Механизм секретов Identity

Механизм секретов Identity представляет собой решение для управления идентификацией в Deckhouse Stronghold. В системе хранятся клиенты, которые распознаются Deckhouse Stronghold и называются сущностями. Каждая сущность может иметь несколько псевдонимов (aliases).

Например, пользователь с учетными записями на GitHub и LDAP может быть связан с одной сущностью в Deckhouse Stronghold, имеющей два псевдонима: один типа GitHub, другой типа LDAP. При успешной аутентификации клиента через любой из бэкендов (кроме бэкенда Token) Deckhouse Stronghold создает новую сущность и добавляет к ней новый псевдоним, если соответствующая сущность еще не существует. Идентификатор сущности будет связан с аутентифицированным токеном. При использовании таких токенов их идентификаторы сущностей регистрируются в журнале аудита, позволяя отслеживать действия пользователей.

Хранилище идентификаторов позволяет операторам управлять сущностями в Deckhouse Stronghold. Сущности и их псевдонимы могут быть созданы и привязаны с помощью ACL API. Для сущностей можно установить политики, расширяющие возможности токенов, привязанных к идентификаторам сущностей. Эти расширенные возможности дополняют, а не заменяют существующие возможности токена. Возможности токена, унаследованные от сущностей, определяются динамически во время запроса, что обеспечивает гибкость в управлении доступом к уже выданным токенам.

Этот механизм секретов будет установлен по умолчанию. Этот механизм секретов нельзя отключить или переместить. Более подробный концептуальный обзор идентификации см. в документацю Identity.

Механизм секретов Stronghold Identity поддерживает несколько различных функций. Каждая каждая из них документирована на своей странице.