DexAuthenticator

Scope: Namespaced

При появлении объекта DexAuthenticator в namespace будут созданы:

  • Deployment с oauth2-proxy и redis
  • Service, ведущий на Deployment с oauth2-proxy
  • Ingress, который принимает запросы по адресу https://<applicationDomain>/dex-authenticator и отправляет их в сторону сервиса
  • Secret’ы, необходимые для доступа к dex

Важно! При перезапуске pod’а с oauth2-proxy, при помощи refresh token’а будут получены и сохранены в память redis актуальные access token и id token.

  • specобъект

    Обязательный параметр

    • allowedGroupsмассив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      Дополнительно параметр помогает ограничить список групп до тех, которые несут для приложения полезную информацию.

      Например, в случае если у пользователя более 50-ти групп, но приложению grafana мы хотим передать только определенные 5 групп.

      По умолчанию: All groups are allowed.

    • applicationDomainстрока

      Обязательный параметр

      Внешний адрес вашего приложения, с которого пользовательский запрос будет перенаправлен для авторизации в dex.

      Не должен содержать HTTP-схему.

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      applicationDomain: my-app.domain.com
      
    • applicationIngressCertificateSecretNameстрока

      Имя secret’а с TLS-сертификатом (от домена applicationDomain), который используется в Ingress-объекте приложения. Secret должен обязательно находится в том же namespace, что и DexAuthenticator.

      Пример:

      applicationIngressCertificateSecretName: ingress-tls
      
    • applicationIngressClassNameстрока

      Обязательный параметр

      Название Ingress-класса, которое будет использоваться в Ingress-объекте (должно совпадать с названием Ingress-класса для applicationDomain).

      Пример:

      applicationIngressClassName: nginx
      
    • keepUsersLoggedInForстрока

      Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).

      По умолчанию: "168h"

      Пример:

      keepUsersLoggedInFor: 24h
      
    • nodeSelectorобъект

      Определяет nodeSelector для Pod’ов dex-authenticator.

      Если ничего не указано или указано false — будет использоваться автоматика.

      Формат: стандартный список nodeSelector. Pod’ы инстанса унаследуют это поле как есть.

    • sendAuthorizationHeaderбулевый

      Флаг, который отвечает за отправку конечному приложению заголовка Authorization: Bearer.

      Включать только если приложение умеет обрабатывать такой заголовок.

    • signOutURLстрока

      Передайте URL приложения, запросы с которого будут проксированы на URL выхода у Dex authenticator.’

    • tolerationsмассив объектов

      Определяет tolerations для Pod’ов dex-authenticator.

      Если ничего не указано или указано false — будет использоваться автоматика.

      Формат: стандартный список toleration. Pod’ы инстанса унаследуют это поле как есть.

      • effectстрока

        Определяет какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect.

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • keyстрока

        Определяет какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.

        Если ключ (key) не указан (пуст), то operator должен быть — Exists, что подразумевает соответствие любым value и key.

      • operatorстрока

        Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (Equal) значению, или допустимо существование ключа с любым значением.

        Указание Exists равносильно допуску любого значения (для value), чтобы Pod с указанным toleration удовлетворял соответствующему taint.

        По умолчанию: "Equal"

        Допустимые значения: Exists, Equal

      • tolerationSecondsцелочисленный

        Определяет период времени в секундах, в течении которого планировщик должен ждать, прежде чем вытеснить (evict) Pod с узла, если toleration перестал удовлетворять taint (справедливо только для effect NoExecute, иначе игнорируется).

        Если не установлено, то Pod не будет вытеснен с узла, если toleration перестал удовлетворять taint. Если установлен в ноль (или отрицателен), то Pod будет вытеснен с узла немедленно, если toleration перестал удовлетворять taint.

        По умолчанию: не установлено.

      • valueстрока

        Значение, которому должен удовлетворять toleration.

        Должно быть пустым, если operator — Exists.

    • whitelistSourceRangesмассив строк

      Список CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу

      Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

      Пример:

      '': 192.168.42.0/24
      

При появлении объекта DexAuthenticator в namespace будут созданы:

  • Deployment с oauth2-proxy и redis
  • Service, ведущий на Deployment с oauth2-proxy
  • Ingress, который принимает запросы по адресу https://<applicationDomain>/dex-authenticator и отправляет их в сторону сервиса
  • Secret’ы, необходимые для доступа к dex

Важно! При перезапуске pod’а с oauth2-proxy, при помощи refresh token’а будут получены и сохранены в память redis актуальные access token и id token.

  • specобъект

    Обязательный параметр

    • allowedGroupsмассив строк

      Группы, пользователям которых разрешено проходить аутентификацию.

      Дополнительно параметр помогает ограничить список групп до тех, которые несут для приложения полезную информацию.

      Например, в случае если у пользователя более 50-ти групп, но приложению grafana мы хотим передать только определенные 5 групп.

      По умолчанию: All groups are allowed.

    • applicationDomainстрока

      Обязательный параметр

      Внешний адрес вашего приложения, с которого пользовательский запрос будет перенаправлен для авторизации в dex.

      Не должен содержать HTTP-схему.

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      applicationDomain: my-app.domain.com
      
    • applicationIngressCertificateSecretNameстрока

      Имя secret’а с TLS-сертификатом (от домена applicationDomain), который используется в Ingress-объекте приложения. Secret должен обязательно находится в том же namespace, что и DexAuthenticator.

      Пример:

      applicationIngressCertificateSecretName: ingress-tls
      
    • applicationIngressClassNameстрока

      Обязательный параметр

      Название Ingress-класса, которое будет использоваться в Ingress-объекте (должно совпадать с названием Ingress-класса для applicationDomain).

      Пример:

      applicationIngressClassName: nginx
      
    • keepUsersLoggedInForстрока

      Отвечает за то, как долго пользовательская сессия будет считаться активной, если пользователь бездействует (указывается с суффиксом s, m или h).

      По умолчанию: "168h"

      Пример:

      keepUsersLoggedInFor: 24h
      
    • nodeSelectorобъект

      Определяет nodeSelector для Pod’ов dex-authenticator.

      Если ничего не указано или указано false — будет использоваться автоматика.

      Формат: стандартный список nodeSelector. Pod’ы инстанса унаследуют это поле как есть.

    • sendAuthorizationHeaderбулевый

      Флаг, который отвечает за отправку конечному приложению заголовка Authorization: Bearer.

      Включать только если приложение умеет обрабатывать такой заголовок.

    • signOutURLстрока

      Передайте URL приложения, запросы с которого будут проксированы на URL выхода у Dex authenticator.’

    • tolerationsмассив объектов

      Определяет tolerations для Pod’ов dex-authenticator.

      Если ничего не указано или указано false — будет использоваться автоматика.

      Формат: стандартный список toleration. Pod’ы инстанса унаследуют это поле как есть.

      • effectстрока

        Определяет какому effect’у taint’а соответствует описываемый toleration. Пустой подразумевает соответствие любому effect.

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • keyстрока

        Определяет какому ключу (key) taint’a соответствует описываемый toleration. Пустой подразумевает соответствие любому ключу.

        Если ключ (key) не указан (пуст), то operator должен быть — Exists, что подразумевает соответствие любым value и key.

      • operatorстрока

        Определяет отношение ключа (key) к значению (value) — должен ли ключ быть равен (Equal) значению, или допустимо существование ключа с любым значением.

        Указание Exists равносильно допуску любого значения (для value), чтобы Pod с указанным toleration удовлетворял соответствующему taint.

        По умолчанию: "Equal"

        Допустимые значения: Exists, Equal

      • tolerationSecondsцелочисленный

        Определяет период времени в секундах, в течении которого планировщик должен ждать, прежде чем вытеснить (evict) Pod с узла, если toleration перестал удовлетворять taint (справедливо только для effect NoExecute, иначе игнорируется).

        Если не установлено, то Pod не будет вытеснен с узла, если toleration перестал удовлетворять taint. Если установлен в ноль (или отрицателен), то Pod будет вытеснен с узла немедленно, если toleration перестал удовлетворять taint.

        По умолчанию: не установлено.

      • valueстрока

        Значение, которому должен удовлетворять toleration.

        Должно быть пустым, если operator — Exists.

    • whitelistSourceRangesмассив строк

      Список CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу

      Шаблон: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}$

      Пример:

      '': 192.168.42.0/24
      

DexClient

Scope: Namespaced

Позволяет приложениям, поддерживающим DC-аутентификацию взаимодействовать с dex.

  • specобъект

    Обязательный параметр

    • allowedGroupsмассив строк

      Список групп, участникам которых разрешено подключаться к этому клиенту;

      По умолчанию: разрешено всем группам.

    • redirectURIsмассив строк

      Список адресов, на которые допустимо редиректить dex’у после успешного прохождения аутентификации.

    • trustedPeersмассив строк

      ID клиентов, которым позволена cross аутентификация.

      Подробнее…

Позволяет приложениям, поддерживающим DC-аутентификацию взаимодействовать с dex.

  • specобъект

    Обязательный параметр

    • allowedGroupsмассив строк

      Список групп, участникам которых разрешено подключаться к этому клиенту;

      По умолчанию: разрешено всем группам.

    • redirectURIsмассив строк

      Список адресов, на которые допустимо редиректить dex’у после успешного прохождения аутентификации.

    • trustedPeersмассив строк

      ID клиентов, которым позволена cross аутентификация.

      Подробнее…

DexProvider

Scope: Cluster

Описывает конфигурацию подключения стороннего провайдера.

С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.

  • specобъект

    Обязательный параметр

    • bitbucketCloudобъект

      Параметры провайдера Bitbucket Cloud (можно указывать только если type: BitbucketCloud).

      • clientIDстрока

        Обязательный параметр

        ID приложения созданного в Bitbucket Cloud (Key).

      • clientSecretстрока

        Обязательный параметр

        Secret приложения созданного в Bitbucket Cloud (Secret).

      • includeTeamGroupsбулевый

        Включает в список команд все группы команды, в которых состоит пользователь.

        Пример групп пользователя с включенной опцией:

        groups=["my_team", "my_team/administrators", "my_team/members"]
        

        По умолчанию: false

      • teamsмассив строк

        Список команд, допустимых для приема из Bitbucket Cloud’а.

        Токен пользователя будет содержать объединенное множество команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться не успешной

        Токен будет содержать команды пользователя в claim groups, как и у других провайдеров.

    • crowdобъект

      Параметры провайдера Crowd (можно указывать только если type: Crowd).

      • baseURLстрока

        Обязательный параметр

        Адрес Crowd.

        Пример:

        baseURL: https://crowd.example.com/crowd
        
      • clientIDстрока

        Обязательный параметр

        ID приложения созданного в Crowd (Application Name).

      • clientSecretстрока

        Обязательный параметр

        Пароль приложения созданного в Crowd (Password).

      • enableBasicAuthбулевый

        Включает возможность basic-авторизации для Kubernetes API server.

        В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом Crowd).

        Работает только при включенном publishAPI.

        Полученные от Crowd данные авторизации и групп сохраняются в кэш на 10 секунд.

      • groupsмассив строк

        Список групп, допустимых для приема из Crowd.

        Токен пользователя будет содержать объединенное множество групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из Crowd.

      • usernamePromptстрока

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: "Crowd username"

    • displayNameстрока

      Обязательный параметр

      Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.

      Если настроен всего один провайдер, страница выбора провайдера показываться не будет.

    • githubобъект

      Параметры провайдера GitHub (можно указывать только если type: Github).

      • clientIDстрока

        Обязательный параметр

        ID организации на GitHub.

      • clientSecretстрока

        Обязательный параметр

        Secret организации на GitHub.

      • orgsмассив объектов

        Массив названий организаций в GitHub.

        • nameстрока

          Обязательный параметр

          Название организации.

        • teamsмассив строк

          Список команд, допустимых для приема из GitHub.

          Токен пользователя будет содержать объединенное множество команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

          Если параметр не указан, токен пользователя будет содержать все команды из GitHub.

      • teamNameFieldстрока

        Формат команд, которые будут получены из GitHub.

        Если в организации acme есть группа Site Reliability Engineers, то в случае:

        • Name будет получена группа с именем ['acme:Site Reliability Engineers'];
        • Slug будет получена группа с именем ['acme:site-reliability-engineers'];
        • Both будут получены группы с именами ['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].

        По умолчанию: "Name"

        Допустимые значения: Name, Slug, Both

      • useLoginAsIDбулевый

        Позволяет вместо использования внутреннего GitHub ID, использовать имя пользователя.

    • gitlabобъект

      Параметры провайдера GitLab (можно указывать только если type: Gitlab).

      • baseURLстрока

        Адрес GitLab.

        Пример:

        baseURL: https://gitlab.example.com
        
      • clientIDстрока

        Обязательный параметр

        ID приложения созданного в GitLab (Application ID).

      • clientSecretстрока

        Обязательный параметр

        Secret приложения созданного в GitLab (Secret).

      • groupsмассив строк

        Список групп (пути групп — path, а не имена), допустимых для приема из GitLab.

        Токен пользователя будет содержать объединенное множество групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из GitLab’а.

      • useLoginAsIDбулевый

        Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.

    • ldapобъект

      Параметры провайдера LDAP.

      • bindDNстрока

        Путь до сервис-аккаунта приложения в LDAP.

        Пример:

        bindDN: uid=serviceaccount,cn=users,dc=example,dc=com
        
      • bindPWстрока

        Пароль для сервис-аккаунта приложения в LDAP.

        Пример:

        bindPW: password
        
      • groupSearchобъект

        Настройки фильтра для поиска групп для указанного пользователя.

        Подробнее о процессе фильтрации…

        • baseDNстрока

          Обязательный параметр

          Откуда будет начат поиск групп

          Пример:

          baseDN: cn=users,dc=example,dc=com
          
        • filterстрока

          Фильтр для директории с группами.

          Пример:

          filter: "(objectClass=person)"
          
        • nameAttrстрока

          Обязательный параметр

          Имя атрибута, в котором хранится уникальное имя группы.

          Пример:

          nameAttr: name
          
        • userMatchersмассив объектов

          Обязательный параметр

          Список сопоставлений атрибута имени юзера с именем группы.

          • groupAttrстрока

            Обязательный параметр

            Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.

            Пример:

            groupAttr: member
            
          • userAttrстрока

            Обязательный параметр

            Имя атрибута, в котором хранится имя пользователя.

            Пример:

            userAttr: uid
            
      • hostстрока

        Обязательный параметр

        Адрес и порт (опционально) LDAP-сервера.

        Пример:

        host: ldap.example.com:636
        
      • insecureNoSSLбулевый

        Подключаться к каталогу LDAP не по защищенному порту.

        По умолчанию: false

      • insecureSkipVerifyбулевый

        Не производить проверку подлинности ответа от провайдера с помощью rootCAData.

        По умолчанию: false

      • rootCADataстрока

        CA, используемый для валидации TLS.

        Пример:

        -----BEGIN CERTIFICATE-----
        MIIFaDC...
        -----END CERTIFICATE-----
        
      • startTLSбулевый

        Использовать STARTTLS для шифрования.

        По умолчанию: false

      • userSearchобъект

        Обязательный параметр

        Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).

        Подробнее о процессе фильтрации…

        • baseDNстрока

          Обязательный параметр

          Откуда будет начат поиск пользователей.

          Пример:

          baseDN: cn=users,dc=example,dc=com
          
        • emailAttrстрока

          Обязательный параметр

          Имя атрибута из которого будет получен email пользователя.

          Пример:

          emailAttr: mail
          
        • filterстрока

          Позволяет добавить фильтр для директории с пользователями.

          Пример:

          filter: "(objectClass=person)"
          
        • idAttrстрока

          Обязательный параметр

          Имя атрибута из которого будет получен идентификатор пользователя.

          Пример:

          idAttr: uid
          
        • nameAttrстрока

          Атрибут отображаемого имени пользователя.

          Пример:

          nameAttr: name
          
        • usernameстрока

          Обязательный параметр

          Имя атрибута из которого будет получен username пользователя.

          Пример:

          username: uid
          
      • usernamePromptстрока

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: "LDAP username"

        Пример:

        usernamePrompt: SSO Username
        
    • oidcобъект

      Параметры провайдера OIDC (можно указывать только если type: OIDC).

      • basicAuthUnsupportedбулевый

        Использовать POST-запросы для общения с провайдером, вместо добавления токена в Basic Authorization header.

        В большинстве случаев dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.

        По умолчанию: false

      • clientIDстрока

        Обязательный параметр

        ID приложения, созданного в OIDC провайдере.

      • clientSecretстрока

        Обязательный параметр

        Пароль приложения, созданного в OIDC провайдере.

      • getUserInfoбулевый

        Запрашивать дополнительные данные об успешно подключенном пользователе.

        Подробнее…

        По умолчанию: false

      • insecureSkipEmailVerifiedбулевый

        Игнорировать информацию о статусе подтверждения e-mail пользователя.

        Как именно подтверждается e-mail решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден e-mail или нет.

        По умолчанию: false

      • issuerстрока

        Обязательный параметр

        Адрес OIDC-провайдера.

        Пример:

        issuer: https://accounts.google.com
        
      • promptTypeстрока

        Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.

        По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.

        По умолчанию: "consent"

      • scopesмассив строк

        Список полей для включения в ответ при запросе токена.

        По умолчанию: ["openid","profile","email","groups","offline_access"]

      • userIDKeyстрока

        Claim, который будет использован для получения ID пользователя.

        По умолчанию: "sub"

      • userNameKeyстрока

        Claim, который будет использован для получения имени пользователя.

        По умолчанию: "name"

    • typeстрока

      Обязательный параметр

      Тип внешнего провайдера.

      Допустимые значения: Github, Gitlab, BitbucketCloud, Crowd, OIDC, LDAP

Описывает конфигурацию подключения стороннего провайдера.

С его помощью можно гибко настроить интеграцию каталога учетных записей с Kubernetes.

  • specобъект

    Обязательный параметр

    • bitbucketCloudобъект

      Параметры провайдера Bitbucket Cloud (можно указывать только если type: BitbucketCloud).

      • clientIDстрока

        Обязательный параметр

        ID приложения созданного в Bitbucket Cloud (Key).

      • clientSecretстрока

        Обязательный параметр

        Secret приложения созданного в Bitbucket Cloud (Secret).

      • includeTeamGroupsбулевый

        Включает в список команд все группы команды, в которых состоит пользователь.

        Пример групп пользователя с включенной опцией:

        groups=["my_team", "my_team/administrators", "my_team/members"]
        

        По умолчанию: false

      • teamsмассив строк

        Список команд, допустимых для приема из Bitbucket Cloud’а.

        Токен пользователя будет содержать объединенное множество команд из Bitbucket Cloud и команд из этого списка. Если если множество окажется пустым, авторизация не будет считаться не успешной

        Токен будет содержать команды пользователя в claim groups, как и у других провайдеров.

    • crowdобъект

      Параметры провайдера Crowd (можно указывать только если type: Crowd).

      • baseURLстрока

        Обязательный параметр

        Адрес Crowd.

        Пример:

        baseURL: https://crowd.example.com/crowd
        
      • clientIDстрока

        Обязательный параметр

        ID приложения созданного в Crowd (Application Name).

      • clientSecretстрока

        Обязательный параметр

        Пароль приложения созданного в Crowd (Password).

      • enableBasicAuthбулевый

        Включает возможность basic-авторизации для Kubernetes API server.

        В качестве credentials для basic-авторизации указываются логин и пароль пользователя из приложения, созданного в Crowd (возможно включить при указании только одного провайдера с типом Crowd).

        Работает только при включенном publishAPI.

        Полученные от Crowd данные авторизации и групп сохраняются в кэш на 10 секунд.

      • groupsмассив строк

        Список групп, допустимых для приема из Crowd.

        Токен пользователя будет содержать объединенное множество групп из Crowd и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из Crowd.

      • usernamePromptстрока

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: "Crowd username"

    • displayNameстрока

      Обязательный параметр

      Имя провайдера, которое будет отображено на странице выбора провайдера для аутентификации.

      Если настроен всего один провайдер, страница выбора провайдера показываться не будет.

    • githubобъект

      Параметры провайдера GitHub (можно указывать только если type: Github).

      • clientIDстрока

        Обязательный параметр

        ID организации на GitHub.

      • clientSecretстрока

        Обязательный параметр

        Secret организации на GitHub.

      • orgsмассив объектов

        Массив названий организаций в GitHub.

        • nameстрока

          Обязательный параметр

          Название организации.

        • teamsмассив строк

          Список команд, допустимых для приема из GitHub.

          Токен пользователя будет содержать объединенное множество команд из GitHub и команд из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

          Если параметр не указан, токен пользователя будет содержать все команды из GitHub.

      • teamNameFieldстрока

        Формат команд, которые будут получены из GitHub.

        Если в организации acme есть группа Site Reliability Engineers, то в случае:

        • name будет получена группа с именем ['acme:Site Reliability Engineers'];
        • slug будет получена группа с именем ['acme:site-reliability-engineers'];
        • both будут получены группы с именами ['acme:Site Reliability Engineers', 'acme:site-reliability-engineers'].

        По умолчанию: "name"

        Допустимые значения: name, slug, both

      • useLoginAsIDбулевый

        Позволяет вместо использования внутреннего GitHub ID, использовать имя пользователя.

    • gitlabобъект

      Параметры провайдера GitLab (можно указывать только если type: Gitlab).

      • baseURLстрока

        Адрес GitLab.

        Пример:

        baseURL: https://gitlab.example.com
        
      • clientIDстрока

        Обязательный параметр

        ID приложения созданного в GitLab (Application ID).

      • clientSecretстрока

        Обязательный параметр

        Secret приложения созданного в GitLab (Secret).

      • groupsмассив строк

        Список групп (пути групп — path, а не имена), допустимых для приема из GitLab.

        Токен пользователя будет содержать объединенное множество групп из GitLab и групп из этого списка. Если множество окажется пустым, авторизация не будет считаться успешной.

        Если параметр не указан, токен пользователя будет содержать все группы из GitLab’а.

      • useLoginAsIDбулевый

        Позволяет вместо использования внутреннего GitLab ID, использовать имя пользователя.

    • ldapобъект

      Параметры провайдера LDAP.

      • bindDNстрока

        Путь до сервис-аккаунта приложения в LDAP.

        Пример:

        bindDN: uid=serviceaccount,cn=users,dc=example,dc=com
        
      • bindPWстрока

        Пароль для сервис-аккаунта приложения в LDAP.

        Пример:

        bindPW: password
        
      • groupSearchобъект

        Настройки фильтра для поиска групп для указанного пользователя.

        Подробнее о процессе фильтрации…

        • baseDNстрока

          Обязательный параметр

          Откуда будет начат поиск групп

          Пример:

          baseDN: cn=users,dc=example,dc=com
          
        • filterстрока

          Фильтр для директории с группами.

          Пример:

          filter: "(objectClass=person)"
          
        • nameAttrстрока

          Обязательный параметр

          Имя атрибута, в котором хранится уникальное имя группы.

          Пример:

          nameAttr: name
          
        • userMatchersмассив объектов

          Обязательный параметр

          Список сопоставлений атрибута имени юзера с именем группы.

          • groupAttrстрока

            Обязательный параметр

            Имя атрибута, в котором хранятся имена пользователей, состоящих в группе.

            Пример:

            groupAttr: member
            
          • userAttrстрока

            Обязательный параметр

            Имя атрибута, в котором хранится имя пользователя.

            Пример:

            userAttr: uid
            
      • hostстрока

        Обязательный параметр

        Адрес и порт (опционально) LDAP-сервера.

        Пример:

        host: ldap.example.com:636
        
      • insecureNoSSLбулевый

        Подключаться к каталогу LDAP не по защищенному порту.

        По умолчанию: false

      • insecureSkipVerifyбулевый

        Не производить проверку подлинности ответа от провайдера с помощью rootCAData.

        По умолчанию: false

      • rootCADataстрока

        CA, используемый для валидации TLS.

        Пример:

        -----BEGIN CERTIFICATE-----
        MIIFaDC...
        -----END CERTIFICATE-----
        
      • startTLSбулевый

        Использовать STARTTLS для шифрования.

        По умолчанию: false

      • userSearchобъект

        Обязательный параметр

        Настройки фильтров пользователей, которые помогают сначала отфильтровать директории, в которых будет производиться поиск пользователей, а затем найти пользователя по полям (его имени, адресу электронной почты или отображаемому имени).

        Подробнее о процессе фильтрации…

        • baseDNстрока

          Обязательный параметр

          Откуда будет начат поиск пользователей.

          Пример:

          baseDN: cn=users,dc=example,dc=com
          
        • emailAttrстрока

          Обязательный параметр

          Имя атрибута из которого будет получен email пользователя.

          Пример:

          emailAttr: mail
          
        • filterстрока

          Позволяет добавить фильтр для директории с пользователями.

          Пример:

          filter: "(objectClass=person)"
          
        • idAttrстрока

          Обязательный параметр

          Имя атрибута из которого будет получен идентификатор пользователя.

          Пример:

          idAttr: uid
          
        • nameAttrстрока

          Атрибут отображаемого имени пользователя.

          Пример:

          nameAttr: name
          
        • usernameстрока

          Обязательный параметр

          Имя атрибута из которого будет получен username пользователя.

          Пример:

          username: uid
          
      • usernamePromptстрока

        Строка, которая будет отображаться возле поля для имени пользователя в форме ввода логина и пароля.

        По умолчанию: "LDAP username"

        Пример:

        usernamePrompt: SSO Username
        
    • oidcобъект

      Параметры провайдера OIDC (можно указывать только если type: OIDC).

      • basicAuthUnsupportedбулевый

        Использовать POST-запросы для общения с провайдером, вместо добавления токена в Basic Authorization header.

        В большинстве случаев dex сам определяет, какой запрос ему нужно сделать, но иногда включение этого параметра может помочь.

        По умолчанию: false

      • clientIDстрока

        Обязательный параметр

        ID приложения, созданного в OIDC провайдере.

      • clientSecretстрока

        Обязательный параметр

        Пароль приложения, созданного в OIDC провайдере.

      • getUserInfoбулевый

        Запрашивать дополнительные данные об успешно подключенном пользователе.

        Подробнее…

        По умолчанию: false

      • insecureSkipEmailVerifiedбулевый

        Игнорировать информацию о статусе подтверждения e-mail пользователя.

        Как именно подтверждается e-mail решает сам провайдер. В ответе от провайдера приходит лишь информация — подтвержден e-mail или нет.

        По умолчанию: false

      • issuerстрока

        Обязательный параметр

        Адрес OIDC-провайдера.

        Пример:

        issuer: https://accounts.google.com
        
      • promptTypeстрока

        Определяет — должен ли Issuer запрашивать подтверждение и давать подсказки при аутентификации.

        По умолчанию будет запрошено подтверждение при первой аутентификации. Допустимые значения могут изменяться в зависимости от Issuer.

        По умолчанию: "consent"

      • scopesмассив строк

        Список полей для включения в ответ при запросе токена.

        По умолчанию: ["openid","profile","email","groups","offline_access"]

      • userIDKeyстрока

        Claim, который будет использован для получения ID пользователя.

        По умолчанию: "sub"

      • userNameKeyстрока

        Claim, который будет использован для получения имени пользователя.

        По умолчанию: "name"

    • typeстрока

      Обязательный параметр

      Тип внешнего провайдера.

      Допустимые значения: Github, Gitlab, BitbucketCloud, Crowd, OIDC, LDAP

User

Scope: Cluster

Содержит информацию о статическом пользователе.

  • specобъект

    Обязательный параметр

    • emailстрока

      Обязательный параметр

      E-mail пользователя.

      Важно! При использовании совместно с модулем user-authz, для выдачи прав конкретному пользователю в качестве имени пользователя в CR ClusterAuthorizationRule необходимо указывать email.

      Пример:

      email: user@domain.com
      
    • groupsмассив строк

      Список групп, в которых у пользователя есть членство.

    • passwordстрока

      Обязательный параметр

      Хэшированный пароль пользователя.

      Для получения хэшированного пароля можно воспользоваться командой echo "$password" | htpasswd -inBC 10 "" | tr -d ':\n' | sed 's/$2y/$2a/'. Или воспользоваться онлайн-сервисом.

      Шаблон: ^\$2[ayb]\$.{56}$

      Пример:

      password: "$2a$10$F9ey7zW.sVliT224RFxpWeMsgzO.D9YRG54a8T36/K2MCiT41nzmC"
      
    • ttlстрока

      Время жизни учетной записи пользователя (TTL).

      Задается в виде строки с указанием time unit: 30m, 1h, 24h. Либо в минутах, либо в часах.

      Указать TTL можно только 1 раз. При повторном изменении TTL, дата expireAt не обновляется.

      Шаблон: ^\d+(?:m|h)$

      Пример:

      ttl: 24h
      
    • userIDстрока

      Уникальное имя (ID) пользователя.

      Пример:

      userID: '08a8684b-db88-4b73-90a9-3cd1661f5466'
      

Содержит информацию о статическом пользователе.

  • specобъект

    Обязательный параметр

    • emailстрока

      Обязательный параметр

      E-mail пользователя.

      Важно! При использовании совместно с модулем user-authz, для выдачи прав конкретному пользователю в качестве имени пользователя в CR ClusterAuthorizationRule необходимо указывать email.

      Пример:

      email: user@domain.com
      
    • groupsмассив строк

      Список групп, в которых у пользователя есть членство.

    • passwordстрока

      Обязательный параметр

      Хэшированный пароль пользователя.

      Для получения хэшированного пароля можно воспользоваться командой echo "$password" | htpasswd -inBC 10 "" | tr -d ':\n' | sed 's/$2y/$2a/'. Или воспользоваться онлайн-сервисом.

      Шаблон: ^\$2[ayb]\$.{56}$

      Пример:

      password: "$2a$10$F9ey7zW.sVliT224RFxpWeMsgzO.D9YRG54a8T36/K2MCiT41nzmC"
      
    • ttlстрока

      Время жизни учетной записи пользователя (TTL).

      Задается в виде строки с указанием time unit: 30m, 1h, 24h. Либо в минутах, либо в часах.

      Указать TTL можно только 1 раз. При повторном изменении TTL, дата expireAt не обновляется.

      Шаблон: ^\d+(?:m|h)$

      Пример:

      ttl: 24h
      
    • userIDстрока

      Уникальное имя (ID) пользователя.

      Пример:

      userID: '08a8684b-db88-4b73-90a9-3cd1661f5466'