Механизм секретов Identity
Механизм секретов Identity
представляет собой решение для управления идентификацией в Deckhouse Stronghold. В системе хранятся клиенты, которые распознаются Deckhouse Stronghold и называются сущностями. Каждая сущность может иметь несколько псевдонимов (aliases).
Например, пользователь с учетными записями на GitHub и LDAP может быть связан с одной сущностью в Deckhouse Stronghold, имеющей два псевдонима: один типа GitHub, другой типа LDAP. При успешной аутентификации клиента через любой из бэкендов (кроме бэкенда Token) Deckhouse Stronghold создает новую сущность и добавляет к ней новый псевдоним, если соответствующая сущность еще не существует. Идентификатор сущности будет связан с аутентифицированным токеном. При использовании таких токенов их идентификаторы сущностей регистрируются в журнале аудита, позволяя отслеживать действия пользователей.
Хранилище идентификаторов позволяет операторам управлять сущностями в Deckhouse Stronghold. Сущности и их псевдонимы могут быть созданы и привязаны с помощью ACL API. Для сущностей можно установить политики, расширяющие возможности токенов, привязанных к идентификаторам сущностей. Эти расширенные возможности дополняют, а не заменяют существующие возможности токена. Возможности токена, унаследованные от сущностей, определяются динамически во время запроса, что обеспечивает гибкость в управлении доступом к уже выданным токенам.
Этот механизм секретов будет установлен по умолчанию. Этот механизм секретов нельзя отключить или переместить. Более подробный концептуальный обзор идентификации см. в документацю Identity.
Механизм секретов Stronghold Identity поддерживает несколько различных функций. Каждая каждая из них документирована на своей странице.