第1章 認証および認可の概要

1.1. OpenShift Container Platform の認証および承認に関する一般的な用語集

この用語集では、OpenShift Container Platform の認証および承認で使用される一般的な用語を定義します。

認証
認証は、OpenShift Container Platform クラスターへのアクセスを決定し、認証されたユーザーのみが OpenShift Container Platform クラスターにアクセスできるようにします。
認可
承認は、識別されたユーザーが要求されたアクションを実行する権限を持っているかどうかを決定します。
ベアラートークン
ベアラートークンは、ヘッダー Authorization: Bearer <token> で API を認証するために使用されます。
Cloud Credential Operator
Cloud Credential Operator (CCO) は、クラウドプロバイダーの認証情報をカスタムリソース定義 (CRD) として管理します。
設定マップ
設定マップは、設定データを Pod に注入する方法を提供します。タイプ ConfigMap のボリューム内の設定マップに格納されたデータを参照できます。Pod で実行しているアプリケーションは、このデータを使用できます。
containers
ソフトウェアとそのすべての依存関係を設定する軽量で実行可能なイメージ。コンテナーはオペレーティングシステムを仮想化するため、データセンター、パブリッククラウドまたはプライベートクラウド、またはローカルホストでコンテナーを実行できます。
カスタムリソース (CR)
CR は Kubernetes API のエクステンションです。
group
グループはユーザーの集まりです。グループは、一度に複数のユーザーに権限を付与する場合に便利です。
HTPasswd
HTPasswd は、HTTP ユーザーの認証用のユーザー名とパスワードを格納するファイルを更新します。
Keystone
Keystone は、ID、トークン、カタログ、およびポリシーサービスを提供する Red Hat OpenStack Platform (RHOSP) プロジェクトです。
Lightweight Directory Access Protocol (LDAP)
LDAP は、ユーザー情報を照会するプロトコルです。
手動モード
手動モードでは、ユーザーは Cloud Credential Operator (CCO) の代わりにクラウド認証情報を管理します。
mint モード
mint モードは、サポートされるプラットフォームで使用する Cloud Credential Operator (CCO) のデフォルトおよび推奨されるベストプラクティスの設定です。このモードでは、CCO は提供される管理者レベルのクラウド認証情報を使用して、必要となる特定のパーミッションのみでクラスター内のコンポーネントの新規の認証情報を作成します。
namespace
namespace は、すべてのプロセスから見える特定のシステムリソースを分離します。namespace 内では、その namespace のメンバーであるプロセスのみがそれらのリソースを参照できます。
node
ノードは、OpenShift Container Platform クラスター内のワーカーマシンです。ノードは、仮想マシン (VM) または物理マシンのいずれかです。
OAuth クライアント
OAuth クライアントは、ベアラートークンを取得するために使用されます。
OAuth サーバー
OpenShift Container Platform コントロールプレーンには、設定されたアイデンティティープロバイダーからユーザーのアイデンティティーを決定し、アクセストークンを作成する組み込みの OAuth サーバーが含まれています。
OpenID Connect
OpenID Connect は、ユーザーが Single Sign-On (SSO) を使用して OpenID プロバイダーを使用するサイトにアクセスすることを認証するためのプロトコルです。
passthrough モード
passthrough モードでは、Cloud Credential Operator (CCO) は提供されるクラウド認証情報を、コンポーネントを要求するコンポーネントに渡します。
Pod
Pod は、Kubernetes における最小の論理単位です。Pod には、ワーカーノードで実行される 1 つ以上のコンテナーが含まれます。
通常ユーザー
最初のログイン時または API 経由でクラスター内に自動的に作成されるユーザー。
リクエストヘッダー
要求ヘッダーは、サーバーが要求の応答を追跡できるように、HTTP 要求コンテキストに関する情報を提供するために使用される HTTP ヘッダーです。
ロールベースのアクセス制御 (RBAC)
クラスターユーザーとワークロードが、ロールを実行するために必要なリソースにのみアクセスできるようにするための重要なセキュリティーコントロール。
サービスアカウント
サービスアカウントは、クラスターコンポーネントまたはアプリケーションによって使用されます。
システムユーザー
クラスターのインストール時に自動的に作成されるユーザー。
users
ユーザーは、API にリクエストを送信できるエンティティーです。