База знаний
Войти

Как подключить внешний сервис аутентификации

РОСА Кубис совместима с внешними сервисами аутентификации по протоколу OIDC OAuth 2.0.

Для подключения внешнего сервиса аутентификации необходимо выполнить шаги по подготовке к настройке подключения внешнего сервиса в Комплексе.

Можно подключить внешние сервисы аутентификации:

  • Blitz;
  • Keycloak.

Если в кластере управления работают сервисы, такие как ArgoCD, Grafana, то при изменении сервиса аутентификации изменения в SSC не потребуются.

Если внешний сервис аутентификации перестал работать, можно выключить его и возобновить доступ для пользователей, выполнив шаги инструкции "Восстановление доступа при сбое внешнего сервиса".

Подготовка к настройке подключения внешнего сервиса

Требования к внешнему сервису

Для корректной интеграции с Комплексом на стороне внешнего сервиса аутентификации (Blitz, Keycloak) в access_token должны быть настроены поля:

  • sub ‒ username пользователя;
  • claims ‒ атрибут группы пользователя;
  • aud ‒ client_id;
  • name ‒ как правило, соответствует полю "Display name", но может соответствовать samAccountName;
  • email ‒ должен соответствовать полю mail;
  • preferred_username ‒ должен соответствовать полю samAccountName;
  • iss ‒ URL issuer провайдера аутентификации;
  • jti, exp, iat ‒ должны формироваться в соответствии с RFC 7519.

Рекомендуется выполнять подключение внешних сервисов аутентификации из консоли.

Когда в кластере управления работают внешние сервисы, такие как Opensearch, ArgoCD, Grafana, то при изменении провайдера аутентификации изменения в SSC не потребуются.

Требования к конфигурации внешнего сервиса

До подключения внешнего сервиса аутентификации в Комплексе требуется подготовить конфигурацию внешнего провайдера:

  1. получить корневой CA-сертификат внешнего сервиса аутентификации, закодированный в base64. Можно запросить сертификат у администратора внешнего сервиса аутентификации или получить его в интерфейсе командной строки, подключившись по SSH к сервису аутентификации и получив сертификат, закодированный в base64:
cat <путь до файла сертификата внешнего сервиса аутентификации> | base64

Например, путь до файла сертификата внешнего сервиса аутентификации: /usr/share/keycloak/cert/keycloak.shturval.crt.

Пример ответа:

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
  1. подготовить конфигурацию внешнего провайдера согласно примеру, использовав значения параметров, и закодировать ее в base64.

Пример конфигурации внешнего провайдера (описание параметров ‒ в таблице 1):

{
"name": <ваше значение параметра>,
"issuerUrl": <ваше значение параметра>,
"codeVerifyMethod": <ваше значение параметра>,
"client": {
"clientId": <ваше значение параметра>,
"clientSecret": <ваше значение параметра>
},
"insecureSkipVerify": <ваше значение параметра>,
"caBundle": <ваше значение параметра>
}

1 - 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

Если пользователям в графическом интерфейсе доступна возможность выбора сервиса аутентификации (внешний, внутренний), в окне аутентификации будет отображаться указанное значение в параметре name (рисунок 1).

Рисунок 1 ‒ Окно аутентификации

Далее нужно закодировать в base64 конфигурацию, подготовленную на предыдущем шаге, загрузить и сохранить действующие kubeconfigs кластеров (клиентских кластеров, кластера управления). Kubeconfig потребуется для подключения к кластеру из консоли.

Keycloak

После того как будут выполнены действия по подготовке к настройке подключения в Комплексе (получена конфигурация внешнего сервиса аутентификации), можно внести изменения в SSC Модуля управления аутентификацией (shturval-auth) из интерфейса командной строки или из графического интерфейса.

Рекомендуется выполнять подключение внешних сервисов аутентификации из интерфейса командной строки (консоли).

Подключение Keycloak из интерфейса командной строки

После получения конфигурации внешнего провайдера нужно авторизоваться в Комплексе по kubeconfig, полученному при инсталляции, или взять его с Control Plane-узла Комплекса /etc/kubernetes/admin.conf:

  1. получить SSC shturval-backend и сохранить исходную SSC, чтобы иметь возможность быстро откатить изменения в случае ошибки:
# Получить ssc shturval-auth
kubectl get ssc shturval-auth -o yaml > shturval-auth-ssc.yaml
# Сохранить исходную ssc
cp shturval-auth-ssc.yaml shturval-auth-ssc.yaml.backup
  1. удалить из shturval-backend-SSC.yaml раздел status, параметры и их значения; удаляемые параметры:
 creationTimestamp:
 resourceVersion:
 uid:
 finalizers:
 generation:
 annotations:
  1. подготовить YAML-файл с манифестом объекта ShturvalServicePatch (PatchSSC) для применения к спецификации (SSC) shturval-auth. В PatchSSC задать требуемые параметры в customvalues (таблица 2);

Пример ShturvalServicePatch:

apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-auth
  customvalues:
    AUTH_EXTERNAL_IDP_SECRET_BASE64: <ваше значение параметра>
    AUTH_IDP_ACTIVE: <ваше значение параметра>
    SKIP_INTERNAL_AUTH_FORM: <ваше значение параметра>

2 - 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

  1. применить изменения:
kubectl apply -f shturval-backend-SSC.yaml

Пример имени файла с манифестом ‒ shturval-auth-keycloak.yaml.

  1. дождаться применения изменений. В неймспейсе shturval-backend проверить данные Secret auth-idps. Он должен содержать конфигурацию, заданную в AUTH_EXTERNAL_IDP_SECRET_BASE64:
kubectl get secret auth-idps -n shturval-backend -o yaml

После изменения сервиса аутентификации для доступа в кластер с помощью kubeconfig необходимо загрузить и использовать новый kubeconfig. Подробнее о способах получения kubeconfig в разделе .

Подключение Keycloak из графического интерфейса

Для подключения Keycloak из графического интерфейса нужно:

  1. подготовить манифест объекта ShturvalServicePatch (PatchSSC) для применения к спецификации (SSC) Модуля программного управления (shturval-backend). В PatchSSC задать требуемые параметры в customvalues, как в приведенном примере ниже, используя свои значения.

Пример ShturvalServicePatch (описание параметров ‒ в таблице 3):

apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-auth
  customvalues:
    AUTH_EXTERNAL_IDP_SECRET_BASE64: <ваше значение параметра>
    AUTH_IDP_ACTIVE: <ваше значение параметра>
    SKIP_INTERNAL_AUTH_FORM: <ваше значение параметра>

3 - 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

  1. в кластере управления загрузить с помощью импорта манифестов подготовленный ShturvalServicePatch;
  2. если после применения PatchSSC сеанс работы в графическом интерфейсе Комплекса завершен, выполнить подключение к Комплексу из консоли. Использовать kubeconfig кластера управления. Если аутентификация не была прервана, можно продолжить выполнение следующих действий в графическом интерфейсе;
  3. в неймспейсе shturval-backend проверить данные Secret auth-idps. Secret должен содержать конфигурацию, заданную в AUTH_EXTERNAL_IDP_SECRET_BASE64.

После изменения сервиса аутентификации для доступа в кластер с помощью kubeconfig нужно загрузить и использовать новый kubeconfig. Подробнее о способах получения kubeconfig см. раздел .

Подключение Blitz

После выполнения действий по подготовке к настройке подключения в Комплексе (получена конфигурация внешнего сервиса аутентификации) нужно:

  1. авторизоваться в Комплесе по kubeconfig, полученному при установке или взятому с Control Plane-узла Комплекса /etc/kubernetes/admin.conf;
  2. получить SSC shturval-backend и сохранить исходную SSC, чтобы иметь возможность быстро откатить изменения в случае ошибки:
# Получить ssc shturval-auth
kubectl get ssc shturval-auth -o yaml > shturval-auth-ssc.yaml
# Сохранить исходную ssc
cp shturval-auth-ssc.yaml shturval-auth-ssc.yaml.backup
  1. удалить из shturval-auth-ssc.yaml раздел status, параметры и их значения. Удаляемые параметры:
 creationTimestamp:
 resourceVersion:
 uid:
 finalizers:
 generation:
 annotations:
  1. подготовить YAML-файл с манифестом объекта ShturvalServicePatch (PatchSSC) для применения к спецификации (SSC) shturval-auth. В PatchSSC задать требуемые параметры в customvalues, используя свои значения параметров (описание параметров ‒ в таблице 4):

Пример ShturvalServicePatch:

apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: <имя ресурса>
spec:
  shturvalServiceConfigName: shturval-auth
  customvalues:
    AUTH_EXTERNAL_IDP_SECRET_BASE64: <ваше значение параметра>
    AUTH_IDP_ACTIVE: <ваше значение параметра>
    SKIP_INTERNAL_AUTH_FORM: <ваше значение параметра>

4 - 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

  1. применить изменения:
kubectl apply -f УКАЖИТЕ-ФАЙЛ-С-МАНИФЕСТОМ-PatchSSC

Пример имени файла с манифестом ‒ shturval-auth-blitz.yaml.

  1. дождаться применения изменений. В неймспейсе shturval-backend проверить данные Secret auth-idps. Он должен содержать конфигурацию, заданную в AUTH_EXTERNAL_IDP_SECRET_BASE64:
kubectl get secret auth-idps -n shturval-backend -o yaml

После изменения сервиса аутентификации для доступа в кластер с помощью kubeconfig нужно загрузить и использовать новый kubeconfig. Подробнее о способах получения kubeconfig см. раздел .

Восстановление доступа при сбое внешнего сервиса

Допустим, в Комплексе для аутентификации подключен внешний сервис, например, Blitz или Keycloak. Возникают ситуации, когда по независящим от Комплекса обстоятельствам на стороне внешнего сервиса аутентификации может произойти сбой. В этом случае есть возможность выключить внешний сервис аутентификации и возобновить доступ всех пользователей в Комплекс.

Чтобы при сбое внешнего сервиса работа в Комплексе не прерывалась, следует выполнить действия:

  1. подключиться в кластер управления по kubeconfig, полученному при инсталляции Комплекса. Также Kubeconfig можно взять с Control Plane-узла Комплекса /etc/kubernetes/admin.conf;
  2. подготовить YAML-файл, например, с именем shturval-auth.yaml и с манифестом объекта ShturvalServicePatch (PatchSSC) для применения к спецификации (SSC) shturval-auth. В PatchSSC указать false в параметре AUTH_IDP_ACTIVE и задать приоритетность применения в параметре order, как в приведенном примере ниже:
apiVersion: ops.shturval.tech/v1beta2
kind: ShturvalServicePatch
metadata:
  name: shturval-auth-disable
spec:
  shturvalServiceConfigName: shturval-auth
  patchOrder: 1
  customvalues:
    AUTH_IDP_ACTIVE: false

Важно ‒ Значение параметра patchOrder в ShturvalServicePatch для отключения внешнего провайдера должно быть меньше, чем в примененном ShturvalServicePatch c конфигурацией подключения для внешнего провайдера аутентификации (keycloak, blitz).

  1. применить изменения:
kubectl apply -f УКАЖИТЕ-ФАЙЛ-С-МАНИФЕСТОМ-PatchSSC

По завершении применения изменений аутентификация должна отработать корректно.