 401 с WWW-Authenticate: Negotiate.

          По умолчанию: false

        • spec.ldap.kerberos.keytabSecretName
          строка

          Имя секрета в неймспейсе d8-user-authn, содержащего ключ krb5.keytab, который монтируется в под Dex.

        • spec.ldap.kerberos.krb5ConfConfigMapName
          строка

          Необязательное имя ConfigMap с ключом krb5.conf для монтирования в /etc/krb5.conf (обычно не требуется для офлайн‑проверки билетов).

        • spec.ldap.kerberos.krb5ConfSecretName
          строка

          Необязательное имя секрета с ключом krb5.conf для монтирования в /etc/krb5.conf (обычно не требуется для офлайн‑проверки билетов).

        • spec.ldap.kerberos.usernameFromPrincipal
          строка

          Способ сопоставления Kerberos principal с именем пользователя в LDAP: localpart, sAMAccountName или userPrincipalName.

          По умолчанию: Localpart

          Допустимые значения: Localpart, SAMAccountName, UserPrincipalName

      • spec.ldap.rootCAData
        строка

        Цепочка CA в формате PEM, используемая для валидации TLS.

        Не используется при insecureNoSSL: true.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.ldap.startTLS
        булевый

        Использовать STARTTLS для шифрования.

        Несовместимо с insecureNoSSL.

        По умолчанию: false

      • spec.ldap.userSearch
        объект

        Обязательный параметр

        Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).

        Подробнее о процессе фильтрации…

        • spec.ldap.userSearch.baseDN
          строка

          Обязательный параметр

          Откуда будет начат поиск пользователей.

          Пример:

          baseDN: cn=users,dc=example,dc=com
        • spec.ldap.userSearch.emailAttr
          строка

          Обязательный параметр

          Имя атрибута, из которого будет получен email пользователя.

          Пример:

          emailAttr: mail
        • spec.ldap.userSearch.filter
          строка

          Позволяет добавить фильтр для директории с пользователями.

          Пример:

          filter: "(objectClass=person)"
        • spec.ldap.userSearch.idAttr
          строка

          Обязательный параметр

          Имя атрибута, из которого будет получен ID пользователя.

          Пример:

          idAttr: uid
        • spec.ldap.userSearch.nameAttr
          строка

          Атрибут отображаемого имени пользователя.

          Пример:

          nameAttr: name
        • spec.ldap.userSearch.username
          строка

          Обязательный параметр

          Имя атрибута, из которого будет получен username пользователя.

          Пример:

          username: uid
      • spec.ldap.usernamePrompt
        строка

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: LDAP username

        Пример:

        usernamePrompt: SSO Username
    • spec.oidc
      объект

      Параметры провайдера OIDC (можно указывать, только если type: OIDC).

      • spec.oidc.allowedGroups
        массив строк

        Список групп, которые должны быть у пользователя для успешной аутентификации.

        Если список содержит группу, которой у пользователя нет, аутентификация будет отклонена.

        Если параметр не задан, проверка принадлежности к группам не выполняется.

      • spec.oidc.basicAuthUnsupported
        булевый

        Использовать POST-запросы для общения с провайдером вместо добавления токена в Basic Authorization header.

        В большинстве случаев Dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.

        По умолчанию: false

      • spec.oidc.claimMapping
        объект

        Некоторые провайдеры возвращают нестандартные claim’ы (например, mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.

        Dex может преобразовать нестандартный claim в стандартный, только если id_token, полученный от OIDC-провайдера, не содержит аналогичный стандартный claim.

        • spec.oidc.claimMapping.email
          строка

          Claim, который будет использован для получения email пользователя.

          По умолчанию: email

        • spec.oidc.claimMapping.groups
          строка

          Claim, который будет использован для получения групп пользователя.

          По умолчанию: groups

        • spec.oidc.claimMapping.preferred_username
          строка

          Claim, который будет использован для получения предпочтительного имени пользователя.

          По умолчанию: preferred_username

      • spec.oidc.claimMappingOverride
        булевый

        Если включено, сопоставление claim’ов (claimMapping) будет переопределять стандартные claim’ы OIDC.

        По умолчанию сопоставление claim’ов будет использоваться только в том случае, если стандартные claim’ы OIDC отсутствуют, например, если в id_token нет claim’а email, будет использоваться claimMapping.email.

        По умолчанию: false

      • spec.oidc.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в OIDC-провайдере.

      • spec.oidc.clientSecret
        строка

        Обязательный параметр

        Пароль приложения, созданного в OIDC-провайдере.

      • spec.oidc.enableBasicAuth
        булевый

        Включает возможность basic-авторизации для Kubernetes API server.

        В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в OIDC (возможно включить при указании только одного провайдера с типом OIDC/Crowd).

        Работает только при включенном параметре publishAPI.

        Полученные от IdP данные авторизации и групп сохраняются в кеш на 10 секунд.

      • spec.oidc.getUserInfo
        булевый

        Запрашивать дополнительные данные об успешно подключенном пользователе.

        Подробнее…

        По умолчанию: false

      • spec.oidc.insecureSkipEmailVerified
        булевый

        Игнорировать информацию о статусе подтверждения email пользователя.

        Как именно подтверждается email, решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден email или нет.

        По умолчанию: false

      • spec.oidc.insecureSkipVerify
        булевый

        Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.

        По умолчанию: false

      • spec.oidc.issuer
        строка

        Обязательный параметр

        Адрес OIDC-провайдера.

        Пример:

        issuer: https://accounts.google.com
      • spec.oidc.promptType
        строка

        Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.

        По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.

        По умолчанию: consent

      • spec.oidc.rootCAData
        строка

        Цепочка CA в формате PEM, используемая для валидации TLS.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.oidc.scopes
        массив строк

        Список полей для включения в ответ при запросе токена.

        По умолчанию: ["openid","profile","email","groups","offline_access"]

      • spec.oidc.userIDKey
        строка

        Claim, который будет использован для получения ID пользователя.

        По умолчанию: sub

      • spec.oidc.userNameKey
        строка

        Claim, который будет использован для получения имени пользователя.

        По умолчанию: name

    • spec.saml
      объект

      Параметры провайдера SAML (можно указывать, только если type: SAML).

      • spec.saml.allowedGroups
        массив строк

        Если задано, вход будет разрешён только членам хотя бы одной из перечисленных групп.

      • spec.saml.emailAttr
        строка

        SAML-атрибут для маппинга в claim email.

        По умолчанию: email

      • spec.saml.entityIssuer
        строка

        Значение Issuer, ожидаемое в SAML-ответе. По умолчанию — URL callback.

      • spec.saml.filterGroups
        булевый

        Если true, коннектор будет фильтровать claim groups, оставляя только группы из списка allowedGroups.

        По умолчанию: false

      • spec.saml.groupsAttr
        строка

        SAML-атрибут для маппинга в claim groups.

      • spec.saml.groupsDelim
        строка

        Разделитель для разбиения значения атрибута groups, если оно является одной строкой.

      • spec.saml.insecureSkipSignatureValidation
        булевый

        Пропустить проверку подписи SAML-ответов. Небезопасно, использовать только для тестирования.

        По умолчанию: false

      • spec.saml.nameIDPolicyFormat
        строка

        Формат NameIDPolicy для запроса к IdP.

        Допустимые значения: persistent, emailAddress, unspecified, X509SubjectName, WindowsDomainQualifiedName, transient

      • spec.saml.redirectURI
        строка

        URI обратного вызова.

        Переопределяет URL callback по умолчанию. Должен быть установлен в https://<dex-domain>/callback.

      • spec.saml.rootCAData
        строка

        Цепочка CA в формате PEM, используемая для валидации TLS.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.saml.ssoIssuer
        строка

        Значение Issuer, ожидаемое в SAML-ответе от IdP.

      • spec.saml.ssoURL
        строка

        Обязательный параметр

        URL для отправки SAML AuthnRequest (SSO URL провайдера).

        Пример:

        ssoURL: https://idp.example.com/saml/sso
      • spec.saml.usernameAttr
        строка

        SAML-атрибут для маппинга в claim username.

        По умолчанию: name

    • spec.type
      строка

      Обязательный параметр

      Тип внешнего провайдера.

      Допустимые значения: Github, Gitlab, BitbucketCloud, Crowd, OIDC, LDAP, SAML

Устаревший ресурс. Поддержка ресурса может быть исключена в следующих версиях.

Описывает конфигурацию подключения стороннего провайдера.

С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.

Пример использования…

  • spec
    объект

    Обязательный параметр

    • spec.bitbucketCloud
      объект

      Параметры провайдера Bitbucket Cloud (можно указывать, только если type: BitbucketCloud).

      • spec.bitbucketCloud.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в Bitbucket Cloud (Key).

      • spec.bitbucketCloud.clientSecret
        строка

        Обязательный параметр

        Secret приложения, созданного в Bitbucket Cloud (Secret).

      • spec.bitbucketCloud.includeTeamGroups
        булевый

        Включает в список команд все группы команды, в которых состоит пользователь.

        Пример групп пользователя с включенной опцией:

        groups=["my_team", "my_team/administrators", "my_team/members"]

        По умолчанию: false

      • spec.bitbucketCloud.teams
        массив строк

        Список-фильтр команд, допустимых для приема из Bitbucket Cloud.

        Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться успешной.

        Токен будет содержать команды пользователя в claim groups, как и у других провайдеров.

    • spec.crowd
      объект

      Параметры провайдера Crowd (можно указывать, только если type: Crowd).

      • spec.crowd.baseURL
        строка

        Обязательный параметр

        Адрес Crowd.

        Пример:

        baseURL: https://crowd.example.com/crowd
      • spec.crowd.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в Crowd (Application Name).

      • spec.crowd.clientSecret
        строка

        Обязательный параметр

        Пароль приложения, созданного в Crowd (Password).

      • spec.crowd.enableBasicAuth
        булевый

        Включает возможность базовой аутентификации (Basic Authentication) для Kubernetes API server.

        В качестве учетных данных используются логин и пароль пользователя Crowd (из приложения, настроенного для этого провайдера).

        Ограничения:

        • работает только при включенном publishAPI;
        • может быть включено только для одного провайдера аутентификации типа OIDC или Crowd в кластере.

        Данные аутентификации и группы, полученные от провайдера аутентификации, кешируются на 10 секунд.

      • spec.crowd.groups
        массив строк

        Список-фильтр групп, допустимых для приема из Crowd.

        Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из Crowd.

      • spec.crowd.usernamePrompt
        строка

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: Crowd username

    • spec.displayName
      строка

      Обязательный параметр

      Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.

      Если настроен всего один провайдер, страница выбора провайдера показываться не будет.

    • spec.enabled
      булевый

      Если значение false, провайдер будет проигнорирован при формировании конфигурации Dex и не появится на странице логина.

      По умолчанию: true

    • spec.github
      объект

      Параметры провайдера GitHub (можно указывать? только если type: Github).

      • spec.github.clientID
        строка

        Обязательный параметр

        ID организации на GitHub.

      • spec.github.clientSecret
        строка

        Обязательный параметр

        Secret организации на GitHub.

      • spec.github.orgs
        массив объектов

        Массив названий организаций в GitHub.

        • spec.github.orgs.name
          строка

          Обязательный параметр

          Название организации.

        • spec.github.orgs.teams
          массив строк

          Список команд, допустимых для приема из GitHub.

          Токен пользователя будет содержать объединенное множество команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

          Если параметр не указан, токен пользователя будет содержать все команды из GitHub.

      • spec.github.teamNameField
        строка

        Формат команд, которые будут получены из GitHub.

        Если в организации acme есть группа Site Reliability Engineers, в случае:

        • name будет получена группа с именем ['acme:Site Reliability Engineers'];
        • slug будет получена группа с именем ['acme:site-reliability-engineers'];
        • both будут получены группы с именами ['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].

        По умолчанию: name

        Допустимые значения: name, slug, both

      • spec.github.useLoginAsID
        булевый

        Позволяет вместо использования внутреннего GitHub ID использовать имя пользователя.

    • spec.gitlab
      объект

      Параметры провайдера GitLab (можно указывать, только если type: Gitlab).

      • spec.gitlab.baseURL
        строка

        Адрес GitLab.

        Пример:

        baseURL: https://gitlab.example.com
      • spec.gitlab.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в GitLab (Application ID).

      • spec.gitlab.clientSecret
        строка

        Обязательный параметр

        Secret приложения, созданного в GitLab (Secret).

      • spec.gitlab.groups
        массив строк

        Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.

        Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из GitLab.

      • spec.gitlab.rootCAData
        строка

        A CA chain to validate the provider in PEM format.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.gitlab.useLoginAsID
        булевый

        Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.

    • spec.ldap
      объект

      Параметры провайдера LDAP.

      • spec.ldap.bindDN
        строка

        Путь до сервис-аккаунта приложения в LDAP.

        Пример:

        bindDN: uid=serviceaccount,cn=users,dc=example,dc=com
      • spec.ldap.bindPW
        строка

        Пароль для сервис-аккаунта приложения в LDAP.

        Пример:

        bindPW: password
      • spec.ldap.enableBasicAuth
        булевый

        Включает возможность базовой аутентификации (Basic Authentication) для Kubernetes API server с использованием этого LDAP-провайдера.

        В качестве учетных данных используются логин и пароль пользователя из LDAP. Эта функция недоступна если в кластере присутствует более одного провайдера аутентификации (IdP) типа OIDC, Crowd или LDAP.

        Работает только при включенном параметре publishAPI.

        Полученные от IdP данные аутентификации и групп сохраняются в кеш на 10 секунд.

      • spec.ldap.groupSearch
        объект

        Настройки фильтра для поиска групп для указанного пользователя.

        Подробнее о процессе фильтрации…

        • spec.ldap.groupSearch.baseDN
          строка

          Обязательный параметр

          Откуда будет начат поиск групп

          Пример:

          baseDN: cn=users,dc=example,dc=com
        • spec.ldap.groupSearch.filter
          строка

          Фильтр для директории с группами.

          Пример:

          filter: "(objectClass=person)"
        • spec.ldap.groupSearch.nameAttr
          строка

          Обязательный параметр

          Имя атрибута, в котором хранится уникальное имя группы.

          Пример:

          nameAttr: name
        • spec.ldap.groupSearch.userMatchers
          массив объектов

          Обязательный параметр

          Список сопоставлений атрибута имени юзера с именем группы.

          • spec.ldap.groupSearch.userMatchers.groupAttr
            строка

            Обязательный параметр

            Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.

            Пример:

            groupAttr: member
          • spec.ldap.groupSearch.userMatchers.userAttr
            строка

            Обязательный параметр

            Имя атрибута, в котором хранится имя пользователя.

            Пример:

            userAttr: uid
      • spec.ldap.host
        строка

        Обязательный параметр

        Адрес и порт (опционально) LDAP-сервера.

        Пример:

        host: ldap.example.com:636
      • spec.ldap.insecureNoSSL
        булевый

        Подключаться к каталогу LDAP не по защищенному порту.

        Несовместимо с startTLS, insecureSkipVerify и rootCAData: если insecureNoSSL: true, TLS отключён и эти параметры не имеют эффекта.

        По умолчанию: false

      • spec.ldap.insecureSkipVerify
        булевый

        Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.

        Не используется при insecureNoSSL: true.

        По умолчанию: false

      • spec.ldap.kerberos
        объект

        Опциональные настройки Kerberos (SPNEGO) SSO для LDAP.

        • spec.ldap.kerberos.enabled
          булевый

          Включить поток аутентификации Kerberos SPNEGO для данного LDAP‑провайдера.

          По умолчанию: false

        • spec.ldap.kerberos.expectedRealm
          строка

          Необязательный требуемый realm (без учета регистра). Если указан и не совпадает с realm билета — вход отклоняется.

        • spec.ldap.kerberos.fallbackToPassword
          булевый

          Если true, при отсутствии/некорректном заголовке Authorization: Negotiate будет показана форма ввода логина/пароля вместо ответа 401 с WWW-Authenticate: Negotiate.

          По умолчанию: false

        • spec.ldap.kerberos.keytabSecretName
          строка

          Имя секрета в неймспейсе d8-user-authn, содержащего ключ krb5.keytab, который монтируется в под Dex.

        • spec.ldap.kerberos.krb5ConfConfigMapName
          строка

          Необязательное имя ConfigMap с ключом krb5.conf для монтирования в /etc/krb5.conf (обычно не требуется для офлайн‑проверки билетов).

        • spec.ldap.kerberos.krb5ConfSecretName
          строка

          Необязательное имя секрета с ключом krb5.conf для монтирования в /etc/krb5.conf (обычно не требуется для офлайн‑проверки билетов).

        • spec.ldap.kerberos.usernameFromPrincipal
          строка

          Способ сопоставления Kerberos principal с именем пользователя в LDAP: localpart, sAMAccountName или userPrincipalName.

          По умолчанию: Localpart

          Допустимые значения: Localpart, SAMAccountName, UserPrincipalName

      • spec.ldap.rootCAData
        строка

        Цепочка CA в формате PEM, используемая для валидации TLS.

        Не используется при insecureNoSSL: true.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.ldap.startTLS
        булевый

        Использовать STARTTLS для шифрования.

        Несовместимо с insecureNoSSL.

        По умолчанию: false

      • spec.ldap.userSearch
        объект

        Обязательный параметр

        Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).

        Подробнее о процессе фильтрации…

        • spec.ldap.userSearch.baseDN
          строка

          Обязательный параметр

          Откуда будет начат поиск пользователей.

          Пример:

          baseDN: cn=users,dc=example,dc=com
        • spec.ldap.userSearch.emailAttr
          строка

          Обязательный параметр

          Имя атрибута, из которого будет получен email пользователя.

          Пример:

          emailAttr: mail
        • spec.ldap.userSearch.filter
          строка

          Позволяет добавить фильтр для директории с пользователями.

          Пример:

          filter: "(objectClass=person)"
        • spec.ldap.userSearch.idAttr
          строка

          Обязательный параметр

          Имя атрибута, из которого будет получен ID пользователя.

          Пример:

          idAttr: uid
        • spec.ldap.userSearch.nameAttr
          строка

          Атрибут отображаемого имени пользователя.

          Пример:

          nameAttr: name
        • spec.ldap.userSearch.username
          строка

          Обязательный параметр

          Имя атрибута, из которого будет получен username пользователя.

          Пример:

          username: uid
      • spec.ldap.usernamePrompt
        строка

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: LDAP username

        Пример:

        usernamePrompt: SSO Username
    • spec.oidc
      объект

      Параметры провайдера OIDC (можно указывать, только если type: OIDC).

      • spec.oidc.allowedGroups
        массив строк

        Список групп, которые должны быть у пользователя для успешной аутентификации.

        Если список содержит группу, которой у пользователя нет, аутентификация будет отклонена.

        Если параметр не задан, проверка принадлежности к группам не выполняется.

      • spec.oidc.basicAuthUnsupported
        булевый

        Использовать POST-запросы для общения с провайдером вместо добавления токена в Basic Authorization header.

        В большинстве случаев Dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.

        По умолчанию: false

      • spec.oidc.claimMapping
        объект

        Некоторые провайдеры возвращают нестандартные claim’ы (например, mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.

        Dex может преобразовать нестандартный claim в стандартный, только если id_token, полученный от OIDC-провайдера, не содержит аналогичный стандартный claim.

        • spec.oidc.claimMapping.email
          строка

          Claim, который будет использован для получения email пользователя.

          По умолчанию: email

        • spec.oidc.claimMapping.groups
          строка

          Claim, который будет использован для получения групп пользователя.

          По умолчанию: groups

        • spec.oidc.claimMapping.preferred_username
          строка

          Claim, который будет использован для получения предпочтительного имени пользователя.

          По умолчанию: preferred_username

      • spec.oidc.claimMappingOverride
        булевый

        Если включено, сопоставление claim’ов (claimMapping) будет переопределять стандартные claim’ы OIDC.

        По умолчанию сопоставление claim’ов будет использоваться только в том случае, если стандартные claim’ы OIDC отсутствуют, например, если в id_token нет claim’а email, будет использоваться claimMapping.email.

        По умолчанию: false

      • spec.oidc.clientID
        строка

        Обязательный параметр

        ID приложения, созданного в OIDC-провайдере.

      • spec.oidc.clientSecret
        строка

        Обязательный параметр

        Пароль приложения, созданного в OIDC-провайдере.

      • spec.oidc.enableBasicAuth
        булевый

        Включает возможность basic-авторизации для Kubernetes API server.

        В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в OIDC (возможно включить при указании только одного провайдера с типом OIDC/Crowd).

        Работает только при включенном параметре publishAPI.

        Полученные от IdP данные авторизации и групп сохраняются в кеш на 10 секунд.

      • spec.oidc.getUserInfo
        булевый

        Запрашивать дополнительные данные об успешно подключенном пользователе.

        Подробнее…

        По умолчанию: false

      • spec.oidc.insecureSkipEmailVerified
        булевый

        Игнорировать информацию о статусе подтверждения email пользователя.

        Как именно подтверждается email, решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден email или нет.

        По умолчанию: false

      • spec.oidc.insecureSkipVerify
        булевый

        Не производить проверку подлинности провайдера с помощью TLS. Небезопасно, не рекомендуется использовать в production-окружениях.

        По умолчанию: false

      • spec.oidc.issuer
        строка

        Обязательный параметр

        Адрес OIDC-провайдера.

        Пример:

        issuer: https://accounts.google.com
      • spec.oidc.promptType
        строка

        Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.

        По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.

        По умолчанию: consent

      • spec.oidc.rootCAData
        строка

        Цепочка CA в формате PEM, используемая для валидации TLS.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.oidc.scopes
        массив строк

        Список полей для включения в ответ при запросе токена.

        По умолчанию: ["openid","profile","email","groups","offline_access"]

      • spec.oidc.userIDKey
        строка

        Claim, который будет использован для получения ID пользователя.

        По умолчанию: sub

      • spec.oidc.userNameKey
        строка

        Claim, который будет использован для получения имени пользователя.

        По умолчанию: name

    • spec.saml
      объект

      Параметры провайдера SAML (можно указывать, только если type: SAML).

      • spec.saml.allowedGroups
        массив строк

        Если задано, вход будет разрешён только членам хотя бы одной из перечисленных групп.

      • spec.saml.emailAttr
        строка

        SAML-атрибут для маппинга в claim email.

        По умолчанию: email

      • spec.saml.entityIssuer
        строка

        Значение Issuer, ожидаемое в SAML-ответе. По умолчанию — URL callback.

      • spec.saml.filterGroups
        булевый

        Если true, коннектор будет фильтровать claim groups, оставляя только группы из списка allowedGroups.

        По умолчанию: false

      • spec.saml.groupsAttr
        строка

        SAML-атрибут для маппинга в claim groups.

      • spec.saml.groupsDelim
        строка

        Разделитель для разбиения значения атрибута groups, если оно является одной строкой.

      • spec.saml.insecureSkipSignatureValidation
        булевый

        Пропустить проверку подписи SAML-ответов. Небезопасно, использовать только для тестирования.

        По умолчанию: false

      • spec.saml.nameIDPolicyFormat
        строка

        Формат NameIDPolicy для запроса к IdP.

        Допустимые значения: persistent, emailAddress, unspecified, X509SubjectName, WindowsDomainQualifiedName, transient

      • spec.saml.redirectURI
        строка

        URI обратного вызова.

        Переопределяет URL callback по умолчанию. Должен быть установлен в https://<dex-domain>/callback.

      • spec.saml.rootCAData
        строка

        Цепочка CA в формате PEM, используемая для валидации TLS.

        Пример:

        rootCAData: |
  -----BEGIN CERTIFICATE-----
  MIIFaDC...
  -----END CERTIFICATE-----
      • spec.saml.ssoIssuer
        строка

        Значение Issuer, ожидаемое в SAML-ответе от IdP.

      • spec.saml.ssoURL
        строка

        Обязательный параметр

        URL для отправки SAML AuthnRequest (SSO URL провайдера).

        Пример:

        ssoURL: https://idp.example.com/saml/sso
      • spec.saml.usernameAttr
        строка

        SAML-атрибут для маппинга в claim username.

        По умолчанию: name

    • spec.type
      строка

      Обязательный параметр

      Тип внешнего провайдера.

      Допустимые значения: Github, Gitlab, BitbucketCloud, Crowd, OIDC, LDAP, SAML

Group

Scope: Cluster
Version: v1alpha1

Содержит информацию о статических группах.

  • spec
    объект

    Обязательный параметр

    • spec.members
      массив объектов

      Обязательный параметр

      Список членов группы.

      • spec.members.kind
        строка

        Обязательный параметр

        Тип члена группы.

        Допустимые значения: User, Group

      • spec.members.name
        строка

        Обязательный параметр

        Имя пользователя (члена группы) или название группы (члена группы).

    • spec.name
      строка

      Обязательный параметр

      Уникальное имя группы.

    • spec.status
      объект
      • spec.status.errors
        массив объектов
        • spec.status.errors.message
          строка
        • spec.status.errors.objectRef
          объект
          • spec.status.errors.objectRef.kind
            строка

            Допустимые значения: User, Group

          • spec.status.errors.objectRef.name
            строка

UserOperation

Scope: Cluster

  • v1
  • v1alpha1

Содержит информацию об операции над пользователем (сброс пароля, сброс 2FA, блокировка/разблокировка).

Для локальных пользователей операции ResetPassword, Reset2FA и Lock также удаляют принадлежащие пользователю объекты Dex OfflineSessions и RefreshToken. Это завершает активные offline-сессии и требует от пользователя повторной аутентификации.

  • spec
    объект

    Обязательный параметр

    • spec.initiatorType
      строка

      Указывает, кем инициирована операция. Возможные значения:

      • admin — администратором;
      • system — автоматически системой;
      • self — самим пользователем.
    • spec.lock
      объект

      Параметры операции по блокировке пользователя.

      • spec.lock.for
        строка

        Обязательный параметр

        Длительность блокировки в формате Go (30s, 10m, 1h, 2h30m, 7d) либо permanent — бессрочная блокировка, снимается только Unlock. Дни раскрываются хуком как 1d = 24h перед парсингом.

        Шаблон: ^(permanent|([0-9]+(\.[0-9]+)?(s|m|h|d))+)$

    • spec.resetPassword
      объект

      Параметры операции по сбросу пароля.

      • spec.resetPassword.newPasswordHash
        строка

        Новый пароль в виде bcrypt-хеша.
        Хеш должен быть получен заранее и передан в поле CR.

    • spec.target
      объект

      Идентификатор внешней (нелокальной) учётной записи, которой управляет внешний провайдер аутентификации (LDAP, Atlassian Crowd и т. п.).

      Операции Lock и Unlock для target выполняются над объектом OfflineSessions, который хранит счётчик неудачных попыток входа и состояние блокировки для соответствующей пары (connectorID, email).

      Одновременно можно указать только одно из полей: user или target.

      • spec.target.connectorID
        строка

        Обязательный параметр

        Идентификатор DexProvider (коннектора), через который входит пользователь.

        Примеры:

        connectorID: my-ldap

        connectorID: my-crowd
      • spec.target.email
        строка

        Обязательный параметр

        Email внешнего пользователя в том виде, в котором его сообщает коннектор.

        Сохраняется в OfflineSessions.email и используется как стабильный идентификатор для административных операций.

        Пример:

        email: jane.doe@example.org
    • spec.type
      строка

      Обязательный параметр

      Тип операции над пользователем. Возможные значения:

      • ResetPassword — сброс пароля;
      • Reset2FA — сброс двухфакторной аутентификации;
      • Lock — блокировка пользователя;
      • Unlock — разблокировка пользователя.

      Допустимые значения: ResetPassword, Reset2FA, Lock, Unlock

    • spec.user
      строка

      Имя локального пользователя (ссылка на ресурс User).

      Используется для операций над пользователями, которыми DKP управляет через CRD User (встроенный локальный коннектор).

      Одновременно можно указать только одно из полей: user или target.

      Пример:

      user: jane.doe
  • status
    объект
    • status.completedAt
      строка

      Время завершения операции.

    • status.message
      строка

      Дополнительное сообщение о результате выполнения операции или причине ошибки.

    • status.phase
      строка

      Текущий статус выполнения операции. Возможные значения:

      • Succeeded — операция успешно выполнена;
      • Failed — операция завершилась ошибкой.

      Допустимые значения: Succeeded, Failed

Устаревший ресурс. Поддержка ресурса может быть исключена в следующих версиях.

Содержит информацию об операции над пользователем (сброс пароля, сброс 2FA, блокировка/разблокировка).

Для локальных пользователей операции ResetPassword, Reset2FA и Lock также удаляют принадлежащие пользователю объекты Dex OfflineSessions и RefreshToken. Это завершает активные offline-сессии и требует от пользователя повторной аутентификации.

  • spec
    объект

    Обязательный параметр

    • spec.initiatorType
      строка

      Указывает, кем инициирована операция. Возможные значения:

      • admin — администратором;
      • system — автоматически системой;
      • self — самим пользователем.
    • spec.lock
      объект

      Параметры операции по блокировке пользователя.

      • spec.lock.for
        строка

        Обязательный параметр

        Длительность блокировки в формате Go (30s, 10m, 1h, 2h30m, 7d) либо permanent — бессрочная блокировка, снимается только Unlock. Дни раскрываются хуком как 1d = 24h перед парсингом.

        Шаблон: ^(permanent|([0-9]+(\.[0-9]+)?(s|m|h|d))+)$

    • spec.resetPassword
      объект

      Параметры операции по сбросу пароля.

      • spec.resetPassword.newPasswordHash
        строка

        Новый пароль в виде bcrypt-хеша.
        Хеш должен быть получен заранее и передан в поле CR.

    • spec.type
      строка

      Обязательный параметр

      Тип операции над пользователем. Возможные значения:

      • ResetPassword — сброс пароля;
      • Reset2FA — сброс двухфакторной аутентификации;
      • Lock — блокировка пользователя;
      • Unlock — разблокировка пользователя.

      Допустимые значения: ResetPassword, Reset2FA, Lock, Unlock

    • spec.user
      строка

      Обязательный параметр

      Имя пользователя (ссылка на ресурс User).

      Пример:

      user: jane.doe
  • status
    объект
    • status.completedAt
      строка

      Время завершения операции.

    • status.message
      строка

      Дополнительное сообщение о результате выполнения операции или причине ошибки.

    • status.phase
      строка

      Текущий статус выполнения операции. Возможные значения:

      • Succeeded — операция успешно выполнена;
      • Failed — операция завершилась ошибкой.

      Допустимые значения: Succeeded, Failed

User

Scope: Cluster

  • v1
  • v1alpha1

Содержит информацию о статическом пользователе.

Пример использования…

  • spec
    объект

    Обязательный параметр

    • spec.email
      строка

      Обязательный параметр

      Email пользователя.

      Важно! При использовании совместно с модулем user-authz, для выдачи прав конкретному пользователю в качестве имени пользователя в CR ClusterAuthorizationRule необходимо указывать email.

      Пример:

      email: user@domain.com
    • spec.groups
      Параметр устарел
      массив строк

      Список групп, в которых у пользователя есть членство.

      Т.к. параметр устарел, добавление пользователя в группы теперь осуществляется через ресурс Group.

    • spec.password
      строка

      Обязательный параметр

      Хеш пароля пользователя в явном виде или закодированный в Base64.

      Для получения хеша пароля в Base64 можно воспользоваться командой echo -n '<PASSWORD>' | htpasswd -BinC 10 "" | cut -d: -f2 | tr -d '\n' | base64 -w0; echo. Также можно воспользоваться онлайн-сервисом (например, https://bcrypt-generator.com/).

      Пример:

      password: JDJ5JDEwJGRNWGVGUVBkdUdYYVMyWDFPcGdZdk9HSy81LkdsNm5sdU9mUkhnNWlQdDhuSlh6SzhpeS5H
    • spec.ttl
      строка

      Время жизни учетной записи пользователя (TTL).

      Задаётся в виде строки с указанием часов и минут: 30m, 1h, 2h30m, 24h.

      Указать TTL можно только 1 раз. При повторном изменении TTL, дата expireAt не обновляется.

      Шаблон: ^([0-9]+h([0-9]+m)?|[0-9]+m)$

      Пример:

      ttl: 24h
    • spec.userID
      Параметр устарел
      строка

      Уникальное имя (ID) пользователя.

      Больше не используется. Заполняется автоматически.

  • status
    объект
    • status.expireAt
      строка

      Дата окончания действия учетной записи пользователя.

      • Появляется только при заполнении поля .spec.ttl.
      • При достижении этой даты учетная запись будет удалена.
      • Синхронизируется раз в 5 минут. Возможен временной лаг между датой в этом поле и датой фактического удаления пользователя.
    • status.groups
      массив строк

      Список групп, в которых у пользователя есть членство.

    • status.lock
      объект

      Информация о блокировке учётной записи пользователя. Если объект присутствует и state: true, пользователь не может аутентифицироваться до указанного времени или пока блокировка не будет снята администратором.

      Административные действия с учётной записью (блокировка, разблокировка, принудительная смена пароля, сброс 2FA) выполняются через ресурс UserOperation. При блокировке учётной записи администратором или при принудительной смене пароля все активные сессии пользователя (объекты Dex OfflineSessions и RefreshToken) удаляются — пользователь обязан пройти повторную аутентификацию; в случае принудительной смены пароля при следующем успешном входе ему будет показана форма смены пароля.

      • status.lock.message
        строка

        Человекочитаемое описание причины блокировки.

      • status.lock.reason
        строка

        Машиночитаемая причина блокировки учётной записи. Используется для проверки политик и автоматических обработчиков.

        Допустимые значения: PasswordPolicyLockout, LockedByAdministrator

      • status.lock.state
        булевый

        Показывает, заблокирован ли в данный момент пользователь.

        • true — учётная запись заблокирована.
        • false — учётная запись активна.
      • status.lock.until
        строка

        Время (в формате RFC3339), до которого учётная запись будет оставаться заблокированной. После наступления этого времени блокировка снимается автоматически.

Устаревший ресурс. Поддержка ресурса может быть исключена в следующих версиях.

Содержит информацию о статическом пользователе.

Пример использования…

  • spec
    объект

    Обязательный параметр

    • spec.email
      строка

      Обязательный параметр

      Email пользователя. Должен быть в нижнем регистре.

      Важно! При использовании совместно с модулем user-authz для выдачи прав конкретному пользователю в качестве имени пользователя в custom resource ClusterAuthorizationRule необходимо указывать email.

      Важно! Email-адреса проверяются на уникальность без учёта регистра. Dex автоматически преобразует email-адреса в нижний регистр при аутентификации. Для новых пользователей заглавные буквы в email-адресах не допускаются. Существующие пользователи с заглавными буквами в email могут быть обновлены без изменения поля email.

      Пример:

      email: user@domain.com
    • spec.groups
      Параметр устарел
      массив строк

      Список групп, в которых у пользователя есть членство.

      Т.к. параметр устарел, добавление пользователя в группы теперь осуществляется через ресурс Group.

    • spec.password
      строка

      Обязательный параметр

      Хеш пароля пользователя в явном виде или закодированный в Base64.

      Для получения хеша пароля в Base64 можно воспользоваться командой echo -n '<PASSWORD>' | htpasswd -BinC 10 "" | cut -d: -f2 | tr -d '\n' | base64 -w0; echo. Также можно воспользоваться онлайн-сервисом (например, https://bcrypt-generator.com/).

      Важно. Если используется политика паролей с контролем сложности выше None, пользователь будет обязан сменить установленный таким образом пароль после первого успешного входа в систему.

      Пример:

      password: JDJ5JDEwJGRNWGVGUVBkdUdYYVMyWDFPcGdZdk9HSy81LkdsNm5sdU9mUkhnNWlQdDhuSlh6SzhpeS5H
    • spec.ttl
      строка

      Время жизни учетной записи пользователя (TTL).

      Задается в виде строки с указанием часов и минут: 30m, 1h, 2h30m, 24h.

      Указать TTL можно только 1 раз. При повторном изменении TTL дата expireAt не обновляется.

      Шаблон: ^([0-9]+h([0-9]+m)?|[0-9]+m)$

      Пример:

      ttl: 24h
    • spec.userID
      строка

      Уникальное имя (ID) пользователя.

      Пример:

      userID: '08a8684b-db88-4b73-90a9-3cd1661f5466'
  • status
    объект
    • status.expireAt
      строка

      Дата окончания действия учетной записи пользователя:

      • Появляется только при заполнении поля .spec.ttl.
      • При достижении этой даты учетная запись будет удалена.
      • Синхронизируется раз в 5 минут. Возможен временной лаг между датой в этом поле и датой фактического удаления пользователя.
    • status.groups
      массив строк

      Список групп, в которых у пользователя есть членство.

    • status.lock
      объект

      Информация о блокировке учётной записи пользователя. Если объект присутствует и state: true, пользователь не может аутентифицироваться до указанного времени или пока блокировка не будет снята администратором.

      Административные действия с учётной записью (блокировка, разблокировка, принудительная смена пароля, сброс 2FA) выполняются через ресурс UserOperation. При блокировке учётной записи администратором или при принудительной смене пароля все активные сессии пользователя (объекты Dex OfflineSessions и RefreshToken) удаляются — пользователь обязан пройти повторную аутентификацию; в случае принудительной смены пароля при следующем успешном входе ему будет показана форма смены пароля.

      • status.lock.message
        строка

        Человекочитаемое описание причины блокировки.

      • status.lock.reason
        строка

        Машиночитаемая причина блокировки учётной записи. Используется для проверки политик и автоматических обработчиков.

        Допустимые значения: PasswordPolicyLockout, LockedByAdministrator

      • status.lock.state
        булевый

        Показывает, заблокирован ли в данный момент пользователь.

        • true — учётная запись заблокирована.
        • false — учётная запись активна.
      • status.lock.until
        строка

        Время (в формате RFC3339), до которого учётная запись будет оставаться заблокированной. После наступления этого времени блокировка снимается автоматически.