Kubernetes支持多种插件集成外部SSO,除了OpenID Connect还有什么?实际容器云设计中,一般用什么实现SSO呢? LDAP/SAML如何实现对接?
k8s官方认证相关参考https://kubernetes.io/docs/reference/access-authn-authz/authentication/
官方提供思路比较抽象,但我们可以参考传统应用sso集成,来谈下k8s的集成思路:
1.传统应用sso集成,需要在应用实现sp,由sp调用idp相关接口进行用户鉴权实现。应用再通过sp的用户信息和自身用户信息mapping。
2.同样k8s集成基于前者前提下,需要实现sp的用户信息和k8s原生的user mapping,后者通过rbac再和k8s本身权限体系打通。
通过上述,实现idp登陆的user,在k8s上层portal mapping到k8s user,相关k8s业务功能的api都是用后者的account token进行调用的,基于k8s rbac。
收起