Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Configurando a Autenticação

Uma das principais características que o Rancher adiciona ao Kubernetes é a autenticação de usuários centralizada. Este recurso permite que seus usuários utilizem um conjunto de credenciais para se autenticar em qualquer um de seus clusters Kubernetes.

Essa autenticação centralizada de usuários é realizada usando o proxy de autenticação do Rancher, que é instalado junto com o restante do Rancher. Esse proxy autentica seus usuários e encaminha suas solicitações para seus clusters Kubernetes usando uma conta de serviço.

A conta usada para habilitar o provedor externo receberá permissões de administrador. Se você usar uma conta de teste ou uma conta não administrativa, essa conta ainda receberá permissões de nível administrativo. Veja Configuração de Autenticação Externa e Usuários Principais para entender o porquê.

Externo vs. Autenticação Local

O proxy de autenticação do Rancher se integra com os seguintes serviços de autenticação externa.

Serviço de Autenticação

Microsoft Active Directory

GitHub

Microsoft Azure AD

FreeIPA

OpenLDAP

Microsoft AD FS

PingIdentity

Keycloak (OIDC)

Keycloak (SAML)

Okta

Google OAuth

Shibboleth

Genérico (OIDC)

No entanto, o Rancher também fornece autenticação local.

Na maioria dos casos, você deve usar um serviço de autenticação externo em vez da autenticação local, pois a autenticação externa permite o gerenciamento de usuários a partir de um local central. No entanto, você pode querer alguns usuários de autenticação local para gerenciar o Rancher em circunstâncias raras, como se o seu provedor de autenticação externo estiver indisponível ou em manutenção.

Usuários e grupos

  • A autenticação local não suporta a criação ou gerenciamento de grupos.

  • Após a configuração de um provedor de autenticação externo, observe que os usuários administrativos com escopo local do Rancher exibem apenas recursos, como usuários e grupos, dos quais são membros no respectivo provedor de autenticação.

O Rancher depende de usuários e grupos para determinar quem tem permissão para fazer login no Rancher e quais recursos podem acessar. Ao autenticar com um provedor externo, os grupos são fornecidos pelo provedor externo com base no usuário. Esses usuários e grupos recebem funções específicas para recursos como clusters, projetos e provedores e entradas de DNS globais. Quando você concede acesso a um grupo, todos os usuários que são membros desse grupo no provedor de autenticação poderão acessar o recurso com as permissões que você especificou. Para mais informações sobre funções e permissões, consulte Controle de acesso com base em função.

Para mais informações, veja Usuários e Grupos

Escopo da Autorização do Rancher

Após configurar o Rancher para permitir o login usando um serviço de autenticação externo, você deve configurar quem deve ter permissão para fazer login e usar o Rancher. As seguintes opções estão disponíveis:

Nível de acesso Descrição

Permitir qualquer usuário válido

Qualquer usuário no serviço de autorização pode acessar o Rancher. Geralmente, desencorajamos o uso dessa configuração!

Permitir membros de Clusters, Projetos, além de Usuários e Organizações Autorizados

Qualquer usuário no serviço de autorização e qualquer grupo adicionado como Membro do Cluster ou Membro do Projeto pode fazer login no Rancher. Além disso, qualquer usuário no serviço de autenticação ou grupo que você adicionar à lista de Usuários e Organizações Autorizados pode fazer login no Rancher.

Restringir o acesso apenas a Usuários e Organizações Autorizados

Apenas usuários no serviço de autenticação ou grupos adicionados aos Usuários e Organizações Autorizados podem fazer login no Rancher.

Apenas usuários confiáveis com nível de administrador devem ter acesso ao cluster local, que gerencia todos os outros clusters em uma instância do Rancher. O Rancher é instalado diretamente no cluster local, e os recursos de gerenciamento do Rancher permitem que administradores no cluster local provisionem, modifiquem, conectem e visualizem detalhes sobre clusters downstream. Como o cluster local é fundamental para a arquitetura de uma instância do Rancher, o acesso inadequado traz riscos de segurança.

Para definir o nível de acesso do Rancher para usuários no serviço de autorização, siga estas etapas:

  1. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  2. Na barra de navegação à esquerda, clique em Provedor de Autenticação.

  3. Após configurar os detalhes da configuração para um provedor de autenticação, use as opções de Acesso ao Site para configurar o escopo da autorização do usuário. A tabela acima explica o nível de acesso para cada opção.

  4. Opcional: Se você escolher uma opção diferente de Permitir qualquer Usuário válido, poderá adicionar usuários e organizações autorizados pesquisando-os no campo de texto que aparece.

  5. Clique em Salvar.

Resultado: As configurações de acesso do Rancher são aplicadas.

Advertências do Provedor SAML

  • Usuários e grupos não são validados quando você atribui permissões a eles no Rancher.

  • Ao adicionar usuários, os IDs exatos dos usuários (ou seja, UID Field) devem ser inseridos corretamente. Enquanto você digita o ID do usuário, não haverá busca por outros IDs de usuários que possam corresponder.

  • Ao adicionar grupos, você deve selecionar o grupo no menu suspenso ao lado da caixa de texto. O Rancher assume que qualquer entrada da caixa de texto é um usuário.

  • O menu suspenso de grupos mostra apenas os grupos dos quais você é membro. No entanto, se você tiver permissões de administrador ou permissões de administrador restrito, poderá ingressar em um grupo do qual não é membro.

Configuração de Autenticação Externa e Usuários Principais

A configuração da autenticação externa requer:

  • Um usuário local atribuído ao papel de administrador, chamado a partir de agora de principal local.

  • Um usuário externo que pode se autenticar com seu serviço de autenticação externa, chamado a partir de agora de principal externo.

A configuração da autenticação externa também afeta como os usuários principais são gerenciados dentro do Rancher. Especificamente, quando uma conta de usuário habilita um provedor externo, ela recebe permissões de nível administrativo. Isso ocorre porque o principal local e o principal externo compartilham o mesmo ID de usuário e direitos de acesso.

As seguintes instruções demonstram esses efeitos:

  1. Faça login no Rancher como o principal local e complete a configuração da autenticação externa.

    Fazer Login

  2. O Rancher associa o principal externo ao principal local. Esses dois usuários compartilham o ID de usuário do principal local.

    Compartilhamento de ID Principal

  3. Após concluir a configuração, o Rancher desconecta automaticamente o principal local.

    Desconectar Principal Local

  4. Em seguida, o Rancher o reconecta automaticamente como o principal externo.

    Entrar como Principal Externo

  5. Como o principal externo e o principal local compartilham um ID, nenhum objeto único para o principal externo é exibido na página de Usuários.

    Entrar como Principal Externo

  6. O principal externo e o principal local compartilham os mesmos direitos de acesso.

Reconfigurando um provedor de autenticação previamente configurado

Se você precisar reconfigurar ou desativar e, em seguida, reativar um provedor que foi previamente configurado, certifique-se de que o usuário que tenta fazê-lo esteja logado no Rancher como um usuário externo, e não como o administrador local.

Desativando um Provedor de Autenticação

Quando você desativa um provedor de autenticação, o Rancher exclui todos os recursos associados a ele, como:

  • Segredos.

  • Vinculações de função global.

  • Vinculações de modelo de função de cluster.

  • Vinculações de modelo de função de projeto.

  • Usuários externos associados ao provedor, mas que nunca fizeram login como usuários locais no Rancher.

Como essa operação pode levar à perda de muitos recursos, você pode querer adicionar uma salvaguarda ao provedor. Para garantir que esse processo de limpeza não ocorra quando o provedor de autenticação estiver desativado, adicione uma anotação especial à configuração de autenticação correspondente.

Por exemplo, para adicionar uma salvaguarda ao provedor Azure AD, adicione a anotação ao objeto de configuração de autenticação azuread:

kubectl annotate --overwrite authconfig azuread management.cattle.io/auth-provider-cleanup='user-locked'

O Rancher não realizará a limpeza até que você defina a anotação como unlocked.

Executando a Limpeza de Recursos Manualmente

O Rancher pode reter recursos de uma configuração de provedor de autenticação desativado anteriormente no cluster local, mesmo após você configurar outro provedor de autenticação. Por exemplo, se você usou o Provedor A, depois desativou-o e começou a usar o Provedor B, quando você fizer upgrade para uma nova versão do Rancher, poderá acionar manualmente a limpeza dos recursos configurados pelo Provedor A.

Para acionar manualmente a limpeza de um provedor de autenticação desativado, adicione a anotação management.cattle.io/auth-provider-cleanup com o valor unlocked à sua configuração de autenticação.