Аутентификация в платформе
По умолчанию в платформе Штурвал установлен сервис аутентификации собственной разработки.
Для входа в графический интерфейс платформы управления выполните следующие действия:
- Перейдите по URL-ссылке, созданной на этапе развёртывания Платформы «Штурвал», в браузере.
Откроется форма аутентификации.
- Введите данные системной учетной записи.
- Нажмите кнопку Войти.
При необходимости вы можете перенастроить аутентификацию на внешний сервис. Доступны: Blitz, Keycloak.
Обратите внимание, если аутентификация переключена на внешний сервис, интеграция с LDAP не будет использована. Пользователи и группы будут определены в соответствии с каталогом, подключенным к внешнему сервису.
Подключение внешнего сервиса аутентификации
Платформа совместима с внешними сервисами аутентификации по протоколу OIDC OAuth 2.0.
Для подключения внешнего сервиса аутентификации, например, Blitz или Keycloak, вам необходимо внести изменения в сервисы “shturval-frontend” и “shturval-backend” кластера управления.
В спецификацию сервиса “shturval-frontend” добавьте параметры:
spec:
customvalues:
auth_ingress_hostname: 'your-auth-service-link'
BACKEND_CLIENT_ID=‘your-backend-client-id‘
BACKEND_CLIENT_SECRET=‘your-backend-client-secret‘
auth_provider_type='keyclock'
Значения параметров изменить значения согласно данным внешнего провайдера. Например, для Blitz укажите https://login.company.com/blitz/oauth/ в IDENTITY_PROVIDER_URL и Blitz вместо embedded.
В спецификацию сервиса “shturval-backend” добавьте параметры:
spec:
customvalues:
auth_ingress_hostname: 'your-auth-service-link'
BACKEND_CLIENT_ID=‘your-backend-client-id‘
BACKEND_CLIENT_SECRET=‘your-backend-client-secret‘
auth_provider_type='keyclock'
В секрете auth-clients
в неймспейсе “shturval-backend” кластера управления добавьте ключ с данными логина и значение с данными пароля для подключения внешнего сервиса аутентификации.
После завершения настроек необходимо удалить все поды в неймспейсе shturval-backend. Поды перезапустятся с применением настроек.
Доступ в платформу, если внешний сервис перестал работать
Допустим, в платформе для аутентификации вы подключили внешний сервис, например, Blitz или Keycloak. Возникают ситуации, когда по независящим от платформы обстоятельствам, на стороне внешнего сервиса аутентификации может произойти сбой.
Чтобы работа в платформе не прерывалось, есть возможность переключить аутентификацию на внутренний сервис аутентификации платформы Штурвал. Доступ всех пользователей в платформу будет возобновлен.
Подключитесь в кластер управления по kubeconfig, полученному при инсталляции платформы или можно взять его с мастер узла платформы /etc/kubernetes/admin.conf.
ssc “shturval-frontend”
В ssc “shturval-frontend” измените параметры на указанные значения:
customvalues:
auth_url_production: 'https:////auth.apps.ip-your-ingress.shturval.link/',
auth_idp_type: 'embedded',
Удалите праметры:
auth_client_id: 'your-auth-service-client_id',
auth_client_secret: 'your-auth-service-client_id'
ssc “shturval-backend”
В ssc “shturval-backend” удалите параметр:
auth_ingress_hostname: 'your-auth-service-link'
Замените его на внешний сервис, например Blitz.
Далее перейдите в секрет auth-clients в неймспейсе shturval-backend кластера управления и создайте секрет с типом Opaque с данными логина и пароля для подключения внешнего сервиса аутентификации.
После завершения настроек необходимо удалить все поды в неймспейсах shturval-backend и shturval-backend. Поды перезапустятся с применением настроек.