Введение
Платформа поддерживает аутентификацию пользователей и проверку входа для всех пользователей.
Содержание
Источники пользователейЛокальные пользователиПользователи третьих сторонLDAP-пользователиOIDC-пользователиДругие пользователи третьих сторонПравила управления пользователямиПредставления назначения ролейЖизненный цикл пользователяИсточники пользователей
Локальные пользователи
- Администраторский аккаунт, созданный при развертывании платформы
- Аккаунты, созданные через интерфейс платформы
- Пользователи, добавленные через локальный конфигурационный файл dex
Пользователи третьих сторон
LDAP-пользователи
- Корпоративные пользователи, синхронизированные с LDAP-серверов
- Аккаунты импортируются через интеграцию с IDP (Identity Provider)
- Источник отображается как имя конфигурации IDP
- Интеграция настраивается через параметры IDP
OIDC-пользователи
- Пользователи сторонних платформ, аутентифицированные через протокол OIDC
- Источник отображается как имя конфигурации IDP
- Интеграция настраивается через параметры IDP
WARNING
Для OIDC-пользователей, добавленных в проект до их первого входа:
- Источник отображается как "-" до успешного входа в платформу
- После успешного входа источник меняется на имя конфигурации IDP
Другие пользователи третьих сторон
- Пользователи, аутентифицированные через поддерживаемые коннекторы dex (например, GitHub, Microsoft)
- Для дополнительной информации см. официальную документацию dex
Правила управления пользователями
WARNING
Обратите внимание на следующие важные правила:
- Локальные имена пользователей должны быть уникальны среди всех типов пользователей
- Пользователи третьих сторон (OIDC/LDAP) с совпадающими именами автоматически связываются
- Связанные пользователи наследуют права от существующих аккаунтов
- Пользователи могут входить через свои соответствующие источники
- В платформе отображается только одна запись пользователя на имя пользователя
- Источник пользователя определяется по последнему способу входа
Представления назначения ролей
На каждой странице с деталями пользователя теперь есть две отдельные вкладки для просмотра и управления ролями:
- Platform Roles (только для чтения): Список системных ролей платформы/проекта/пространства имён, связанных с пользователем. Эти роли нельзя редактировать или дублировать в UI, но при необходимости их можно отвязать.
- Kubernetes Roles: Отображает все объекты RoleBinding/ClusterRoleBinding, ссылающиеся на пользователя (во всех кластерах). Администраторы могут создавать или удалять привязки здесь для предоставления нативных прав Kubernetes.
Используйте вкладку Platform Roles для шаблонов доступа по умолчанию, а вкладку Kubernetes Roles — когда требуется тонкая настройка через нативные роли.
Жизненный цикл пользователя
В следующей таблице описаны различные статусы пользователей на платформе: