OpenID Csatlakozás szolgáltató létrehozása az Azure Kubernetes Service-ben (AKS)

  • Cikk

Az OpenID Csatlakozás (OIDC) kibővíti az OAuth 2.0 engedélyezési protokollt a Microsoft Entra ID által kiadott másik hitelesítési protokollként való használatra. Az OIDC használatával engedélyezheti az egyszeri bejelentkezést (SSO) az OAuth-kompatibilis alkalmazások között az Azure Kubernetes Service (AKS) fürtön egy azonosító jogkivonatnak nevezett biztonsági jogkivonat használatával. Az AKS-fürttel engedélyezheti az OpenID Csatlakozás (OIDC) kiállítót, amely lehetővé teszi a Microsoft Entra ID vagy más felhőszolgáltatói identitás- és hozzáférés-kezelési platform számára az API-kiszolgáló nyilvános aláíró kulcsainak felderítését.

Az AKS automatikusan és rendszeresen elforgatja a kulcsot. Ha nem szeretne várni, manuálisan és azonnal elforgathatja a kulcsot. Az OIDC-szolgáltató által kibocsátott jogkivonat maximális élettartama egy nap.

Figyelmeztetés

Az OIDC-kiállító engedélyezése a meglévő fürtön új értékre módosítja az aktuális szolgáltatásfiók jogkivonat-kiállítóját, ami időtúllépést okozhat az API-kiszolgáló újraindítása során. Ha a szolgáltatásjogkivonatot használó alkalmazás podjai sikertelen állapotban maradnak az OIDC-kiállító engedélyezése után, javasoljuk, hogy manuálisan indítsa újra a podokat.

Ebből a cikkből megtudhatja, hogyan hozhatja létre, frissítheti és kezelheti a fürt OIDC-kiállítóját.

Fontos

Miután engedélyezte az OIDC-kiállítót a fürtön, nem lehet letiltani.

Fontos

A jogkivonatot rendszeresen frissíteni kell. Ha SDK-t használ, a forgatás automatikus, ellenkező esetben 24 óránként manuálisan kell frissítenie a jogkivonatot.

Előfeltételek

  • Az Azure CLI 2.42.0-s vagy újabb verziója. Futtassa az --version a verziót. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
  • Az AKS támogatja az OIDC-kiállítót az 1.22-es és újabb verzióban.

AKS-fürt létrehozása OIDC-kiállítóval

AKS-fürtöt az az aks create paranccsal hozhat létre a paraméterrel az --enable-oidc-issuer OIDC-kiállító használatához. Az alábbi példa egy myAKSCluster nevű fürtöt hoz létre egy csomóponttal a myResourceGroupban:

az aks create -g myResourceGroup -n myAKSCluster --node-count 1 --enable-oidc-issuer

AKS-fürt frissítése OIDC-kiállítóval

Az AKS-fürtöket az az aks update paranccsal frissítheti a paraméterrel az --enable-oidc-issuer OIDC-kiállító használatához. Az alábbi példa egy myAKSCluster nevű fürtöt frissít:

az aks update -g myResourceGroup -n myAKSCluster --enable-oidc-issuer

Az OIDC-kiállító URL-címének megjelenítése

Az OIDC-kiállító URL-címének lekéréséhez futtassa az az aks show parancsot. Cserélje le a fürt és az erőforráscsoport nevének alapértelmezett értékeit.

az aks show -n myAKScluster -g myResourceGroup --query "oidcIssuerProfile.issuerUrl" -otsv

Alapértelmezés szerint a kiállító az alap URL-címet https://{region}.oic.prod-aks.azure.comhasználja, ahol az érték {region} megegyezik az AKS-fürt üzembe helyezésének helyével.

Az OIDC-kulcs elforgatása

Az OIDC-kulcs elforgatásához futtassa az az aks oidc-issuer parancsot. Cserélje le a fürt és az erőforráscsoport nevének alapértelmezett értékeit.

az aks oidc-issuer rotate-signing-keys -n myAKSCluster -g myResourceGroup

Fontos

A kulcs elforgatása után a régi kulcs (key1) 24 óra elteltével lejár. Ez azt jelenti, hogy a régi kulcs (key1) és az új kulcs (key2) is érvényes a 24 órás időszakon belül. Ha azonnal érvényteleníteni szeretné a régi kulcsot (kulcs1), kétszer kell elforgatnia az OIDC-kulcsot, és újra kell indítania a podokat a tervezett szolgáltatásfiók-jogkivonatok használatával. Ezután a 2. és a 3. kulcs érvényes, az 1. kulcs pedig érvénytelen.

Ellenőrizze az OIDC-kulcsokat

Az OIDC-kiállító URL-címének lekérése

Az OIDC-kiállító URL-címének lekéréséhez futtassa az az aks show parancsot. Cserélje le a fürt és az erőforráscsoport nevének alapértelmezett értékeit.

az aks show -n myAKScluster -g myResourceGroup --query "oidcIssuerProfile.issuerUrl" -otsv

A kimenetnek a következőhöz kell hasonlítania:

https://eastus.oic.prod-aks.azure.com/00000000-0000-0000-0000-000000000000/00000000-0000-0000-0000-000000000000/

Alapértelmezés szerint a kiállító az alap URL-címet https://{region}.oic.prod-aks.azure.com/{uuid}használja, ahol az érték {region} megegyezik az AKS-fürt üzembe helyezésének helyével. Az érték {uuid} az OIDC-kulcsot jelöli, amely véletlenszerűen generált guid minden egyes nem módosítható fürthöz.

A felderítési dokumentum lekérése

A felderítési dokumentum lekéréséhez másolja ki az URL-címet https://(OIDC issuer URL).well-known/openid-configuration , és nyissa meg a böngészőben.

A kimenetnek a következőhöz kell hasonlítania:

{
  "issuer": "https://eastus.oic.prod-aks.azure.com/00000000-0000-0000-0000-000000000000/00000000-0000-0000-0000-000000000000/",
  "jwks_uri": "https://eastus.oic.prod-aks.azure.com/00000000-0000-0000-0000-000000000000/00000000-0000-0000-0000-000000000000/openid/v1/jwks",
  "response_types_supported": [
    "id_token"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ]
}

A JWK-készlet dokumentumának lekérése

A JWK-készlet dokumentum lekéréséhez másolja ki a jwks_uri felderítési dokumentumból, és illesse át a böngésző címsorában.

A kimenetnek a következőhöz kell hasonlítania:

{
  "keys": [
    {
      "use": "sig",
      "kty": "RSA",
      "kid": "xxx",
      "alg": "RS256",
      "n": "xxxx",
      "e": "AQAB"
    },
    {
      "use": "sig",
      "kty": "RSA",
      "kid": "xxx",
      "alg": "RS256",
      "n": "xxxx",
      "e": "AQAB"
    }
  ]
}

A kulcsváltás során van még egy kulcs a felderítési dokumentumban.

Következő lépések

  • Tekintse meg az alkalmazás és egy külső identitásszolgáltató közötti megbízhatósági kapcsolat létrehozásának konfigurálását annak megértéséhez, hogy az összevont identitás hitelesítő adatai hogyan hoznak létre megbízhatósági kapcsolatot egy alkalmazás és egy külső identitásszolgáltató között.
  • Tekintse át Microsoft Entra Számítási feladat ID (előzetes verzió). Ez a hitelesítési módszer integrálva van a Kubernetes natív képességeivel, hogy összefésüljenek az alkalmazás nevében bármely külső identitásszolgáltatóval.
  • A podok hálózati forgalmának biztonságossá tételével megismerheti, hogyan használhatja a hálózati házirendmotort, és hogyan hozhat létre Kubernetes-hálózati házirendeket a podok közötti forgalom szabályozásához az AKS-ben.