[发明专利]一种容器服务用户认证方法在审
| 申请号: | 201910474805.2 | 申请日: | 2019-06-03 |
| 公开(公告)号: | CN110198318A | 公开(公告)日: | 2019-09-03 |
| 发明(设计)人: | 王文岗;唐晓东;石光银;蔡卫卫 | 申请(专利权)人: | 浪潮云信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/32;G06F21/33;G06F9/455 |
| 代理公司: | 济南信达专利事务所有限公司 37100 | 代理人: | 姜明 |
| 地址: | 250100 山东省济南市高*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 认证 服务用户 可访问 集群 令牌 管理用户 用户访问 应用程序编程接口 访问权限 访问容器 服务后台 内部资源 数据安全 页眉 后台 服务 配置 管理 | ||
1.一种容器服务用户认证方法,其特征在于,包括以下步骤:
A)用户访问keycloak集群换取令牌token;
B)将令牌token放在页眉header中,访问容器服务后台应用程序编程接口API;
C)容器服务对用户进行认证,若通过认证则执行步骤D),若未能通过认证则拒绝用户访问;
D)配置相关集群,对用户进行认证并限制可访问APIServer资源。
2.根据权利要求1所述的容器服务用户认证方法,其特征在于:所述步骤C)中,容器服务对用户进行认证,包括对令牌token格式及过期验证,组group认证,角色role认证和统一资源定位符url认证。
3.根据权利要求2所述的容器服务用户认证方法,其特征在于:所述容器服务对令牌token格式及过期验证是指容器服务后台获取用户令牌token后,对令牌token进行解析,验证令牌token的格式以及令牌token是否过期,若令牌token格式不正确或者已过期,则拒绝用户访问。
4.根据权利要求2所述的容器服务用户认证方法,其特征在于:所述容器服务对组group认证是指解析令牌token后,检查用户是否在正确的组group中,若不在,则拒绝用户访问。
5.根据权利要求2所述的容器服务用户认证方法,其特征在于:所述容器服务对角色role认证是指解析令牌token后,检查用户的角色role,检查用户是否具有规定的角色role,若没有,则拒绝用户访问。
6.根据权利要求2所述的容器服务用户认证方法,其特征在于:所述容器服务对统一资源定位符url认证是指预置统一资源定位符url权限文件,根据获取的用户的角色role,去检查用户是否具有访问该统一资源定位符url的权限,若没有,则拒绝用户访问。
7.根据权利要求1所述的容器服务用户认证方法,其特征在于:所述步骤D)中,用户通过登录获取的令牌token用来访问相关集群的APIServer,进而获取相关资源,要通过令牌token进行认证,对kubernetes集群的APIServer配置认证所需相关配置项,并配置用户所能访问资源限制。
8.根据权利要求7所述的容器服务用户认证方法,其特征在于:所述kubernetes集群的APIServer配置认证所需相关配置项包括--oidc-issuer-url,--oidc-client-id和--oidc-username-claim;其中--oidc-issuer-url为keycloak地址,--oidc-client-id为用户对应的keycloak中的clientid,--oidc-username-claim为jwt声明使用的用户名。
9.根据权利要求7所述的容器服务用户认证方法,其特征在于:所述配置用户所能访问资源限制包括配置clusterrole与clusterrolebingding,在clusterrole中配置用户可访问的kubernetes集群资源,在clusterrolebingding中绑定相关用户。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浪潮云信息技术有限公司,未经浪潮云信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910474805.2/1.html,转载请声明来源钻瓜专利网。
