DexAuthenticator
Scope: Namespaced
При появлении объекта DexAuthenticator в namespace будут созданы:
- Deployment с oauth2-proxy и redis;
- Service, ведущий на Deployment с oauth2-proxy;
- Ingress, который принимает запросы по адресу
https://<applicationDomain>/dex-authenticatorи отправляет их в сторону Service; - Secret’ы, необходимые для доступа к Dex.
Важно! При перезапуске пода с oauth2-proxy с помощью refresh token’а будут получены и сохранены в память redis актуальные access token и id token.
Пример:
apiVersion: deckhouse.io/v1
kind: DexAuthenticator
metadata:
name: app-name
namespace: app-namespace
spec:
applicationDomain: app-name.kube.my-domain.com
sendAuthorizationHeader: false
applicationIngressCertificateSecretName: ingress-tls
applicationIngressClassName: nginx
keepUsersLoggedInFor: 720h
allowedGroups:
- everyone
- admins
whitelistSourceRanges:
- 1.1.1.1/32
- 192.168.0.0/24
- массив строк
Группы, пользователям которых разрешено проходить аутентификацию.
Дополнительно параметр помогает ограничить список групп до тех, которые несут для приложения полезную информацию.
Например, в случае если у пользователя более 50 групп, но приложению Grafana мы хотим передать только определенные 5 групп.
По умолчанию:
All groups are allowed. - строка
Обязательный параметр
Внешний адрес вашего приложения, с которого пользовательский запрос будет перенаправлен для авторизации в Dex.
Не должен содержать HTTP-схему.
Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationDomain: my-app.domain.com - строка
Имя Secret’а с TLS-сертификатом (от домена
applicationDomain), который используется в Ingress-объекте приложения. Secret должен обязательно находиться в том же namespace, что и DexAuthenticator.Шаблон:
^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$Пример:
applicationIngressCertificateSecretName: ingress-tls - строка
Обязательный параметр
Название Ingress-класса, которое будет использоваться в Ingress-объекте (должно совпадать с названием Ingress-класса для
applicationDomain).Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationIngressClassName: nginx - объект
Определяет
nodeSelectorдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список
nodeSelector. Поды инстанса унаследуют это поле как есть. - булевый
Флаг, который отвечает за отправку конечному приложению заголовка
Authorization: Bearer.Включать, только если приложение умеет обрабатывать такой заголовок.
- массив объектов
Определяет
tolerationsдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.
- строка
Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (
Equal) значению или допустимо существование ключа с любым значением.Указание
Existsравносильно допуску любого значения (для value), чтобы под с указанным toleration удовлетворял соответствующему taint’у.По умолчанию:
"Equal"Допустимые значения:
Exists,Equal - целочисленный
Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем вытеснить (evict) под с узла, если toleration перестал удовлетворять taint’у (справедливо только для effect
NoExecute, иначе игнорируется).Если не установлено, под не будет вытеснен с узла, если toleration перестал удовлетворять taint. Если установлен в ноль (или отрицателен), под будет вытеснен с узла немедленно, если toleration перестал удовлетворять taint’у.
По умолчанию используется значение «не установлено».
- массив строк
Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.
Пример:
whitelistSourceRanges: 192.168.42.0/24
При появлении объекта DexAuthenticator в namespace будут созданы:
- Deployment с oauth2-proxy и redis;
- Service, ведущий на Deployment с oauth2-proxy;
- Ingress, который принимает запросы по адресу
https://<applicationDomain>/dex-authenticatorи отправляет их в сторону Service; - Secret’ы, необходимые для доступа к Dex.
Важно! При перезапуске пода с oauth2-proxy с помощью refresh token’а будут получены и сохранены в память redis актуальные access token и id token.
Пример:
apiVersion: deckhouse.io/v1
kind: DexAuthenticator
metadata:
name: app-name
namespace: app-namespace
spec:
applicationDomain: app-name.kube.my-domain.com
sendAuthorizationHeader: false
applicationIngressCertificateSecretName: ingress-tls
applicationIngressClassName: nginx
keepUsersLoggedInFor: 720h
allowedGroups:
- everyone
- admins
whitelistSourceRanges:
- 1.1.1.1/32
- 192.168.0.0/24
- массив строк
Группы, пользователям которых разрешено проходить аутентификацию.
Дополнительно параметр помогает ограничить список групп до тех, которые несут для приложения полезную информацию.
Например, в случае если у пользователя более 50 групп, но приложению Grafana мы хотим передать только определенные 5 групп.
По умолчанию:
All groups are allowed. - строка
Обязательный параметр
Внешний адрес вашего приложения, с которого пользовательский запрос будет перенаправлен для авторизации в Dex.
Не должен содержать HTTP-схему.
Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationDomain: my-app.domain.com - строка
Имя Secret’а с TLS-сертификатом (от домена
applicationDomain), который используется в Ingress-объекте приложения. Secret должен обязательно находиться в том же namespace, что и DexAuthenticator.Шаблон:
^(|[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)$Пример:
applicationIngressCertificateSecretName: ingress-tls - строка
Обязательный параметр
Название Ingress-класса, которое будет использоваться в Ingress-объекте (должно совпадать с названием Ingress-класса для
applicationDomain).Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$Пример:
applicationIngressClassName: nginx - объект
Определяет
nodeSelectorдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список
nodeSelector. Поды инстанса унаследуют это поле как есть. - булевый
Флаг, который отвечает за отправку конечному приложению заголовка
Authorization: Bearer.Включать, только если приложение умеет обрабатывать такой заголовок.
- массив объектов
Определяет
tolerationsдля подовdex-authenticator.Если ничего не указано или указано
false, будет использоваться автоматика.Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.
- строка
Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (
Equal) значению или допустимо существование ключа с любым значением.Указание
Existsравносильно допуску любого значения (для value), чтобы под с указанным toleration удовлетворял соответствующему taint’у.По умолчанию:
"Equal"Допустимые значения:
Exists,Equal - целочисленный
Определяет период времени в секундах, в течение которого планировщик должен ждать, прежде чем вытеснить (evict) под с узла, если toleration перестал удовлетворять taint’у (справедливо только для effect
NoExecute, иначе игнорируется).Если не установлено, под не будет вытеснен с узла, если toleration перестал удовлетворять taint. Если установлен в ноль (или отрицателен), под будет вытеснен с узла немедленно, если toleration перестал удовлетворять taint’у.
По умолчанию используется значение «не установлено».
- массив строк
Список адресов в формате CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.
Пример:
whitelistSourceRanges: 192.168.42.0/24
DexClient
Scope: Namespaced
Позволяет приложениям, поддерживающим DC-аутентификацию, взаимодействовать с Dex.
После появления в кластере объекта DexClient:
- в Dex будет зарегистрирован клиент с идентификатором (clientID)
dex-client-<NAME>@<NAMESPACE>, где<NAME>и<NAMESPACE>—metadata.nameиmetadata.namespaceобъекта DexClient соответственно; - в соответствующем namespace будет создан Secret
dex-client-<NAME>(где<NAME>—metadata.nameобъекта DexClient), содержащий пароль доступа к клиенту (clientSecret).
Позволяет приложениям, поддерживающим DC-аутентификацию, взаимодействовать с Dex.
После появления в кластере объекта DexClient:
- в Dex будет зарегистрирован клиент с идентификатором (clientID)
dex-client-<NAME>@<NAMESPACE>, где<NAME>и<NAMESPACE>—metadata.nameиmetadata.namespaceобъекта DexClient соответственно; - в соответствующем namespace будет создан Secret
dex-client-<NAME>(где<NAME>—metadata.nameобъекта DexClient), содержащий пароль доступа к клиенту (clientSecret).
DexProvider
Scope: Cluster
Описывает конфигурацию подключения стороннего провайдера.
С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.
- объект
Параметры провайдера Bitbucket Cloud (можно указывать, только если
type: BitbucketCloud).- массив строк
Список-фильтр команд, допустимых для приема из Bitbucket Cloud.
Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться успешной.
Токен будет содержать команды пользователя в claim
groups, как и у других провайдеров.
- булевый
Включает возможность basic-авторизации для Kubernetes API server.
В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом Crowd).
Работает только при включенном
publishAPI.Полученные от Crowd данные авторизации и групп сохраняются в кэш на 10 секунд.
- массив строк
Список-фильтр групп, допустимых для приема из Crowd.
Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из Crowd.
- массив строк
Список-фильтр команд, допустимых для приема из GitHub.
Токен пользователя будет содержать пересечение множеств команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все команды из GitHub.
- строка
Формат команд, которые будут получены из GitHub.
Если в организации
acmeесть группаSite Reliability Engineers, в случае:Nameбудет получена группа с именем['acme:Site Reliability Engineers'];Slugбудет получена группа с именем['acme:site-reliability-engineers'];Bothбудут получены группы с именами['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].
По умолчанию:
"Name"Допустимые значения:
Name,Slug,Both
- массив строк
Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.
Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из GitLab.
- объект
Настройки фильтра для поиска групп для указанного пользователя.
Подробнее о процессе фильтрации…
- массив объектов
Обязательный параметр
Список сопоставлений атрибута имени юзера с именем группы.
- объект
Обязательный параметр
Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).
Подробнее о процессе фильтрации…
- объект
Некоторые провайдеры возвращают нестандартные claim’ы (например, mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.
Dex может преобразовать нестандартный claim в стандартный, только если id_token, полученный от OIDC-провайдера, не содержит аналогичный стандартный claim.
- строка
Claim, который будет использован для получения предпочтительного имени пользователя.
По умолчанию:
"preferred_username"
- булевый
Запрашивать дополнительные данные об успешно подключенном пользователе.
По умолчанию:
false - массив строк
Список полей для включения в ответ при запросе токена.
По умолчанию:
["openid","profile","email","groups","offline_access"]
Описывает конфигурацию подключения стороннего провайдера.
С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.
- объект
Параметры провайдера Bitbucket Cloud (можно указывать, только если
type: BitbucketCloud).- массив строк
Список-фильтр команд, допустимых для приема из Bitbucket Cloud.
Токен пользователя будет содержать пересечение множеств команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться успешной.
Токен будет содержать команды пользователя в claim
groups, как и у других провайдеров.
- булевый
Включает возможность basic-авторизации для Kubernetes API server.
В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом Crowd).
Работает только при включенном
publishAPI.Полученные от Crowd данные авторизации и групп сохраняются в кэш на 10 секунд.
- массив строк
Список-фильтр групп, допустимых для приема из Crowd.
Токен пользователя будет содержать пересечение множеств групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из Crowd.
- массив строк
Список команд, допустимых для приема из GitHub.
Токен пользователя будет содержать объединенное множество команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все команды из GitHub.
- строка
Формат команд, которые будут получены из GitHub.
Если в организации
acmeесть группаSite Reliability Engineers, в случае:nameбудет получена группа с именем['acme:Site Reliability Engineers'];slugбудет получена группа с именем['acme:site-reliability-engineers'];bothбудут получены группы с именами['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].
По умолчанию:
"name"Допустимые значения:
name,slug,both
- массив строк
Список-фильтр групп (пути групп — path, а не имена), допустимых для приема из GitLab.
Токен пользователя будет содержать пересечение множеств групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.
Если параметр не указан, токен пользователя будет содержать все группы из GitLab.
- объект
Настройки фильтра для поиска групп для указанного пользователя.
Подробнее о процессе фильтрации…
- массив объектов
Обязательный параметр
Список сопоставлений атрибута имени юзера с именем группы.
- объект
Обязательный параметр
Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).
Подробнее о процессе фильтрации…
- объект
Некоторые провайдеры возвращают нестандартные claim’ы (например, mail). Claim mappings помогают Dex преобразовать их в стандартные claim’ы OIDC.
Dex может преобразовать нестандартный claim в стандартный, только если id_token, полученный от OIDC-провайдера, не содержит аналогичный стандартный claim.
- строка
Claim, который будет использован для получения предпочтительного имени пользователя.
По умолчанию:
"preferred_username"
- булевый
Запрашивать дополнительные данные об успешно подключенном пользователе.
По умолчанию:
false - массив строк
Список полей для включения в ответ при запросе токена.
По умолчанию:
["openid","profile","email","groups","offline_access"]
User
Scope: Cluster
Содержит информацию о статическом пользователе.
- строка
Обязательный параметр
Email пользователя.
Важно! При использовании совместно с модулем user-authz, для выдачи прав конкретному пользователю в качестве имени пользователя в CR ClusterAuthorizationRule необходимо указывать
email.Пример:
email: user@domain.com - массив строк
Список групп, в которых у пользователя есть членство.
Т.к. параметр устарел, добавление пользователя в группы теперь осуществляется через ресурс Group.
- строка
Обязательный параметр
Хэш пароля пользователя в явном виде или закодированный в Base64.
Для получения хэша пароля в Base64 можно воспользоваться командой
echo "<PASSWORD>" | htpasswd -BinC 10 "" | cut -d: -f2 | base64 -w0. Также можно воспользоваться онлайн-сервисом (например, https://bcrypt-generator.com/).Пример:
password: JDJ5JDEwJE9HN1lOOUhnOXU5NmY2cGp4R3NIcS56NWQuOVQxQ0VrdWIud3BRdVJ5Sy5QQU5INlpKNDguCgo=
Содержит информацию о статическом пользователе.
- строка
Обязательный параметр
Email пользователя.
Важно! При использовании совместно с модулем user-authz для выдачи прав конкретному пользователю в качестве имени пользователя в custom resource ClusterAuthorizationRule необходимо указывать
email.Пример:
email: user@domain.com - массив строк
Список групп, в которых у пользователя есть членство.
Т.к. параметр устарел, добавление пользователя в группы теперь осуществляется через ресурс Group.
- строка
Обязательный параметр
Хэш пароля пользователя в явном виде или закодированный в Base64.
Для получения хэша пароля в Base64 можно воспользоваться командой
echo "<PASSWORD>" | htpasswd -BinC 10 "" | cut -d: -f2 | base64 -w0. Также можно воспользоваться онлайн-сервисом (например, https://bcrypt-generator.com/).Пример:
password: JDJ5JDEwJE9HN1lOOUhnOXU5NmY2cGp4R3NIcS56NWQuOVQxQ0VrdWIud3BRdVJ5Sy5QQU5INlpKNDguCgo=