Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Configuration de l’authentification

L’une des fonctionnalités clés que Rancher ajoute à Kubernetes est l’authentification utilisateur centralisée. Cette fonctionnalité permet à vos utilisateurs d’utiliser un ensemble d’identifiants pour s’authentifier auprès de n’importe quel de vos clusters Kubernetes.

Cette authentification utilisateur centralisée est réalisée à l’aide du proxy d’authentification Rancher, qui est installé avec le reste de Rancher. Ce proxy authentifie vos utilisateurs et transmet leurs demandes à vos clusters Kubernetes en utilisant un compte de service.

Le compte utilisé pour activer le fournisseur externe se verra accorder des permissions d’administrateur. Si vous utilisez un compte de test ou un compte non administrateur, ce compte se verra toujours accorder des permissions de niveau administrateur. Voir Configuration de l’authentification externe et utilisateurs principaux pour comprendre pourquoi.

Externe vs. Authentification locale

Le proxy d’authentification Rancher s’intègre aux services d’authentification externe suivants.

Service d’authentification

Microsoft Active Directory

GitHub

Microsoft Azure AD

FreeIPA

OpenLDAP

Microsoft AD FS

PingIdentity

Keycloak (OIDC)

Keycloak (SAML)

Okta

Google OAuth

Shibboleth

Generic (OIDC)

Cependant, Rancher fournit également authentification locale.

Dans la plupart des cas, vous devriez utiliser un service d’authentification externe plutôt que l’authentification locale, car l’authentification externe permet la gestion des utilisateurs depuis un emplacement central. Cependant, vous pourriez vouloir quelques utilisateurs d’authentification locale pour gérer Rancher dans de rares circonstances, comme si votre fournisseur d’authentification externe est indisponible ou en maintenance.

Utilisateurs et groupes

  • L’authentification locale ne prend pas en charge la création ou la gestion de groupes.

  • Après qu’un fournisseur d’authentification externe est configuré, notez que les utilisateurs administrateurs locaux de Rancher n’affichent que les ressources telles que les utilisateurs et les groupes dont ils sont membres dans le fournisseur d’authentification respectif.

Rancher s’appuie sur des utilisateurs et des groupes pour déterminer qui est autorisé à se connecter à Rancher et à quelles ressources ils peuvent accéder. Lors de l’authentification avec un fournisseur externe, les groupes sont fournis par le fournisseur externe en fonction de l’utilisateur. Ces utilisateurs et groupes se voient attribuer des rôles spécifiques pour des ressources telles que des clusters, des projets et des fournisseurs et entrées DNS globaux. Lorsque vous donnez accès à un groupe, tous les utilisateurs qui sont membres de ce groupe dans le fournisseur d’authentification pourront accéder à la ressource avec les autorisations que vous avez spécifiées. Pour plus d’informations sur les rôles et les autorisations, voir Contrôle d’accès en fonction du rôle.

Pour plus d’informations, voir Utilisateurs et Groupes

Portée de l’autorisation Rancher

Après avoir configuré Rancher pour permettre la connexion en utilisant un service d’authentification externe, vous devez configurer qui doit être autorisé à se connecter et à utiliser Rancher. Les options suivantes sont disponibles :

Niveau d’accès Description

Autoriser tous les utilisateurs valides

Tout utilisateur dans le service d’autorisation peut accéder à Rancher. Nous décourageons généralement l’utilisation de ce paramètre !

Autoriser les membres des Clusters, Projets, ainsi que les Utilisateurs et Organisations Autorisés

Tout utilisateur dans le service d’autorisation et tout groupe ajouté en tant que Membre du Cluster ou Membre du Projet peut se connecter à Rancher. De plus, tout utilisateur dans le service d’authentification ou groupe que vous ajoutez à la liste des Utilisateurs et Organisations Autorisés peut se connecter à Rancher.

Restreindre l’accès uniquement aux Utilisateurs et Organisations Autorisés

Seuls les utilisateurs dans le service d’authentification ou les groupes ajoutés aux Utilisateurs et Organisations Autorisés peuvent se connecter à Rancher.

Seuls les utilisateurs de niveau administrateur de confiance devraient avoir accès à la grappe locale, qui gère tous les autres clusters dans une instance Rancher. Rancher est directement installé sur la grappe locale, et les fonctionnalités de gestion de Rancher permettent aux administrateurs de la grappe locale de provisionner, modifier, se connecter et consulter les détails des clusters en aval. Étant donné que la grappe locale est clé pour l’architecture d’une instance Rancher, un accès inapproprié comporte des risques de sécurité.

Pour définir le niveau d’accès à Rancher pour les utilisateurs dans le service d’autorisation, suivez ces étapes :

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.

  2. Dans la barre de navigation à gauche, cliquez sur Fournisseur d’authentification.

  3. Après avoir configuré les paramètres de configuration pour un fournisseur d’authentification, utilisez les options Accès au site pour configurer la portée de l’autorisation des utilisateurs. Le tableau ci-dessus explique le niveau d’accès pour chaque option.

  4. Facultatives : Si vous choisissez une option autre que Autoriser tous les utilisateurs valides, vous pouvez ajouter des utilisateurs à la liste des utilisateurs et organisations autorisés en les recherchant dans le champ de texte qui apparaît.

  5. Cliquez sur Enregistrer.

Résultat : Les paramètres de configuration d’accès à Rancher sont appliqués.

Avertissements concernant le fournisseur SAML

  • Les utilisateurs et les groupes ne sont pas validés lorsque vous leur attribuez des autorisations dans Rancher.

  • Lors de l’ajout d’utilisateurs, les identifiants d’utilisateur exacts (c’est-à-dire UID Field) doivent être saisis correctement. Lorsque vous tapez l’identifiant de l’utilisateur, il n’y aura pas de recherche d’autres identifiants d’utilisateur pouvant correspondre.

  • Lors de l’ajout de groupes, vous devez sélectionner le groupe dans le menu déroulant à côté de la zone de texte. Rancher suppose que toute saisie dans la zone de texte est un utilisateur.

  • Le menu déroulant des groupes affiche uniquement les groupes dont vous êtes membre. Cependant, si vous avez des autorisations d’administrateur ou des autorisations d’administrateur restreintes, vous pouvez rejoindre un groupe dont vous n’êtes pas membre.

Configuration d’authentification externe et utilisateurs principaux

La configuration de l’authentification externe nécessite :

  • Un utilisateur local assigné au rôle d’administrateur, appelé ci-après le principal local.

  • Un utilisateur externe qui peut s’authentifier avec votre service d’authentification externe, appelé ci-après le principal externe.

La configuration de l’authentification externe affecte également la gestion des utilisateurs principaux au sein de Rancher. En particulier, lorsqu’un compte utilisateur active un fournisseur externe, il se voit accorder des permissions de niveau administrateur. C’est parce que le principal local et le principal externe partagent le même identifiant utilisateur et les mêmes droits d’accès.

Les instructions suivantes démontrent ces effets :

  1. Connectez-vous à Rancher en tant que principal local et complétez la configuration de l’authentification externe.

    Connexion

  2. Rancher associe le principal externe au principal local. Ces deux utilisateurs partagent l’identifiant utilisateur du principal local.

    Partage d’ID Principal

  3. Après avoir complété la configuration, Rancher déconnecte automatiquement le principal local.

    Déconnexion du Principal Local

  4. Ensuite, Rancher vous reconnecte automatiquement en tant que principal externe.

    Connexion Principal Externe

  5. Parce que le principal externe et le principal local partagent un identifiant, aucun objet unique pour le principal externe n’apparaît sur la page Utilisateurs.

    Connexion Principal Externe

  6. Le principal externe et le principal local partagent les mêmes droits d’accès.

Reconfiguration d’un fournisseur d’authentification précédemment configuré

Si vous devez reconfigurer ou désactiver puis réactiver un fournisseur qui avait été précédemment configuré, assurez-vous que l’utilisateur qui tente de le faire est connecté à Rancher en tant qu’utilisateur externe, et non en tant qu’administrateur local.

Désactivation d’un fournisseur d’authentification

Lorsque vous désactivez un fournisseur d’authentification, Rancher supprime toutes les ressources qui y sont associées, telles que :

  • Secrets.

  • Liens de rôle globaux.

  • Liens de modèle de rôle de cluster.

  • Liens de modèle de rôle de projet.

  • Utilisateurs externes associés au fournisseur, mais qui ne se sont jamais connectés en tant qu’utilisateurs locaux à Rancher.

Comme cette opération peut entraîner la perte de nombreuses ressources, vous voudrez peut-être ajouter une protection sur le fournisseur. Pour vous assurer que ce processus de nettoyage ne s’exécute pas lorsque le fournisseur d’authentification est désactivé, ajoutez une annotation spéciale à la configuration d’authentification correspondante.

Par exemple, pour ajouter une protection au fournisseur Azure AD, annotez l’objet authconfig azuread :

kubectl annotate --overwrite authconfig azuread management.cattle.io/auth-provider-cleanup='user-locked'

Rancher ne procédera pas au nettoyage tant que vous n’aurez pas défini l’annotation sur unlocked.

Exécution manuelle du nettoyage des ressources

Rancher peut conserver des ressources d’une configuration de fournisseur d’authentification précédemment désactivée dans la grappe locale, même après que vous ayez configuré un autre fournisseur d’authentification. Par exemple, si vous avez utilisé le fournisseur A, puis l’avez désactivé et commencé à utiliser le fournisseur B, lorsque vous mettez à niveau vers une nouvelle version de Rancher, vous pouvez déclencher manuellement le nettoyage des ressources configurées par le fournisseur A.

Pour déclencher manuellement le nettoyage d’un fournisseur d’authentification désactivé, ajoutez l’annotation management.cattle.io/auth-provider-cleanup avec la valeur unlocked à sa configuration d’authentification.