Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Configuración de la autenticación

Una de las características clave que Rancher añade a Kubernetes es la autenticación de usuarios centralizada. Esta función permite a tus usuarios utilizar un único conjunto de credenciales para autenticarse en cualquiera de tus clústeres de Kubernetes.

Esta autenticación de usuario centralizada se lleva a cabo utilizando el proxy de autenticación de Rancher, que se instala junto con el resto de Rancher. Este proxy autentica a tus usuarios y reenvía tus solicitudes a tus clústeres de Kubernetes utilizando una cuenta de servicio.

La cuenta utilizada para habilitar el proveedor externo tendrá permisos de administrador. Si utilizas una cuenta de prueba o una cuenta no administrativa, esa cuenta seguirá teniendo permisos a nivel de administrador. Consulta Configuración de Autenticación Externa y Usuarios Principales para entender por qué.

Externo vs. Autenticación local

El proxy de autenticación de Rancher se integra con los siguientes servicios de autenticación externa.

Servicio de Autenticación

Microsoft Active Directory

GitHub

Microsoft Azure AD

FreeIPA

OpenLDAP

Microsoft AD FS

PingIdentity

Keycloak (OIDC)

Keycloak (SAML)

Okta

Google OAuth

Shibboleth

Genérico (OIDC)

Sin embargo, Rancher también proporciona autenticación local.

En la mayoría de los casos, deberías utilizar un servicio de autenticación externo en lugar de la autenticación local, ya que la autenticación externa permite la gestión de usuarios desde una ubicación central. Sin embargo, puede que desees tener algunos usuarios de autenticación local para gestionar Rancher en circunstancias raras, como si tu proveedor de autenticación externo no está disponible o está en mantenimiento.

Users and Groups (Usuarios y grupos)

  • La autenticación local no admite la creación o gestión de grupos.

  • Después de configurar un proveedor de autenticación externo, ten en cuenta que los usuarios administrativos de Rancher con ámbito local solo muestran recursos como usuarios y grupos de los que son miembros en el respectivo proveedor de autenticación.

Rancher se basa en usuarios y grupos para determinar quién puede iniciar sesión en Rancher y a qué recursos pueden acceder. Al autenticarte con un proveedor externo, los grupos se proporcionan desde el proveedor externo en función del usuario. Estos usuarios y grupos reciben roles específicos para recursos como clústeres, proyectos y proveedores y entradas de DNS global. Cuando das acceso a un grupo, todos los usuarios que son miembros de ese grupo en el proveedor de autenticación podrán acceder al recurso con los permisos que has especificado. Para más información sobre roles y permisos, consulta control de acceso basado en funciones.

Para más información, consulta Usuarios y Grupos

Ámbito de la Autorización de Rancher

Después de configurar Rancher para permitir el inicio de sesión utilizando un servicio de autenticación externo, debes configurar quién puede iniciar sesión y utilizar Rancher. Están disponibles las siguientes opciones:

Nivel de acceso Descripción

Permitir cualquier Usuario válido

Cualquier usuario en el servicio de autorización puede acceder a Rancher. ¡Generalmente desaconsejamos el uso de esta configuración!

Permitir a los miembros de Clusters, Proyectos, además de Usuarios y Organizaciones Autorizados

Cualquier usuario en el servicio de autorización y cualquier grupo añadido como Miembro del Clúster o Miembro del Proyecto puede iniciar sesión en Rancher. Además, cualquier usuario en el servicio de autenticación o grupo que añadas a la lista de Usuarios y Organizaciones Autorizados puede iniciar sesión en Rancher.

Restringir el acceso solo a Usuarios y Organizaciones Autorizados

Solo los usuarios en el servicio de autenticación o grupos añadidos a los Usuarios y Organizaciones Autorizados pueden iniciar sesión en Rancher.

Solo los usuarios de nivel administrativo de confianza deberían tener acceso al clúster local, que gestiona todos los demás clústeres en una instancia de Rancher. Rancher se instala directamente en el clúster local, y las características de gestión de Rancher permiten a los administradores del clúster local aprovisionar, modificar, conectarse y ver detalles sobre los clústeres en sentido descendente. Dado que el clúster local es clave para la arquitectura de una instancia de Rancher, el acceso inapropiado conlleva riesgos de seguridad.

Para establecer el nivel de acceso de Rancher para los usuarios en el servicio de autorización, sigue estos pasos:

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Proveedor de Autenticación.

  3. Después de configurar los detalles para un proveedor de autenticación, utiliza las opciones de Acceso al Sitio para configurar el ámbito de autorización de usuarios. La tabla anterior explica el nivel de acceso para cada opción.

  4. Opcional: Si eliges una opción diferente a Permitir cualquier usuario válido, puedes añadir usuarios a la lista de usuarios y organizaciones autorizados buscándolos en el campo de texto que aparece.

  5. Haz clic en Guardar.

Resultado: Se aplican los ajustes de configuración de acceso de Rancher.

Advertencias del Proveedor SAML

  • Los usuarios y grupos no son validados cuando les asignas permisos en Rancher.

  • Al añadir usuarios, los IDs de usuario exactos (es decir, UID Field) deben ser introducidos correctamente. A medida que escribes el ID de usuario, no habrá búsqueda de otros IDs de usuario que puedan coincidir.

  • Al añadir grupos, debes seleccionar el grupo del menú desplegable que está al lado del cuadro de texto. Rancher asume que cualquier entrada del cuadro de texto es un usuario.

  • El menú desplegable de grupos muestra solo los grupos de los que eres miembro. Sin embargo, si tienes permisos de administrador o permisos de administrador restringidos, puedes unirte a un grupo del que no eres miembro.

Configuración de Autenticación Externa y Usuarios Principales

Configurar la autenticación externa requiere:

  • Un usuario local asignado al rol de administrador, denominado en adelante principal local.

  • Un usuario externo que puede autenticarse con tu servicio de autenticación externa, denominado en adelante principal externo.

La configuración de la autenticación externa también afecta cómo se gestionan los usuarios principales dentro de Rancher. Específicamente, cuando una cuenta de usuario habilita un proveedor externo, se le otorgan permisos de nivel administrador. Esto se debe a que el principal local y el principal externo comparten el mismo ID de usuario y derechos de acceso.

Las siguientes instrucciones demuestran estos efectos:

  1. Inicia sesión en Rancher como el principal local y completa la configuración de la autenticación externa.

    Iniciar sesión

  2. Rancher asocia el principal externo con el principal local. Estos dos usuarios comparten el ID de usuario del principal local.

    Compartición de ID Principal

  3. Después de completar la configuración, Rancher cierra automáticamente la sesión del principal local.

    Cerrar sesión del Principal Local

  4. Luego, Rancher te vuelve a iniciar sesión automáticamente como el principal externo.

    Iniciar sesión del Principal Externo

  5. Debido a que el principal externo y el principal local comparten un ID, no se muestra un objeto único para el principal externo en la página de Usuarios.

    Iniciar sesión del Principal Externo

  6. El principal externo y el principal local comparten los mismos derechos de acceso.

Reconfigurando un proveedor de autenticación previamente configurado

Si necesitas reconfigurar o deshabilitar y luego volver a habilitar un proveedor que había sido configurado previamente, asegúrate de que el usuario que intenta hacerlo esté conectado a Rancher como un usuario externo, no como el administrador local.

Deshabilitando un proveedor de autenticación

Cuando deshabilitas un proveedor de autenticación, Rancher elimina todos los recursos asociados con él, tales como:

  • Secretos.

  • Vínculos de roles globales.

  • Vínculos de plantillas de roles de clúster.

  • Vínculos de plantillas de roles de proyecto.

  • Usuarios externos asociados con el proveedor, pero que nunca iniciaron sesión como usuarios locales en Rancher.

Dado que esta operación puede llevar a la pérdida de muchos recursos, puede que desees añadir una salvaguarda al proveedor. Para asegurarte de que este proceso de limpieza no se ejecute cuando el proveedor de autenticación esté deshabilitado, añade una anotación especial a la configuración de autenticación correspondiente.

Por ejemplo, para añadir una salvaguarda al proveedor de Azure AD, anota el objeto de configuración de autenticación azuread:

kubectl annotate --overwrite authconfig azuread management.cattle.io/auth-provider-cleanup='user-locked'

Rancher no realizará la limpieza hasta que establezcas la anotación en unlocked.

Ejecutando la limpieza de recursos manualmente

Rancher podría retener recursos de una configuración de proveedor de autenticación deshabilitado previamente en el clúster local, incluso después de que configures otro proveedor de autenticación. Por ejemplo, si usaste el Proveedor A, luego lo deshabilitaste y comenzaste a usar el Proveedor B, cuando actualices a una nueva versión de Rancher, puedes activar manualmente la limpieza de los recursos configurados por el Proveedor A.

Para activar manualmente la limpieza de un proveedor de autenticación deshabilitado, añade la anotación management.cattle.io/auth-provider-cleanup con el valor unlocked a su configuración de autenticación.