auth
GET /auth/token/accessors
ID операции: token-list-accessors
Отображает список аксессоров токенов, которые могут быть использованы для итерации и обнаружения их свойств или отзыва. Поскольку это может быть использовано для вызова отказа в обслуживании, эта конечная точка требует наличия прав ‘sudo’ в дополнение к ’list’.
Требует sudo: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
POST /auth/token/create
ID операции: token-create
Создает новый токен. Метод используется для создания новых токенов.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name | string | нет | Имя, которое нужно связать с этим токеном |
entity_alias | string | нет | Название псевдонима сущности, который нужно связать с этим токеном |
explicit_max_ttl | string | нет | Явный максимальный TTL этого токена |
id | string | нет | Значение для токена |
lease | string | нет | ⚠️ Устарело. Предпочтительно использовать ’ttl'. |
meta | object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy | boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent | boolean | нет | Создает токен без родителя |
num_uses | integer | нет | Максимальное количество использований этого токена |
period | string | нет | Период обновления |
policies | array | нет | Список политик для токена |
renewable | boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтирования |
ttl | string | нет | Время жизни этого токена |
type | string | нет | Тип токена |
Ответы
200: OK
POST /auth/token/create-orphan
ID операции: token-create-orphan
Создает новый токен. Метод используется для создания новых токенов-сирот.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name | string | нет | Имя, которое нужно связать с этим токеном |
entity_alias | string | нет | Название псевдонима сущности, который нужно связать с этим токеном |
explicit_max_ttl | string | нет | Явный максимальный TTL этого токена |
id | string | нет | Значение для токена |
lease | string | нет | ⚠️ Устарело. Предпочтительно использовать ’ttl'. |
meta | object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy | boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent | boolean | нет | Создает токен без родителя |
num_uses | integer | нет | Максимальное количество использований этого токена |
period | string | нет | Период обновления |
policies | array | нет | Список политик для токена |
renewable | boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтирования |
ttl | string | нет | Время жизни этого токена |
type | string | нет | Тип токена |
Ответы
200: OK
POST /auth/token/create/{role_name}
ID операции: token-create-against-role
Создает новый токен. Метод используется для создания новых токенов, соответствующих заданной роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name | string | нет | Имя, которое нужно связать с этим токеном |
entity_alias | string | нет | Название псевдонима сущности, который нужно связать с этим токеном |
explicit_max_ttl | string | нет | Явный максимальный TTL этого токена |
id | string | нет | Значение для токена |
lease | string | нет | ⚠️ Устарело. Предпочтительно использовать ’ttl'. |
meta | object | нет | Произвольные метаданные ключ=значение, которые нужно связать с токеном |
no_default_policy | boolean | нет | Не включать политику по умолчанию для этого токена |
no_parent | boolean | нет | Создает токен без родителя |
num_uses | integer | нет | Максимальное количество использований этого токена |
period | string | нет | Период обновления |
policies | array | нет | Список политик для токена |
renewable | boolean (default: True) | нет | Позволяет обновлять токен по истечении его начального TTL до максимального TTL системы/монтирования |
ttl | string | нет | Время жизни этого токена |
type | string | нет | Тип токена |
Ответы
200: OK
GET /auth/token/lookup
ID операции: token-look-up-2
Отображает токен и его свойства.
Ответы
200: OK
POST /auth/token/lookup
ID операции: token-look-up
Отображает токен и его свойства.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token | string | нет | Токен для поиска (тело POST-запроса) |
Ответы
200: OK
POST /auth/token/lookup-accessor
ID операции: token-look-up-accessor
Отображает токен, связанный с данным аксессором и его свойствами. Ответ не будет содержать идентификатор токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor | string | нет | Аксессор токена для поиска (тело запроса) |
Ответы
200: OK
GET /auth/token/lookup-self
ID операции: token-look-up-self
Отображает токен и его свойства.
Ответы
200: OK
POST /auth/token/lookup-self
ID операции: token-look-up-self2
Отображает токен и его свойства.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token | string | нет | Токен для поиска (не используется, устанавливать не нужно) |
Ответы
200: OK
POST /auth/token/renew
ID операции: token-renew
Обновляет заданный токен и предотвращает истечение срока его действия.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment | integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
token | string | нет | Токен для обновления (тело запроса) |
Ответы
200: OK
POST /auth/token/renew-accessor
ID операции: token-renew-accessor
Обновляет токен, связанный с данным аксессором и его свойствами. Ответ не будет содержать идентификатор токена.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor | string | нет | Аксессор токена, который нужно обновить (тело запроса) |
increment | integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
Ответы
200: OK
POST /auth/token/renew-self
ID операции: token-renew-self
Обновляет токен, используемый для ее вызова, и предотвращает истечение срока действия.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
increment | integer (default: 0) | нет | Желаемый интервал в секундах до истечения срока действия токена |
token | string | нет | Токен для обновления (не используется, устанавливать не нужно) |
Ответы
200: OK
POST /auth/token/revoke
ID операции: token-revoke
Удаляет заданный токен и все его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token | string | нет | Токен для отзыва (тело запроса) |
Ответы
200: OK
POST /auth/token/revoke-accessor
ID операции: token-revoke-accessor
Удаляет токен, связанный с аксессором, и все его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
accessor | string | нет | Аксессор токена (тело запроса) |
Ответы
200: OK
POST /auth/token/revoke-orphan
ID операции: token-revoke-orphan
Удаляет токен и осиротит его дочерние токены.
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token | string | нет | Токен для отзыва (тело запроса) |
Ответы
200: OK
POST /auth/token/revoke-self
ID операции: token-revoke-self
Удаляет токен, использованный для вызова, и все дочерние токены.
Ответы
200: OK
GET /auth/token/roles
ID операции: token-list-roles
Получает настроенные роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/token/roles/{role_name}
ID операции: token-read-role
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли |
Ответы
200: OK
POST /auth/token/roles/{role_name}
ID операции: token-write-role
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_entity_aliases | array | нет | Строковый или JSON-список разрешенных псевдонимов сущностей. Если установлено, указывает псевдонимы сущностей, которые разрешено использовать при генерации токенов. Это поле поддерживает globbing. |
allowed_policies | array | нет | Если этот параметр установлен, токены могут быть созданы с любым подмножеством политик из этого списка, а не с обычной семантикой, когда токены являются подмножеством политик вызывающего токена. Параметр представляет собой строку имен политик, разделенную запятыми. |
allowed_policies_glob | array | нет | Если этот параметр установлен, токены могут быть созданы с любым подмножеством политик в этом списке, а не с обычной семантикой, когда токены являются подмножеством политик вызывающего токена. Параметр представляет собой разделенную запятыми строку глобусов имен политик. |
bound_cidrs | array | нет | ⚠️ Устарело. Предпочтительно использовать ’token_bound_cidrs'. |
disallowed_policies | array | нет | Если установлено, для успешного создания токена с помощью этой роли потребуется, чтобы не было запрошено ни одной политики из данного списка. Параметр представляет собой строку имен политик, разделенных запятыми. |
disallowed_policies_glob | array | нет | Если этот параметр установлен, то для успешного создания токена с помощью этой роли необходимо, чтобы ни одна из запрашиваемых политик не совпадала ни с одной из политик в этом списке. Параметр представляет собой разделенную запятыми строку глобусов имен политик. |
explicit_max_ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать ’token_explicit_max_ttl'. |
orphan | boolean | нет | Если true, то токены, созданные с помощью этой роли, будут сиротскими (не будут иметь родителя). |
path_suffix | string | нет | Если установлено, то токены, созданные с помощью этой роли, будут содержать указанный суффикс в качестве части своего пути. Это может быть использовано для помощи в использовании конечной точки ‘revoke-prefix’ в дальнейшем. Указанный суффикс должен соответствовать регулярному выражению.\w[\w-.]+\w |
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать ’token_period’. |
renewable | boolean (default: True) | нет | Токены, созданные с помощью этой роли, будут возобновляться или нет в соответствии с этим значением. По умолчанию значение равно “true”. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK
DELETE /auth/token/roles/{role_name}
ID операции: token-delete-role
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли |
Ответы
204: пустое тело
POST /auth/token/tidy
ID операции: token-tidy
Запускает задачи по очистке по определенным условиям.
Ответы
200: OK
POST /auth/{approle_mount_path}/login
ID операции: app-role-login
Выдвет токена на основе предоставленных учетных данных
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id | string | нет | Уникальный идентификатор роли. Обязательно должен быть предоставлен, если установлено ограничение ‘bind_secret_id’. |
secret_id | string (default: ) | нет | SecretID принадлежит роли App |
Ответы
200: OK
GET /auth/{approle_mount_path}/role
ID операции: app-role-list-roles
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys | array | нет |
GET /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-read-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id | boolean | нет | Установите обязательное предоставление секретного ID при входе с использованием этой роли. |
local_secret_ids | boolean | нет | Если установлено значение true, секретные идентификаторы, созданные с использованием этой роли, будут локальными для кластера. Это можно установить только во время создания роли, и после установки изменить это значение невозможно. |
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period”. |
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
secret_id_bound_cidrs | array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
secret_id_num_uses | integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl | integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, токены, созданные с помощью этой роли, не будут иметь максимального срока действия; вместо этого их срок продления будет зафиксирован на этом значении. |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
POST /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-write-role
Регистрирует роль в бэкенде.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id | boolean (default: True) | нет | Ввести secret_id, который должен быть представлен при входе в систему с использованием этой роли. По умолчанию имеет значение ’true'. |
bound_cidr_list | array | нет | ⚠️ Устарело. Предпочтительно использовать “secret_id_bound_cidrs”. |
local_secret_ids | boolean | нет | Если установлено, секретные идентификаторы, созданные с помощью этой роли, будут локальными для кластера. Этот параметр может быть задан только при создании роли, и после установки его нельзя сбросить. |
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period”. |
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
role_id | string | нет | Идентификатор роли. По умолчанию это UUID. |
secret_id_bound_cidrs | array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
secret_id_num_uses | integer | нет | Количество раз, которое SecretID может получить доступ к роли, после чего SecretID истекает. По умолчанию равно 0, что означает неограниченное использование Secret_id. |
secret_id_ttl | integer | нет | Продолжительность в секундах, по истечении которой выданный SecretID должен истечь. По умолчанию равно 0, что означает отсутствие истечения срока действия. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK
DELETE /auth/{approle_mount_path}/role/{role_name}
ID операции: app-role-delete-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-read-bind-secret-id
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id | boolean | нет | Ввести secret_id, который должен быть представлен при входе в систему с использованием этой роли. По умолчанию имеет значение ’true'. |
POST /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-write-bind-secret-id
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bind_secret_id | boolean (default: True) | нет | Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/bind-secret-id
ID операции: app-role-delete-bind-secret-id
Указывает secret_id, который должен быть представлен при входе в систему с использованием этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-read-bound-cidr-list
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidr_list | array | нет | ⚠️ Устарело. Утратил актуальность: Предпочтительно использовать “secret_id_bound_cidrs”. Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
POST /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-write-bound-cidr-list
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidr_list | array | нет | Утратил актуальность: Предпочтительно использовать “secret_id_bound_cidrs”. Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/bound-cidr-list
ID операции: app-role-delete-bound-cidr-list
Устарело: Список блоков CIDR, разделенных запятыми, если установлен указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/custom-secret-id
ID операции: app-role-write-custom-secret-id
Назначает SecretID на выбор для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list | array | нет | Разделенная запятыми строка или список блоков CIDR, обеспечивающих использование секретных идентификаторов из определенного набора IP-адресов. Если для роли задан ‘bound_cidr_list’, то список CIDR-блоков, перечисленных здесь, должен быть подмножеством CIDR-блоков, перечисленных для роли. |
metadata | string | нет | Метаданные, которые должны быть привязаны к SecretID. Это должна быть строка в формате JSON, содержащая метаданные в парах ключ-значение. |
num_uses | integer | нет | Количество раз, которое может быть использован данный SecretID, после чего срок действия SecretID истекает. Переопределяет опцию роли secret_id_num_uses, если она задана. Не может быть больше, чем secret_id_num_uses роли. |
secret_id | string | нет | Секретный идентификатор, который будет привязан к роли. |
token_bound_cidrs | array | нет | Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут использовать возвращенный токен. Должно быть подмножеством CIDR-блоков токена, перечисленных в роли, если таковые имеются. |
ttl | integer | нет | Продолжительность в секундах, после которой истекает срок действия данного SecretID. Переопределяет опцию роли secret_id_ttl, если она задана. Не может быть больше, чем secret_id_ttl роли. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id | string | нет | Секретный идентификатор, прикрепленный к роли. |
secret_id_accessor | string | нет | Индентефикатор секретного ID |
secret_id_num_uses | integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl | integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
GET /auth/{approle_mount_path}/role/{role_name}/local-secret-ids
ID операции: app-role-read-local-secret-ids
Позволяет создавать локальные секретные идентификаторы кластера
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
local_secret_ids | boolean | нет | Если установлено значение true, секретные идентификаторы, созданные с использованием этой роли, будут локальными для кластера. Это можно установить только во время создания роли, и после установки изменить это значение невозможно. |
GET /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-read-period
Обновляет значение ‘period’ в роли
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period”. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
POST /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-write-period
Обновляет значение ‘period’ в роли
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period”. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/period
ID операции: app-role-delete-period
Обновляет значение ‘period’ в роли
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-read-policies
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
token_policies | array | нет | Список политик, разделенный запятыми |
POST /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-write-policies
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
token_policies | array | нет | Список политик, разделенный запятыми |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/policies
ID операции: app-role-delete-policies
Назначает политику роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/role-id
ID операции: app-role-read-role-id
Возвращает ‘role_id’ роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id | string | нет | Идентификатор роли. По умолчанию это UUID. |
POST /auth/{approle_mount_path}/role/{role_name}/role-id
ID операции: app-role-write-role-id
Возвращает ‘role_id’ роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
role_id | string | нет | Идентификатор роли. По умолчанию это UUID. |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/secret-id
ID операции: app-role-list-secret-ids
Управляет SecretID для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
keys | array | нет |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id
ID операции: app-role-write-secret-id
Управляет SecretID для этой роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list | array | нет | Разделенная запятыми строка или список блоков CIDR, обеспечивающих использование секретных идентификаторов из определенного набора IP-адресов. Если для роли задан ‘bound_cidr_list’, то список CIDR-блоков, перечисленных здесь, должен быть подмножеством CIDR-блоков, перечисленных для роли. |
metadata | string | нет | Метаданные, которые должны быть привязаны к SecretID. Это должна быть строка в формате JSON, содержащая метаданные в парах ключ-значение. |
num_uses | integer | нет | Количество раз, которое может быть использован данный SecretID, после чего срок действия SecretID истекает. Переопределяет опцию роли secret_id_num_uses, если она задана. Не может быть больше, чем secret_id_num_uses роли. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
ttl | integer | нет | Продолжительность в секундах, после которой истекает срок действия данного SecretID. Переопределяет опцию роли secret_id_ttl, если она задана. Не может быть больше, чем secret_id_ttl роли. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id | string | нет | Секретный идентификатор, прикрепленный к роли. |
secret_id_accessor | string | нет | Индентефикатор секретного ID |
secret_id_num_uses | integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl | integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/destroy
ID операции: app-role-destroy-secret-id-by-accessor
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_accessor | string | нет | Аксессор SecretID |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/destroy
ID операции: app-role-destroy-secret-id-by-accessor2
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-accessor/lookup
ID операции: app-role-look-up-secret-id-by-accessor
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_accessor | string | нет | Аксессор SecretID |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list | array | нет | Отображает список блоков CIDR, требующих использования секретных ID из определенного набора IP-адресов. Если ‘bound_cidr_list’ установлен на роли, то список блоков CIDR, указанных здесь, должен быть подмножеством блоков CIDR, указанных на роли. |
creation_time | string | нет | |
expiration_time | string | нет | |
last_updated_time | string | нет | |
metadata | object | нет | |
secret_id_accessor | string | нет | Индентефикатор секретного ID |
secret_id_num_uses | integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl | integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs | array | нет | Отображает список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен. Должен быть подмножеством блоков CIDR токена, указанных на роли, если таковые имеются. |
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-read-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_bound_cidrs | array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-write-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_bound_cidrs | array | нет | Строка или список блоков CIDR, разделенных запятыми. Если установлено, указывает блоки IP-адресов, которые могут выполнять операцию входа в систему. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-bound-cidrs
ID операции: app-role-delete-secret-id-bound-cidrs
Список блоков CIDR, разделенных запятыми, если установлен, указывает блоки IP-адресов, которые могут выполнять операцию входа
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-read-secret-id-num-uses
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_num_uses | integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. По умолчанию 0 означает, что секретный идентификатор используется неограниченно. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-write-secret-id-num-uses
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_num_uses | integer | нет | Управляет количеством раз, когда секретный идентификатор может получить доступ к роли, после чего срок действия секретного идентификатора истекает. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-num-uses
ID операции: app-role-delete-secret-id-num-uses
Управляет лимитом использования SecretID, созданного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-read-secret-id-ttl
Управляет продолжительностью в секундах SecretID, сгенерированного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_ttl | integer | нет | Продолжительность в секундах после которой выданный секретный ID должен истечь. По умолчанию 0 означает отсутствие срока действия. |
POST /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-write-secret-id-ttl
Управляет продолжительностью в секундах SecretID, сгенерированного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id_ttl | integer | нет | Продолжительность в секундах, по истечении которой выданный SecretID должен истечь. По умолчанию равно 0, что означает отсутствие истечения срока действия. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id-ttl
ID операции: app-role-delete-secret-id-ttl
Управляет продолжительностью в секундах SecretID, сгенерированного для роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/secret-id/destroy
ID операции: app-role-destroy-secret-id
Управляет аннулированием выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id | string | нет | Секретный идентификатор, прикрепленный к роли. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/secret-id/destroy
ID операции: app-role-destroy-secret-id2
Управляет аннулированием выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/role/{role_name}/secret-id/lookup
ID операции: app-role-look-up-secret-id
Чтение свойств выданного secret_id
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
secret_id | string | нет | Секретный идентификатор, прикрепленный к роли. |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
cidr_list | array | нет | Отображает список блоков CIDR, требующих использования секретных ID из определенного набора IP-адресов. Если ‘bound_cidr_list’ установлен на роли, то список блоков CIDR, указанных здесь, должен быть подмножеством блоков CIDR, указанных на роли. |
creation_time | string | нет | |
expiration_time | string | нет | |
last_updated_time | string | нет | |
metadata | object | нет | |
secret_id_accessor | string | нет | Индентефикатор секретного ID |
secret_id_num_uses | integer | нет | Количество раз, которое секретный идентификатор может получить доступ к роли, после чего секретный идентификатор истечет. |
secret_id_ttl | integer | нет | Продолжительность в секундах после которой выданный секретный ID истекает. |
token_bound_cidrs | array | нет | Отображает список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен. Должен быть подмножеством блоков CIDR токена, указанных на роли, если таковые имеются. |
GET /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-read-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_bound_cidrs | array | нет | Строка или список блоков CIDR, разделенных запятыми. Если задано, указывает блоки IP-адресов, которые могут использовать возвращенный токен. Должно быть подмножеством CIDR-блоков токена, перечисленных в роли, если таковые имеются. |
POST /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-write-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-bound-cidrs
ID операции: app-role-delete-token-bound-cidrs
Строка, разделенная запятыми, или список блоков CIDR. Если установлен, указывает блоки IP-адресов, которые могут использовать возвращаемый токен.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-read-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных для этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
POST /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-write-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных для этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-max-ttl
ID операции: app-role-delete-token-max-ttl
Продолжительность в секундах - максимальный срок действия токенов, выданных с использованием SecretIDs, сгенерированных для этой роли, после которого токены не разрешается возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-read-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
POST /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-write-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-num-uses
ID операции: app-role-delete-token-num-uses
Управляет количеством раз, когда выпущенные токены могут быть использованы
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
GET /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-read-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного для этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_ttl | integer | нет | Начальный ttl генерируемого токена |
POST /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-write-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного для этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_ttl | integer | нет | Начальный ttl генерируемого токена |
Ответы
204: No Content
DELETE /auth/{approle_mount_path}/role/{role_name}/token-ttl
ID операции: app-role-delete-token-ttl
Продолжительность в секундах - срок действия токена, выданного с использованием SecretID, сгенерированного для этой роли, до истечения срока действия токена, который нужно возобновлять.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
role_name | string | path | да | Название роли. Должно быть меньше 4096 байт. |
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: No Content
POST /auth/{approle_mount_path}/tidy/secret-id
ID операции: app-role-tidy-secret-id
Инициировать очистку истекших записей SecretID.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
approle_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
202: Принято
GET /auth/{jwt_mount_path}/config
ID операции: jwt-read-configuration
Прочитайте текущую конфигурацию бэкенда аутентификации JWT.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{jwt_mount_path}/config
ID операции: jwt-configure
Настраивает настройку бэкенда аутентификации JWT.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_issuer | string | нет | Значение, с которым следует сопоставить утверждение ‘iss’ в JWT. Необязательно. |
default_role | string | нет | Роль по умолчанию, используемая, если при входе в систему не указана ни одна из ролей. Если значение не задано, при входе в систему требуется указать роль. |
jwks_ca_pem | string | нет | Сертификат ЦС или цепочка сертификатов в формате PEM для проверки соединений с URL JWKS. Если значение не задано, используются системные сертификаты. |
jwks_pairs | array | нет | Набор пар JWKS Url и сертификата ЦС (или цепочки сертификатов). Сертификаты ЦС должны быть в формате PEM. Не может быть использован с “jwks_url” или “jwks_ca_pem”. |
jwks_url | string | нет | URL-адрес JWKS для аутентификации подписей. Не может использоваться с “oidc_discovery_url” или “jwt_validation_pubkeys”. |
jwt_supported_algs | array | нет | Список поддерживаемых алгоритмов подписи. По умолчанию используется RS256. |
jwt_validation_pubkeys | array | нет | Список открытых ключей в кодировке PEM для локальной аутентификации подписей. Не может использоваться с “jwks_url” или “oidc_discovery_url”. |
namespace_in_state | boolean | нет | Передавать пространство имен в параметре состояния OIDC, а не как отдельный параметр запроса. При этой настройке разрешенные URL-адреса перенаправления в Vault и на стороне провайдера не должны содержать параметр запроса пространства имен. Это означает, что на стороне провайдера необходимо поддерживать только одну запись URL перенаправления для всех пространств имен хранилища, которые будут проходить аутентификацию. По умолчанию имеет значение true для новых конфигураций. |
oidc_client_id | string | нет | Идентификатор клиента OAuth, настроенный провайдером OIDC. |
oidc_client_secret | string | нет | Секрет клиента OAuth, настроенный провайдером OIDC. |
oidc_discovery_ca_pem | string | нет | Сертификат ЦС или цепочка сертификатов в формате PEM, используемые для проверки соединений с URL-адресом OIDC Discovery. Если значение не задано, используются системные сертификаты. |
oidc_discovery_url | string | нет | URL-адрес OIDC Discovery, без компонента .well-known (базовый путь). Не может использоваться с “jwks_url” или “jwt_validation_pubkeys”. |
oidc_response_mode | string | нет | Режим ответа, который будет использоваться в запросе OAuth2. Допустимые значения: ‘query’ и ‘form_post’. |
oidc_response_types | array | нет | Типы ответов для запроса. Допустимые значения: ‘code’ и ‘id_token’. По умолчанию используется значение ‘code’. |
provider_config | object | нет | Конфигурация для конкретного поставщика. Необязательно. |
unsupported_critical_cert_extensions | array | нет | Список ASN1 OID расширений сертификата с пометкой Critical, которые не поддерживаются Vault и должны быть проигнорированы. Эта опция нужна очень редко, только в специализированных средах PKI. |
Ответы
200: OK
POST /auth/{jwt_mount_path}/login
ID операции: jwt-login
Аутентифицирует в Vault с использованием JWT (или OIDC) токена.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
distributed_claim_access_token | string | нет | Необязательный токен, используемый для получения членства в группах, указанных в распределенном источнике утверждений в jwt. Поддерживается только для Azure/Entra ID |
jwt | string | нет | Подписанный JWT для проверки. |
role | string | нет | Роль, под которой нужно войти в систему. |
Ответы
200: OK
POST /auth/{jwt_mount_path}/oidc/auth_url
ID операции: jwt-oidc-request-authorization-url
Запросите URL авторизации для начала процесса входа OIDC.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_nonce | string | нет | Необязательный нонс, предоставленный клиентом, который должен совпадать во время обратного вызова, если он присутствует. |
redirect_uri | string | нет | OAuth redirect_uri для использования в URL авторизации. |
role | string | нет | Роль для выдачи URL-адреса авторизации OIDC. |
Ответы
200: OK
GET /auth/{jwt_mount_path}/oidc/callback
ID операции: jwt-oidc-callback
Конечная точка обратного вызова для завершения входа в OIDC.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
client_nonce | string | query | нет | |
code | string | query | нет | |
state | string | query | нет | |
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{jwt_mount_path}/oidc/callback
ID операции: jwt-oidc-callback-form-post
Метод обратного вызова для обработки form_posts.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
client_nonce | string | query | нет | |
code | string | query | нет | |
state | string | query | нет | |
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
id_token | string | нет |
Ответы
200: OK
GET /auth/{jwt_mount_path}/role
ID операции: jwt-list-roles
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-read-role
Считывает существующую роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-write-role
Регистрирует роль в бэкенде.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
allowed_redirect_uris | array | нет | Список допустимых значений для redirect_uri, разделенный запятыми |
bound_audiences | array | нет | Список утверждений ‘aud’, действительных для входа в систему, разделенный запятыми; достаточно любого совпадения |
bound_cidrs | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_bound_cidrs”. Если указаны и “token_bound_cidrs”, то будет использоваться только “token_bound_cidrs”. |
bound_claims | object | нет | Список утверждений и соответствующих значений, которые должны совпадать для входа в систему |
bound_claims_type | string (default: string) | нет | Как интерпретировать значения в карте утверждений/значений (которые должны совпадать для входа в систему): допустимые значения - ‘string’ или ‘glob’ |
bound_subject | string | нет | Утверждение “sub”, действительное для входа в систему. Необязательно. |
claim_mappings | object | нет | Сопоставление утверждений (ключ), которые будут скопированы в поле метаданных (значение) |
clock_skew_leeway | integer (default: 60000000000) | нет | Продолжительность в секундах свободы действий при проверке всех заявлений для учета перекоса часов. По умолчанию равна 60 (1 минута), если установлено значение 0, и может быть отключена, если установлено значение -1. |
expiration_leeway | integer (default: 150) | нет | Продолжительность в секундах свободы действий при проверке истечения срока действия токена для учета перекоса часов. По умолчанию равна 150 (2,5 минуты), если установлено значение 0, и может быть отключена, если установлено значение -1. |
groups_claim | string | нет | Утверждение, используемое для имен псевдонимов групп идентификации |
max_age | integer | нет | Указывает допустимое время в секундах, прошедшее с момента последней активной аутентификации пользователя. |
max_ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_max_ttl”. Если указаны и “token_max_ttl”, то будет использоваться только “token_max_ttl”. |
not_before_leeway | integer (default: 150) | нет | Длительность в секундах свободы действий при проверке значений токена “не раньше” для учета перекоса часов. По умолчанию равна 150 (2,5 минуты), если установлено значение 0, и может быть отключена, если установлено значение -1. |
num_uses | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_num_uses”. Если указаны и “token_num_uses”, то будет использоваться только “token_num_uses”. |
oidc_scopes | array | нет | Список областей OIDC, разделенный запятыми |
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period”. |
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
role_type | string | нет | Тип роли, либо ‘jwt’, либо ‘oidc’. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_ttl”. Если указаны и “token_ttl”, и “token_ttl”, будет использоваться только “token_ttl”. |
user_claim | string | нет | Утверждение, используемое для имени псевдонима объекта идентификации |
user_claim_json_pointer | boolean | нет | Если значение user_claim равно true, то для ссылок на формулы будет использоваться синтаксис указателей JSON. |
verbose_oidc_logging | boolean | нет | Ведите журнал полученных токенов и утверждений OIDC, если активна запись в журнал на уровне отладки. Не рекомендуется использовать в производстве, поскольку в ответах OIDC может содержаться конфиденциальная информация. |
Ответы
200: OK
DELETE /auth/{jwt_mount_path}/role/{name}
ID операции: jwt-delete-role
Удаляет существующую роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
jwt_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /auth/{kubernetes_mount_path}/config
ID операции: kubernetes-read-auth-configuration
Настраивает открытый ключ JWT и информацию о Kubernetes API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{kubernetes_mount_path}/config
ID операции: kubernetes-configure-auth
Настраивает открытый ключ JWT и информацию о Kubernetes API.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
disable_iss_validation | boolean (default: True) | нет | ⚠️ Устарело. Отключить проверку эмитента JWT (устарело, будет удалено в будущем выпуске) |
disable_local_ca_jwt | boolean (default: False) | нет | Отключение использования по умолчанию локального сертификата CA и JWT учетной записи службы при запуске в стручке Kubernetes |
issuer | string | нет | ⚠️ Устарело. Необязательный эмитент JWT. Если эмитент не указан, то этот плагин будет использовать kubernetes.io/serviceaccount в качестве эмитента по умолчанию. (Утратил актуальность, будет удален в будущем выпуске) |
kubernetes_ca_cert | string | нет | Необязательный сертификат CA в PEM-кодировке для использования TLS-клиентом, используемым для взаимодействия с API. Если он не задан и значение disable_local_ca_jwt равно true, будет использоваться пул сертификатов доверенного ЦС системы. |
kubernetes_host | string | нет | Host должен быть строкой хоста, парой хост:порт или URL-адресом базы сервера Kubernetes API. |
pem_keys | array | нет | Необязательный список открытых ключей или сертификатов в PEM-формате, используемых для проверки подписей JWT-файлов учетных записей сервисов kubernetes. Если указан сертификат, будет извлечен его открытый ключ. Не каждая установка Kubernetes раскрывает эти ключи. |
token_reviewer_jwt | string | нет | JWT учетной записи сервиса (или другой токен), используемый в качестве токена на предъявителя для доступа к API TokenReview для проверки других JWT при входе в систему. Если не задано, то для доступа к API будет использоваться JWT, используемый для входа в систему. |
use_annotations_as_alias_metadata | boolean (default: False) | нет | Использование аннотаций из связанной с клиентским токеном учетной записи службы в качестве метаданных псевдонимов для сущности Vault. Будут использоваться только аннотации с префиксом “vault.hashicorp.com/alias-metadata-”. Обратите внимание, что Vault потребуется разрешение на чтение учетных записей сервисов из Kubernetes API. |
Ответы
200: OK
POST /auth/{kubernetes_mount_path}/login
ID операции: kubernetes-login
Аутентифицирует учетные записи службы Kubernetes с Vault.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
jwt | string | нет | Подписанный JWT для проверки подлинности учетной записи службы. Это поле является обязательным. |
role | string | нет | Название роли, для которой осуществляется попытка входа. Это поле является обязательным |
Ответы
200: OK
GET /auth/{kubernetes_mount_path}/role
ID операции: kubernetes-list-auth-roles
Отображает все роли, зарегистрированные в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-read-auth-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-write-auth-role
Регистрирует роль в бэкенде.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_name_source | string (default: serviceaccount_uid) | нет | Источник, который следует использовать при выведении имени псевдонима. допустимые варианты: “serviceaccount_uid” : <token.uid> например, 474b11b5-0f20-4f9d-8ca5-65715ab325e0 (наиболее безопасный вариант) “serviceaccount_name” : |
audience | string | нет | Необязательное утверждение Аудитория для проверки в jwt. |
bound_cidrs | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_bound_cidrs”. Если указаны и “token_bound_cidrs”, то будет использоваться только “token_bound_cidrs”. |
bound_service_account_names | array | нет | Список имен учетных записей служб, имеющих доступ к этой роли. Если установлено значение “*”, разрешены все имена. |
bound_service_account_namespace_selector | string | нет | Селектор меток для пространств имен Kubernetes, которым разрешен доступ к этой роли. Принимает объект в формате JSON или YAML. Если задано вместе с bound_service_account_namespaces, условия объединяются. |
bound_service_account_namespaces | array | нет | Список пространств имен, разрешенных для доступа к этой роли. Если установлено значение “*”, разрешены все пространства имен. |
max_ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_max_ttl”. Если указаны и “token_max_ttl”, то будет использоваться только “token_max_ttl”. |
num_uses | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_num_uses”. Если указаны и “token_num_uses”, то будет использоваться только “token_num_uses”. |
period | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_period”. Если указаны и “token_period”, то будет использоваться только “token_period”. |
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_ttl”. Если указаны и “token_ttl”, и “token_ttl”, будет использоваться только “token_ttl”. |
Ответы
200: OK
DELETE /auth/{kubernetes_mount_path}/role/{name}
ID операции: kubernetes-delete-auth-role
Регистрирует роль в бэкенде.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название роли. |
kubernetes_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
GET /auth/{ldap_mount_path}/config
ID операции: ldap-read-auth-configuration
Настраивает LDAP сервер для подключения, вместе с его параметрами.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{ldap_mount_path}/config
ID операции: ldap-configure-auth
Настраивает LDAP сервер для подключения, вместе с его параметрами.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
anonymous_group_search | boolean (default: False) | нет | Использовать анонимные привязки при поиске групп LDAP (если true, то исходные учетные данные все равно будут использоваться для первоначальной проверки соединения). |
binddn | string | нет | LDAP DN для поиска DN пользователя (необязательно) |
bindpass | string | нет | Пароль LDAP для поиска DN пользователя (необязательно) |
case_sensitive_names | boolean | нет | Если значение равно true, то при сравнении имен пользователей и групп для сопоставления политик будет использоваться чувствительность к регистру. |
certificate | string | нет | Сертификат CA для использования при проверке сертификата сервера LDAP, должен быть в кодировке x509 PEM (необязательно) |
client_tls_cert | string | нет | Сертификат клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
client_tls_key | string | нет | Ключ сертификата клиента для предоставления серверу LDAP, должен быть закодирован x509 PEM (необязательно) |
connection_timeout | integer (default: 30s) | нет | Тайм-аут (в секундах) при попытке подключения к серверу LDAP перед попыткой перехода к следующему URL-адресу в конфигурации. |
deny_null_bind | boolean (default: True) | нет | ⚠️ Устарело. Отклоняет неаутентифицированный запрос привязки LDAP, если пароль пользователя пуст; значение по умолчанию равно true |
dereference_aliases | string (never, finding, searching, always) (default: never) | нет | Когда псевдонимы должны разыменовываться при операциях поиска. Принимаемые значения: ‘никогда’, ‘находить’, ‘искать’, ‘всегда’. По умолчанию установлено значение ‘никогда’. |
discoverdn | boolean | нет | Используйте анонимную привязку, чтобы узнать привязочный DN пользователя (необязательно). |
enable_samaccountname_login | boolean (default: False) | нет | Если true (по умолчанию), новые пользователи могут регистрироваться самостоятельно. Если false, только предварительно созданные пользователи (через путь user/) могут регистрироваться. |
groupattr | string (default: cn) | нет | Атрибут LDAP, который следует использовать для объектов, возвращаемых |
groupdn | string | нет | База поиска LDAP, используемая для поиска членства в группе (например: ou=Groups,dc=example,dc=org) |
groupfilter | string (default: (|(memberUid={{.Username}})(member={{.UserDN}})(uniqueMember={{.UserDN}}))) | нет | Шаблон Go для запроса принадлежности пользователя к группе (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserDN, Username Пример: (&(objectClass=group)(member:1.2.840.113556.1.4.1941:={{.UserDN}})) По умолчанию: (|(memberUid={{.Username}})(member={.UserDN}})(uniqueMember={.UserDN}})) |
insecure_tls | boolean | нет | Пропустите проверку SSL-сертификата сервера LDAP - ОЧЕНЬ небезопасно (необязательно) |
max_page_size | integer (default: 0) | нет | Если установлено значение больше 0, бэкэнд LDAP будет использовать управление постраничным поиском сервера LDAP для запроса страниц до заданного размера. Это можно использовать, чтобы избежать столкновения с ограничением максимального размера результатов сервера LDAP. В противном случае бэкэнд LDAP не будет использовать управление постраничным поиском. |
request_timeout | integer (default: 90s) | нет | Таймаут в секундах для соединения при выполнении запросов к серверу до возврата ошибки. |
starttls | boolean | нет | Выполнять команду StartTLS после установления незашифрованного соединения (необязательно). |
tls_max_version | string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Максимальная версия TLS для использования. Принимаемые значения: ’tls10’, ’tls11’, ’tls12’ или ’tls13’. По умолчанию - ’tls12’ |
tls_min_version | string (tls10, tls11, tls12, tls13) (default: tls12) | нет | Минимальная версия TLS для использования. Принимаемые значения: ’tls10’, ’tls11’, ’tls12’ или ’tls13’. По умолчанию используется значение ’tls12’. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми. Она будет применяться ко всем токенам, сгенерированным этим методом аутентификации, в дополнение к любым, настроенным для определенных пользователей/групп. |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
upndomain | string | нет | Разрешает пользователюПринципалДомена входить в систему с [именем пользователя]@UPNDomain (необязательно). |
url | string (default: ldap://127.0.0.1) | нет | URL-адрес LDAP для подключения (по умолчанию: ldap://127.0.0.1). Можно указать несколько URL-адресов, соединив их запятыми; они будут опробованы в порядке убывания. |
use_pre111_group_cn_behavior | boolean | нет | В Vault 1.1.1 исправление для обработки значений CN групп в разных случаях, к сожалению, внесло регрессию, которая могла привести к тому, что ранее определенные группы не были найдены из-за изменения результирующего имени. Если установлено значение true, будет использоваться поведение, существовавшее до версии 1.1.1, для соответствия CN групп. Это необходимо только в некоторых сценариях обновления для обратной совместимости. Она включается по умолчанию, если конфигурация обновляется, но отключается по умолчанию в новых конфигурациях. |
use_token_groups | boolean (default: False) | нет | Если значение true, то для поиска членов групп используется построенный атрибут Active Directory tokenGroups пользователя. При этом будут найдены все группы безопасности, включая вложенные. |
userattr | string (default: cn) | нет | Атрибут, используемый для пользователей (по умолчанию: cn) |
userdn | string | нет | Домен LDAP, который будет использоваться для пользователей (например: ou=People,dc=example,dc=org) |
userfilter | string (default: ({{.UserAttr}}={{.Username}})) | нет | Шаблон Go для фильтра поиска пользователей LDAP (необязательно) Шаблон может обращаться к следующим контекстным переменным: UserAttr, Username По умолчанию: ({{.UserAttr}}={{.Username}}) |
username_as_alias | boolean (default: False) | нет | Если true, устанавливает имя псевдонима на имя пользователя |
Ответы
200: OK
GET /auth/{ldap_mount_path}/groups
ID операции: ldap-list-groups
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-read-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название группы LDAP. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-write-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название группы LDAP. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies | array | нет | Список политик, связанных с группой, разделенный запятыми. |
Ответы
200: OK
DELETE /auth/{ldap_mount_path}/groups/{name}
ID операции: ldap-delete-group
Управляйте дополнительными группами пользователей, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название группы LDAP. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{ldap_mount_path}/login/{username}
ID операции: ldap-login
Войдите в систему, введя имя пользователя и пароль.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | DN (отличительное имя), которое будет использоваться для входа в систему. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password | string | нет | Пароль для этого пользователя. |
Ответы
200: OK
GET /auth/{ldap_mount_path}/users
ID операции: ldap-list-users
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-read-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название пользователя LDAP. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-write-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название пользователя LDAP. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
groups | array | нет | Список дополнительных групп, связанных с пользователем, разделенный запятыми. |
policies | array | нет | Список политик, связанных с пользователем, разделенный запятыми. |
Ответы
200: OK
DELETE /auth/{ldap_mount_path}/users/{name}
ID операции: ldap-delete-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Название пользователя LDAP. |
ldap_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{saml_mount_path}/callback
ID операции: saml-write-callback
Предоставляет Assertion Consumer Service для обработки привязки к провайдеру удостоверений (IdP).
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
RelayState | string | да | SAML RelayState, прошедший полный цикл через IdP. |
SAMLResponse | string | да | SAML-ответ от провайдера удостоверений (IdP). |
Ответы
200: OK
GET /auth/{saml_mount_path}/config
ID операции: saml-read-config
Прочитать конфигурацию метода аутентификации.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{saml_mount_path}/config
ID операции: saml-write-config
Обновить конфигурацию метода аутентификации.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acs_urls | array | да | URL Assertion Consumer Service, на которые IdP будет отправлять ответы. Должны быть корректно оформленными URL. Если какой-либо URL не защищён TLS, будет выдано предупреждение. |
default_role | string | нет | Роль по умолчанию, если при входе роль не указана. Если не задана, при входе роль обязательна. |
entity_id | string | да | Entity ID этого метода аутентификации в роли SAML Service Provider. |
idp_cert | string | нет | Сертификат IdP в PEM, используемый для проверки подписей response и assertion. Взаимоисключающий с idp_metadata_url. |
idp_entity_id | string | нет | Entity ID IdP. Взаимоисключающий с idp_metadata_url. |
idp_metadata_url | string | нет | URL метаданных IdP. Взаимоисключающий с idp_sso_url, idp_issuer и idp_cert. Должен быть корректно оформленным URL. |
idp_sso_url | string | нет | URL SSO IdP. Взаимоисключающий с idp_metadata_url. Должен быть корректно оформленным URL. |
validate_assertion_signature | boolean | нет | Включает проверку подписи как минимум для assertion в SAML-ответе. Если IdP подписывает и response, и assertion, рекомендуется включить проверку подписей обоих, активировав соответствующие отдельные параметры. |
validate_response_signature | boolean | нет | Включает проверку подписи как минимум для response в SAML-ответе. Если IdP подписывает и response, и assertion, рекомендуется включить проверку подписей обоих, активировав соответствующие отдельные параметры. |
verbose_logging | boolean | нет | Дополнительное логирование при обмене SAML. Данные пользователя пишутся при уровне логирования debug, полный SAML-ответ — при уровне trace. |
Ответы
200: OK
GET /auth/{saml_mount_path}/role
ID операции: saml-list-role
Получить список всех ролей.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{saml_mount_path}/role/{name}
ID операции: saml-read-role-name
Прочитать конфигурацию роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли. |
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{saml_mount_path}/role/{name}
ID операции: saml-write-role-name
Обновить конфигурацию роли.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли. |
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
alias_metadata | object | нет | Метаданные, привязываемые к создаваемому псевдониму сущности. Задаются списком или картой пар «ключ — значение». |
bound_attributes | object | нет | Сопоставление имён атрибутов со значениями, наличие которых должно быть проверено в Assertion SAML Response. |
bound_attributes_type | string (string, glob) | нет | Тип сопоставления для пар ключ–значение в bound_attributes: при string — точное совпадение строк в значениях; при glob — подстановочные символы * в значениях. |
bound_subjects | array | нет | Subject, который должен присутствовать в SAML Response. Subject в SAML Response должен совпадать с одним из настроенных значений. |
bound_subjects_type | string (string, glob) | нет | Тип сопоставления для bound_subject: при string — точное совпадение строки; при glob — подстановочные символы *. |
groups_attribute | string | нет | Атрибут, из которого берутся имена псевдонимов групп Vault Identity. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
Ответы
200: OK
DELETE /auth/{saml_mount_path}/role/{name}
ID операции: saml-delete-role-name
Удалить роль.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя роли. |
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{saml_mount_path}/sso_service_url
ID операции: saml-write-sso_service_url
Получить URL службы SSO для начала SAML-аутентификации.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
acs_url | string | нет | URL Assertion Consumer Service для этого запроса аутентификации. Должен входить в список разрешённых URL в конфигурации. |
client_challenge | string | да | Клиентский challenge: должен быть результатом base64-кодирования SHA256-хэша client_verifier, который затем передаётся в token API. |
client_type | string (default: cli) | нет | Тип клиента, инициирующего запрос. Ответ callback API Assertion Consumer Service зависит от указанного типа. |
role | string | нет | Роль, для которой выдаётся URL службы SSO. |
Ответы
200: OK
POST /auth/{saml_mount_path}/token
ID операции: saml-write-token
Получить токен Vault для завершения потока аутентификации.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
saml_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
client_verifier | string | да | Значение, из которого сформирован client_challenge, переданный в API URL службы SSO в начале потока. Его SHA256-хэш в base64 должен совпадать с client_challenge. |
token_poll_id | string | да | Значение token_poll_id, возвращённое API URL службы SSO в начале потока аутентификации. |
Ответы
200: OK
POST /auth/{userpass_mount_path}/login/{username}
ID операции: userpass-login
Войдите в систему, введя имя пользователя и пароль.
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | Имя пользователя. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password | string | нет | Пароль для этого пользователя. |
Ответы
200: OK
POST /auth/{userpass_mount_path}/password_policy/{policy_name}
ID операции: userpass-update-policies_password
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
policy_name | string | path | да | Имя пароля политики для userpass. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
GET /auth/{userpass_mount_path}/users
ID операции: userpass-list-users
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-read-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-write-user
Управление пользователями, которым разрешена аутентификация.
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
bound_cidrs | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_bound_cidrs”. Если указаны и “token_bound_cidrs”, то будет использоваться только “token_bound_cidrs”. |
max_ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_max_ttl”. Если указаны и “token_max_ttl”, то будет использоваться только “token_max_ttl”. |
password | string | нет | Пароль для этого пользователя. |
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_explicit_max_ttl | integer | нет | Если установлено, то токены, созданные с помощью этой роли, будут иметь явный максимальный TTL. Во время обновления текущие максимальные значения TTL роли и монтирования не проверяются на изменения, и любые обновления этих значений не повлияют на обновляемый токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_num_uses | integer | нет | Максимальное количество раз, которое может быть использован токен; значение ноль означает неограниченное количество раз. |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
token_type | string (default: default-service) | нет | Тип генерируемого токена, сервисный или пакетный |
ttl | integer | нет | ⚠️ Устарело. Предпочтительно использовать “token_ttl”. Если указаны и “token_ttl”, и “token_ttl”, будет использоваться только “token_ttl”. |
Ответы
200: OK
DELETE /auth/{userpass_mount_path}/users/{username}
ID операции: userpass-delete-user
Управление пользователями, которым разрешена аутентификация.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{userpass_mount_path}/users/{username}/password
ID операции: userpass-reset-password
Сброс пароля пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
password | string | нет | Пароль для этого пользователя. |
Ответы
200: OK
POST /auth/{userpass_mount_path}/users/{username}/policies
ID операции: userpass-update-policies
Обновляет политики, связанные с именем пользователя.
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
username | string | path | да | Имя пользователя для этого пользователя. |
userpass_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
policies | array | нет | ⚠️ Устарело. Предпочтительно использовать “token_policies”. Если указаны и “token_policies”, то будет использоваться только “token_policies”. |
token_policies | array | нет | Список политик, разделенный запятыми |
Ответы
200: OK
GET /auth/{webauthn_mount_path}/config
ID операции: webauthn-read-config
Прочитать конфигурацию WebAuthn
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{webauthn_mount_path}/config
ID операции: webauthn-write-config
Настроить бэкенд WebAuthn
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
auto_registration | boolean | нет | Если true (по умолчанию), новые пользователи могут регистрироваться самостоятельно. Если false, только предварительно созданные пользователи (через путь user/) могут регистрироваться. |
rp_display_name | string | нет | Отображаемое имя для Relying Party |
rp_id | string | нет | |
rp_origins | array | нет | Разрешенные источники для WebAuthn (например, https://vault.example.com, http://localhost:8200). |
Ответы
200: OK
POST /auth/{webauthn_mount_path}/login/begin
ID операции: webauthn-write-login-begin
Начать вход WebAuthn
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
username | string | нет | Имя пользователя для аутентификации (если не указано для потока discoverable/passkey: браузер покажет выбор пароля) |
Ответы
200: OK
POST /auth/{webauthn_mount_path}/login/finish
ID операции: webauthn-write-login-finish
Завершить вход WebAuthn
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
credential | object | нет | Ответ аутентификатора (PublicKeyCredential с ответом) |
username | string | нет | Имя пользователя (если не указано для потока discoverable: пользователь идентифицируется из assertion userHandle) |
Ответы
200: OK
POST /auth/{webauthn_mount_path}/register/begin
ID операции: webauthn-write-register-begin
Начать регистрацию WebAuthn
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
username | string | нет | Имя пользователя для регистрации WebAuthn |
Ответы
200: OK
POST /auth/{webauthn_mount_path}/register/finish
ID операции: webauthn-write-register-finish
Завершить регистрацию WebAuthn
Доступен без аутентификации: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
credential | object | нет | Ответ на создание учетных данных из аутентификатора (PublicKeyCredential с ответом) |
username | string | нет | Имя пользователя, которое зарегистрировано |
Ответы
200: OK
GET /auth/{webauthn_mount_path}/user
ID операции: webauthn-list-user
Список зарегистрированных пользователей
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
list | string (true) | query | да | Должно быть установлено значение true. |
Ответы
200: OK
GET /auth/{webauthn_mount_path}/user/{name}
ID операции: webauthn-read-user-name
Прочитать зарегистрированного пользователя
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя пользователя |
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
200: OK
POST /auth/{webauthn_mount_path}/user/{name}
ID операции: webauthn-write-user-name
Обновить пользователя
Поддерживается создание: да
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя пользователя |
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
display_name | string | нет | Отображаемое имя для пользователя (по умолчанию username) |
token_bound_cidrs | array | нет | Строка, разделенная запятыми, или JSON-список блоков CIDR. Если задано, указывает блоки IP-адресов, которым разрешено использовать сгенерированный токен. |
token_max_ttl | integer | нет | Максимальное время жизни сгенерированного токена |
token_no_default_policy | boolean | нет | Если true, политика “по умолчанию” не будет автоматически добавляться к сгенерированным токенам |
token_period | integer | нет | Если установлено, то токены, созданные с помощью этой роли, не будут иметь максимального срока службы; вместо этого их период обновления будет фиксирован на этом значении. Это значение принимает целое число секунд или строку продолжительности (например, “24 часа”). |
token_policies | array | нет | Список политик, разделенный запятыми |
token_ttl | integer | нет | Начальный ttl генерируемого токена |
Ответы
200: OK
DELETE /auth/{webauthn_mount_path}/user/{name}
ID операции: webauthn-delete-user-name
Удалить зарегистрированного пользователя
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя пользователя |
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
DELETE /auth/{webauthn_mount_path}/user/{name}/credential/{credential_id}
ID операции: webauthn-delete-user-name-credential-credential_id
Удалить учетные данные пользователя
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
credential_id | string | path | да | ID учетных данных (base64url encoded) |
name | string | path | да | Имя пользователя |
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Ответы
204: пустое тело
POST /auth/{webauthn_mount_path}/user/{name}/policies
ID операции: webauthn-write-user-name-policies
Обновить политики токена пользователя
Параметры
| Параметр | Тип | Расположение | Обязательный | Описание |
|---|---|---|---|---|
name | string | path | да | Имя пользователя |
webauthn_mount_path | string | path | да | Путь, по которому был смонтирован бэкэнд |
Параметры тела запроса
| Параметр | Тип | Обязательный | Описание |
|---|---|---|---|
token_policies | array | нет | Список политик для сгенерированного токена |
Ответы
200: OK