13.2.2. 指定客户端 secret
在指定客户端 secret 时,Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.39 及更新的版本支持 OAuth 2.0 授权代码授予 身份验证流程。当使用此验证流时,Red Hat Advanced Cluster Security for Kubernetes 使用刷新令牌来把用户登录超过 OIDC 身份提供程序中配置的令牌过期时间。
当用户注销时,Red Hat Advanced Cluster Security for Kubernetes 会从客户端中删除刷新令牌。另外,如果您的身份提供程序 API 支持刷新令牌撤销,Red Hat Advanced Cluster Security for Kubernetes 也会向身份提供程序发送请求以撤销刷新令牌。
在将 Red Hat Advanced Cluster Security for Kubernetes 配置为与 OIDC 身份提供程序集成时,您可以指定客户端 secret。
注意
- 您不能将 客户端 Secret 与 Fragment 回调 模式 一起使用。
- 您不能编辑现有身份验证供应商的配置。
- 如果要使用 客户端 Secret,您必须在 Red Hat Advanced Cluster Security for Kubernetes 中创建一个新的 OIDC 集成。
红帽建议在使用 OIDC 身份提供程序连接 Red Hat Advanced Cluster Security for Kubernetes 时使用客户端 secret。如果您不想使用 客户端 Secret,则必须选择 Do not use Client Secret(不推荐) 选项。