要使用 OIDC(OpenID Connect)认证模块,需要在APIServer 中配置哪些参数?
① --oidc-issuer-url:认证服务提供商的地址,允许 APIServer 发现公开的签名密钥服务的 URL。只接受 https:// 的 URL。此值通常设置为服务的发现 URL,不含路径。 ② --oidc-client-id:发放 Token 的 Client ID。 ③ --oidc-username-claim:使用 JWT 中的哪个字段作为用户名,默认的是 sub。 ④ --oidc-username-prefix:为了防止不同认证系统的用户冲突, 给用户名添加一个前缀,如果使用的用户名不是 email,那么用户名将是 # 。如果设置为“-”,将不会使用前缀。 ⑤ --oidc-groups-claim:使用 JWT 中的哪个字段作为用户的组名。 ⑥ --oidc-groups-prefix:组名的前缀,所有的组都将以此值为前缀,以避免与其他身份认证策略发生冲突。 ⑦ --oidc-required-claim:键值对描述 ID Token 中的必要声明,如果设置了这个值, 则验证声明是否存在于 ID Token 中且具有匹配值,重复设置可以指定多个声明。 ⑧ --oidc-ca-file:签署身份认证提供商的 CA 证书的路径,默认的是主机的根 CA 证书的路径。
以上摘自《云原生应用开发:Operator原理与实践》,下载地址:https://developer.aliyun.com/ebook/download/7464
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。