An example of the module configuration

Пример конфигурации модуля

The example shows the configuration of the ‘user-authn` module in the Deckhouse Kubernetes Platform.

В примере представлена конфигурация модуля user-authn в Deckhouse Kubernetes Platform.

Configuring a provider

Примеры настройки провайдера

The example shows the provider’s settings for integration with GitHub.

В примере представлены настройки провайдера для интеграции с GitHub.

yaml apiVersion: deckhouse.io/v1 kind: DexProvider metadata: name: github spec: type: Github displayName: My Company Github github: clientID: plainstring clientSecret: plainstring

yaml apiVersion: deckhouse.io/v1 kind: DexProvider metadata: name: github spec: type: Github displayName: My Company GitHub github: clientID: plainstring clientSecret: plainstring

In your GitHub organization, create a new application:

В организации GitHub необходимо создать новое приложение.

To do this, go to Settings -> Developer settings -> OAuth Aps -> Register a new OAuth application and specify the https://dex.<modules.publicDomainTemplate>/callback address as the Authorization callback URL.

Для этого выполните следующие шаги: Перейдите в Settings -> Developer settings -> OAuth Aps -> Register a new OAuth application и в качестве Authorization callback URL укажите адрес https://dex.<modules.publicDomainTemplate>/callback.

Paste the generated Client ID and Client Secret into the DexProvider custom resource.

Полученные Client ID и Client Secret укажите в кастомном ресурсе DexProvider.

If the GitHub organization is managed by the client, go to Settings -> Applications -> Authorized OAuth Apps -> <name of created OAuth App> and request confirmation by clicking on Send Request. Then ask the client to confirm the request that will be sent to him by email.

Если организация GitHub находится под управлением клиента, перейдите в Settings -> Applications -> Authorized OAuth Apps -> <name of created OAuth App> и нажмите Send Request для подтверждения. Попросите клиента подтвердить запрос, который придет к нему на email.

The example shows the provider’s settings for integration with GitLab.

В примере представлены настройки провайдера для интеграции с GitLab.

Create a new application in the GitLab project.

В GitLab проекта необходимо создать новое приложение.

To do this, you need to:

• self-hosted: go to Admin area -> Application -> New application and specify the https://dex.<modules.publicDomainTemplate>/callback address as the Redirect URI (Callback url) and set scopes read_user, openid;
• cloud gitlab.com: under the main project account, go to User Settings -> Application -> New application and specify the https://dex.<modules.publicDomainTemplate>/callback address as the Redirect URI (Callback url); also, don’t forget to set scopes read_user, openid;
• (for GitLab version starting with 16) enable the Trusted/Trusted applications are automatically authorized on Gitlab OAuth flow checkbox when creating an application.

Для этого выполните следующие шаги:

• self-hosted: перейдите в Admin area -> Application -> New application и в качестве Redirect URI (Callback url) укажите адрес https://dex.<modules.publicDomainTemplate>/callback, выберите scopes: read_user, openid;
• cloud gitlab.com: под главной учетной записью проекта перейдите в User Settings -> Application -> New application и в качестве Redirect URI (Callback url) укажите адрес https://dex.<modules.publicDomainTemplate>/callback, выберите scopes: read_user, openid;
• (для GitLab версии 16 и выше) включить опцию Trusted/Trusted applications are automatically authorized on Gitlab OAuth flow при создании приложения.

Paste the generated Application ID and Secret into the DexProvider custom resource.

Полученные Application ID и Secret укажите в кастомном ресурсе DexProvider.

The example shows the provider’s settings for integration with Atlassian Crowd.

В примере представлены настройки провайдера для интеграции с Atlassian Crowd.

Create a new Generic application in the corresponding Atlassian Crowd project.

В соответствующем проекте Atlassian Crowd необходимо создать новое Generic-приложение.

To do this, go to Applications -> Add application.

Для этого выполните следующие шаги: Перейдите в Applications -> Add application.

Paste the generated Application Name and Password into the DexProvider custom resource.

Полученные Application Name и Password укажите в custom ресурсе DexProvider.

CROWD groups are specified in the lowercase format for the custom resource DexProvider.

Группы CROWD укажите в lowercase-формате для кастомного ресурса DexProvider.

The example shows the provider’s settings for integration with Bitbucket Cloud.

В примере представлены настройки провайдера для интеграции с Bitbucket.

yaml apiVersion: deckhouse.io/v1 kind: DexProvider metadata: name: bitbucket spec: type: BitbucketCloud displayName: Bitbucket bitbucketCloud: clientID: plainstring clientSecret: plainstring includeTeamGroups: true teams:

• administrators
• users

yaml apiVersion: deckhouse.io/v1 kind: DexProvider metadata: name: gitlab spec: type: BitbucketCloud displayName: Bitbucket bitbucketCloud: clientID: plainstring clientSecret: plainstring includeTeamGroups: true teams:

• administrators
• users

Create a new OAuth consumer in the Bitbucket’s team menu.

Для настройки аутентификации необходимо в Bitbucket в меню команды создать нового OAuth consumer.

To do this, go to Settings -> OAuth consumers -> New application and specify the https://dex.<modules.publicDomainTemplate>/callback address as the Callback URL. Also, allow access for Account: Read and Workspace membership: Read.

Для этого выполните следующие шаги: Перейдите в Settings -> OAuth consumers -> New application и в качестве Callback URL укажите адрес https://dex.<modules.publicDomainTemplate>/callback, разрешите доступ для Account: Read и Workspace membership: Read.

Paste the generated Key and Secret into the DexProvider custom resource.

Полученные Key и Secret укажите в кастомном ресурсе DexProvider.

The example shows the provider’s settings for integration with Okta.

В примере представлены настройки провайдера для интеграции с Okta.

Authentication through the OIDC provider requires registering a client (or “creating an application”). Please refer to the provider’s documentation on how to do it (e.g., Okta, Keycloak, Gluu).

Аутентификация через OIDC-провайдера требует регистрации клиента (или создания приложения). Сделайте это по документации вашего провайдера (например, Okta, Keycloak, Gluu).

Paste the generated clientID and clientSecret into the DexProvider custom resource.

Полученные в ходе выполнения инструкции clientID и clientSecret укажите в кастомном ресурсе DexProvider.

The example shows the provider’s settings for integration with Active Directory.

В примере представлены настройки провайдера для интеграции с Active Directory.

To configure authentication, create a read-only user (service account) in LDAP.

Для настройки аутентификации заведите в LDAP read-only-пользователя (service account).

Specify the generated user path and password in the bindDN and bindPW fields of the DexProvider custom resource.

1. You can omit these settings of anonymous read access is configured for LDAP.
2. Enter the password into the bindPW in the plain text format. Strategies involving the passing of hashed passwords are not supported.

Полученные путь до пользователя и пароль укажите в параметрах bindDN и bindPW кастомном ресурсе DexProvider.

1. Если в LDAP настроен анонимный доступ на чтение, настройки можно не указывать.
2. В параметре bindPW укажите пароль в plain-виде. Стратегии с передачей хэшированных паролей не предусмотрены.

Configuring the OAuth2 client in Dex for connecting an application

Настройка OAuth2-клиента в Dex для подключения приложения

This configuration is suitable for applications that can independently perform oauth2 authentication without using an oauth2 proxy. The DexClient custom resource enables applications to use dex.

Этот вариант настройки подходит приложениям, которые имеют возможность использовать oauth2-аутентификацию самостоятельно, без помощи oauth2-proxy. Чтобы позволить подобным приложениям взаимодействовать с Dex, используется кастомном ресурс DexClient.

After the DexClient custom resource is created, Dex will register a client with a dex-client-myname@mynamespace ID (clientID).

После создания такого ресурса в Dex будет зарегистрирован клиент с идентификатором (clientID) dex-client-myname@mynamespace.

The client access password (clientSecret) will be stored in the secret object:

Пароль доступа к клиенту (clientSecret) сохранится в секрете:

An example of creating a static user

Пример создания статического пользователя

Create a password and enter its hash in the password field.

Придумайте пароль и укажите его хэш-сумму в поле password.

Use the command below to calculate the password hash:

Для вычисления хэш-суммы пароля воспользуйтесь командой:

Alternatively, you can use the online service to calculate the password hash.

Также можно воспользоваться онлайн-сервисом.

yaml apiVersion: deckhouse.io/v1 kind: User metadata: name: admin spec: email: admin@yourcompany.com password: $2a$10$etblbZ9yfZaKgbvysf1qguW3WULdMnxwWFrkoKpRH1yeWa5etjjAa groups:

• Everyone
• admins ttl: 24h

yaml apiVersion: deckhouse.io/v1 kind: User metadata: name: admin spec: email: admin@yourcompany.com password: $2a$10$etblbZ9yfZaKgbvysf1qguW3WULdMnxwWFrkoKpRH1yeWa5etjjAa ttl: 24h

By default, the user is assigned the role User.

По умолчанию пользователь получит роль User.

Example of adding a static user to a group

Пример добавления статического пользователя в группу

How to set permissions for a user or group

Выдача прав пользователю или группе

Parameters in the custom resource ClusterAuthorizationRule are used for configuration.

Для настройки используются параметры в кастомном ресурсе ClusterAuthorizationRule.