|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
用户和组
Rancher依赖用户和组来确定谁被允许登录Rancher以及他们可以访问哪些资源。当您配置外部认证提供者时,该提供者的用户将能够登录到您的Rancher服务器。当用户登录时,认证提供者将向您的Rancher服务器提供用户所属的组列表。
通过将单个用户或组添加到这些资源,可以控制对集群、项目和全局DNS提供者及条目的访问。当您将组添加到资源时,认证提供者中该组的所有成员用户将能够以您为该组指定的权限访问该资源。有关角色和权限的更多信息,请参见基于角色的访问控制。
管理成员
在将用户或组添加到资源时,您可以通过开始输入他们的名称来搜索用户或组。Rancher服务器将查询认证提供者,以查找与您输入的内容匹配的用户和组。搜索仅限于您当前登录的认证提供者。例如,如果您启用了GitHub认证但使用本地用户帐户登录,则无法搜索GitHub用户或组。
所有用户,无论是本地用户还是来自认证提供者的用户,都可以查看和管理。在左上角,点击*☰ > 用户与身份验证*。在左侧导航栏中,点击*用户*。
|
SAML提供者注意事项
|
用户信息
Rancher维护通过身份验证提供者登录的每个用户的信息。这些信息包括用户是否被允许访问您的Rancher服务器以及用户所属的组列表。Rancher保留这些用户信息,以便CLI、API和kubectl可以准确反映用户基于其在身份验证提供者中的组成员资格所拥有的访问权限。
每当用户通过身份验证提供者登录到UI时,Rancher会自动更新此用户信息。
自动刷新用户信息
Rancher会定期刷新用户信息,即使在用户通过UI登录之前。您可以控制Rancher刷新此信息的频率。
两个设置控制此行为:
-
auth-user-info-max-age-seconds此设置控制用户信息在Rancher刷新之前可以有多旧。如果用户发出 API 调用(无论是直接还是通过 Rancher CLI 或 kubectl),并且自上次刷新以来的时间超过此设置,则 Rancher 将触发刷新。此设置默认为
3600秒,即 1 小时。 -
auth-user-info-resync-cron此设置控制为所有用户重新同步身份验证提供者信息的定期计划。无论用户是否最近登录或使用 API,这将导致用户在指定的时间间隔内被刷新。此设置默认为
0 0 * * *,即每天午夜一次。有关此设置有效值的更多信息,请参见 Cron 文档。
要更改这些设置,
-
在左上角,单击 ☰ > 全局设置。
-
转到您想要配置的设置并单击 ⋮ > 编辑设置。
|
由于 SAML 不支持用户查找,基于 SAML 的身份验证提供者不支持定期刷新用户信息。用户信息仅在用户登录 Rancher UI 时刷新。 |