Аутентификация в платформе

По умолчанию в платформе Штурвал установлен сервис аутентификации собственной разработки.

Для входа в графический интерфейс платформы управления выполните следующие действия:

  1. Перейдите по URL-ссылке, созданной на этапе развёртывания Платформы «Штурвал», в браузере.

Откроется форма аутентификации.

  1. Введите данные системной учетной записи.
  2. Нажмите кнопку Войти.

При необходимости вы можете перенастроить аутентификацию на внешний сервис. Доступны: Blitz, Keycloak.

Обратите внимание, если аутентификация переключена на внешний сервис, интеграция с LDAP не будет использована. Пользователи и группы будут определены в соответствии с каталогом, подключенным к внешнему сервису.

Подключение внешнего сервиса аутентификации

Платформа совместима с внешними сервисами аутентификации по протоколу OIDC OAuth 2.0.

Для подключения внешнего сервиса аутентификации, например, Blitz или Keycloak, вам необходимо внести изменения в сервисы “shturval-frontend” и “shturval-backend” кластера управления.

В спецификацию сервиса “shturval-frontend” добавьте параметры:

spec:
  customvalues:
    auth_ingress_hostname: 'your-auth-service-link'
    BACKEND_CLIENT_ID=‘your-backend-client-id‘
    BACKEND_CLIENT_SECRET=‘your-backend-client-secret‘
    auth_provider_type='keyclock'

Значения параметров изменить значения согласно данным внешнего провайдера. Например, для Blitz укажите https://login.company.com/blitz/oauth/ в IDENTITY_PROVIDER_URL и Blitz вместо embedded.

В спецификацию сервиса “shturval-backend” добавьте параметры:

spec:
  customvalues:
    auth_ingress_hostname: 'your-auth-service-link'
    BACKEND_CLIENT_ID=‘your-backend-client-id‘
    BACKEND_CLIENT_SECRET=‘your-backend-client-secret‘
    auth_provider_type='keyclock'

В секрете auth-clients в неймспейсе “shturval-backend” кластера управления добавьте ключ с данными логина и значение с данными пароля для подключения внешнего сервиса аутентификации.

После завершения настроек необходимо удалить все поды в неймспейсе shturval-backend. Поды перезапустятся с применением настроек.

Доступ в платформу, если внешний сервис перестал работать

Допустим, в платформе для аутентификации вы подключили внешний сервис, например, Blitz или Keycloak. Возникают ситуации, когда по независящим от платформы обстоятельствам, на стороне внешнего сервиса аутентификации может произойти сбой.

Чтобы работа в платформе не прерывалось, есть возможность переключить аутентификацию на внутренний сервис аутентификации платформы Штурвал. Доступ всех пользователей в платформу будет возобновлен.

Подключитесь в кластер управления по kubeconfig, полученному при инсталляции платформы или можно взять его с мастер узла платформы /etc/kubernetes/admin.conf.

ssc “shturval-frontend”

В ssc “shturval-frontend” измените параметры на указанные значения:

  customvalues:
    auth_url_production: 'https:////auth.apps.ip-your-ingress.shturval.link/',
    auth_idp_type: 'embedded',

Удалите праметры:

    auth_client_id: 'your-auth-service-client_id',
    auth_client_secret: 'your-auth-service-client_id'

ssc “shturval-backend”

В ssc “shturval-backend” удалите параметр:

    auth_ingress_hostname: 'your-auth-service-link'

Замените его на внешний сервис, например Blitz.

Далее перейдите в секрет auth-clients в неймспейсе shturval-backend кластера управления и создайте секрет с типом Opaque с данными логина и пароля для подключения внешнего сервиса аутентификации.

После завершения настроек необходимо удалить все поды в неймспейсах shturval-backend и shturval-backend. Поды перезапустятся с применением настроек.