Термины и определения

Данный глоссарий содержит описание основных терминов, устоявшихся выражений, примитивов и определений, которые вы можете встретить в данной документации и при работе с механизмами аутентификации и авторизации в Nova Container Platform.

1. Глоссарий

1.1. Bearer token

bearer token

Bearer-токен используется для аутентификации в Kubernetes API. Токен устанавливается в HTTP-запрос в заголовок Authorization: Bearer <token>.

1.2. Cluster Role

Кластерная роль в RBAC Kubernetes, которая содержит набор правил, определяющих множество разрешений. Кластерная роль содержит только разрешающие правила и не может содержать запрещающих правил. Кластерная роль всегда определяет набор правил на уровне всего кластера, а не пространства имен (Namespace) в частности.

1.3. Cluster Role Binding

Объект ClusterRoleBinding (привязка кластерной роли) необходим для назначения каких-либо разрешений, определенных в роли, к пользователю или группе пользователей. В объекте ClusterRoleBinding содержится перечень субъектов (пользователей, групп, сервисных аккаунтов) и указание роли, которая им назначается. Объект ClusterRoleBinding используется только в контексте кластера и может ссылаться на любую кластерную роль.

1.4. Distinguished Name (DN)

Уникальное имя объекта, по которому данный объект может быть идентифицирован в каталоге LDAP-сервера.

1.5. Lightweight directory access protocol (LDAP)

LDAP является протоколом доступа к каталогам. С помощью данного протокола может быть запрошена информация о пользователе.

1.6. LDAPS (LDAP over SSL)

LDAP-подключения, защищенные с помощью SSL.

1.7. OpenID Connect

Протокол, позволяющий пользователю использовать единую учетную запись и сквозную аутентификацию (SSO) во множестве различных информационных систем.

1.8. Role

Роль в RBAC Kubernetes, которая содержит набор правил, определяющих множество разрешений. Роль содержит только разрешающие правила и не может содержать запрещающих правил. Роль всегда определяет набор правил на уровне пространства имен (Namespace).

1.9. RoleBinding

Объект RoleBinding (привязка роли) необходим для назначения каких-либо разрешений, определенных в роли, к пользователю или группе пользователей. В объекте RoleBinding содержится перечень субъектов (пользователей, групп, сервисных аккаунтов) и указание роли, которая им назначается. Объект RoleBinding используется только в контексте пространств имен (namespace) и может ссылаться на любую роль в том пространстве имен, в котором оно находится.

1.10. Аутентификация

Authentication

Процедура проверки подлинности пользователя различными методами, например, с помощью сравнения введенного и установленного пароля. Выполняется для того, чтобы гарантировать доступ к кластеру только подтвержденным пользователям.

1.11. Авторизация

authorization

Процедура предоставления прав идентифицированному пользователю. Выполняется для того, чтобы гарантировать выполнение пользователем только тех операций, которые ему разрешены.

1.12. Группа

group

Набор пользователей. Группы удобно использовать, когда необходимо предоставить одинаковые привилегии нескольким пользователем одновременно.

1.13. Идентификация

Identification

Процедура проверки уникального идентификатора пользователя. Выполняется для того, чтобы однозначно определить существование пользователя в каталоге провайдера идентификации.

1.14. Клиент OAuth

OAuth client

Приложение или сервис, которому пользователь делегирует права доступа к своим данным на сервере OAuth. Используется для получения Bearer-токена.

1.15. Метод аутентификации

Auth method

Компонент Secrets Manager, выполняющий задачи по аутентификации пользователей в каком-либо провайдере идентификации и установке пользовательского идентификатора с набором необходимых политик.

1.16. Пользователь

Сущность, которая может выполнять запросы к API.

1.17. Провайдер идентификации

Identity provider

Встроенный или внешний сервис, предназначенный для хранения и управления пользовательскими идентификационными данными, необходимыми для аутентификации пользователей в Nova Container Platform.

1.18. Сервер OAuth

OAuth server

Компонент Secrets Manager в Nova Container Platform имеет встроенный OAuth-сервер, который отвечает за логику работы с провайдерами идентификации и выдачу новых токенов доступа.

1.19. Системные пользователи

Пользователи, созданные автоматически в ходе установки Nova Container Platform.

1.20. Служебные аккаунты

service accounts

Служебные аккаунты используются приложениями в кластере Kubernetes.

1.21. Управление доступом на основе ролей (RBAC)

role-based access control (RBAC)

Основной механизм управления разграничениями доступа к ресурсам кластера на основе ролей.