OAuth [config.openshift.io/v1]

属性	类型	描述
`apiVersion`	`string`	APIVersion 定义此对象表示的版本化模式。服务器应将识别的模式转换为最新的内部值，并可能拒绝无法识别的值。更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`string`	Kind 是一个字符串值，表示此对象表示的 REST 资源。服务器可以从客户端提交请求的端点推断出这一点。无法更新。使用驼峰式命名法。更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象的元数据。更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
`spec`	`object`	spec 包含用户可设置的配置值
`status`	`object`	status 包含来自集群的观察值。它们不能被覆盖。

.spec

描述: spec 包含用户可设置的配置值
类型: object

属性类型描述

属性	类型	描述
`identityProviders`	`array`	identityProviders 是用户标识自己的方式的有序列表。当此列表为空时，不会为用户预配任何身份。
`identityProviders[]`	`object`	IdentityProvider 为使用凭据进行身份验证的用户提供身份
`templates`	`object`	templates 允许您自定义页面，例如登录页面。
`tokenConfig`	`object`	tokenConfig 包含授权和访问令牌的选项

identityProviders

array

identityProviders 是用户标识自己的方式的有序列表。当此列表为空时，不会为用户预配任何身份。

identityProviders[]

object

IdentityProvider 为使用凭据进行身份验证的用户提供身份

templates

object

templates 允许您自定义页面，例如登录页面。

tokenConfig

object

tokenConfig 包含授权和访问令牌的选项

.spec.identityProviders

描述: identityProviders 是用户标识自己的方式的有序列表。当此列表为空时，不会为用户预配任何身份。
类型: array

.spec.identityProviders[]

描述: IdentityProvider 为使用凭据进行身份验证的用户提供身份
类型: object

属性类型描述

属性	类型	描述
`basicAuth`	`object`	basicAuth 包含 BasicAuth IdP 的配置选项
`github`	`object`	github 启用使用 GitHub 凭据进行用户身份验证
`gitlab`	`object`	gitlab 启用使用 GitLab 凭据进行用户身份验证
`google`	`object`	google 启用使用 Google 凭据进行用户身份验证
`htpasswd`	`object`	htpasswd 启用使用 HTPasswd 文件验证凭据的用户身份验证
`keystone`	`object`	keystone 启用使用 keystone 密码凭据进行用户身份验证
`ldap`	`object`	ldap 启用使用 LDAP 凭据进行用户身份验证
`mappingMethod`	`string`	mappingMethod 确定如何将来自此提供程序的身份映射到用户，默认为“claim”
`name`	`string`	name 用于限定此提供程序返回的身份。- 它必须是唯一的，并且不能与使用的任何其他身份提供程序共享 - 它必须是一个有效的路径段：name 不能等于“.”或“..”或包含“/”或“%”或“:” 参考：https://godoc.org/github.com/openshift/origin/pkg/user/apis/user/validation#ValidateIdentityProviderName
`openID`	`object`	openID 启用使用 OpenID 凭据进行用户身份验证
`requestHeader`	`object`	requestHeader 启用使用请求头凭据进行用户身份验证
`type`	`string`	type 标识此条目的身份提供程序类型。

basicAuth

object

basicAuth 包含 BasicAuth IdP 的配置选项

github

object

github 启用使用 GitHub 凭据进行用户身份验证

gitlab

object

gitlab 启用使用 GitLab 凭据进行用户身份验证

google

object

google 启用使用 Google 凭据进行用户身份验证

htpasswd

object

htpasswd 启用使用 HTPasswd 文件验证凭据的用户身份验证

keystone

object

keystone 启用使用 keystone 密码凭据进行用户身份验证

ldap

object

ldap 启用使用 LDAP 凭据进行用户身份验证

mappingMethod

string

mappingMethod 确定如何将来自此提供程序的身份映射到用户，默认为“claim”

name

string

name 用于限定此提供程序返回的身份。- 它必须是唯一的，并且不能与使用的任何其他身份提供程序共享 - 它必须是一个有效的路径段：name 不能等于“.”或“..”或包含“/”或“%”或“:” 参考：https://godoc.org/github.com/openshift/origin/pkg/user/apis/user/validation#ValidateIdentityProviderName

openID

object

openID 启用使用 OpenID 凭据进行用户身份验证

requestHeader

object

requestHeader 启用使用请求头凭据进行用户身份验证

type

string

type 标识此条目的身份提供程序类型。

.spec.identityProviders[].basicAuth

描述: basicAuth 包含 BasicAuth IdP 的配置选项
类型: object

属性类型描述

属性	类型	描述
`ca`	`object`	ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。
`tlsClientCert`	`object`	tlsClientCert 是一个可选的引用，指向一个名为 secret 的资源，该资源包含连接到服务器时要呈现的 PEM 编码的 TLS 客户端证书。“tls.crt”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`tlsClientKey`	`object`	tlsClientKey 是一个可选的引用，指向一个名为 secret 的资源，该资源包含 tlsClientCert 中引用的客户端证书的 PEM 编码的 TLS 私钥。“tls.key”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`url`	`string`	url 是要连接到的远程 URL

ca

object

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

tlsClientCert

object

tlsClientCert 是一个可选的引用，指向一个名为 secret 的资源，该资源包含连接到服务器时要呈现的 PEM 编码的 TLS 客户端证书。“tls.crt”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

tlsClientKey

object

tlsClientKey 是一个可选的引用，指向一个名为 secret 的资源，该资源包含 tlsClientCert 中引用的客户端证书的 PEM 编码的 TLS 私钥。“tls.key”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

url

string

url 是要连接到的远程 URL

.spec.identityProviders[].basicAuth.ca

描述

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.identityProviders[].basicAuth.tlsClientCert

描述

tlsClientCert 是一个可选的引用，指向一个名为 secret 的资源，该资源包含连接到服务器时要呈现的 PEM 编码的 TLS 客户端证书。“tls.crt”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].basicAuth.tlsClientKey

描述

tlsClientKey 是一个可选的引用，指向一个名为 secret 的资源，该资源包含 tlsClientCert 中引用的客户端证书的 PEM 编码的 TLS 私钥。“tls.key”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].github

描述: github 启用使用 GitHub 凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`ca`	`object`	ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。只有在 hostname 设置为非空值时才能配置此选项。此 config map 的命名空间是 openshift-config。
`clientID`	`string`	clientID 是 oauth 客户端 ID
`clientSecret`	`object`	clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`hostname`	`string`	hostname 是用于托管实例的 GitHub Enterprise 的可选域（例如，“mycompany.com”）。它必须与在 /setup/settings#hostname 配置的 GitHub Enterprise 设置值匹配。
`organizations`	`array (string)`	organizations 可选地限制允许登录的组织。
`teams`	`array (string)`	teams 可选地限制允许登录的团队。格式为 <org>/<team>。

ca

object

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。只有在 hostname 设置为非空值时才能配置此选项。此 config map 的命名空间是 openshift-config。

clientID

string

clientID 是 oauth 客户端 ID

clientSecret

object

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

hostname

string

hostname 是用于托管实例的 GitHub Enterprise 的可选域（例如，“mycompany.com”）。它必须与在 /setup/settings#hostname 配置的 GitHub Enterprise 设置值匹配。

organizations

array (string)

organizations 可选地限制允许登录的组织。

teams

array (string)

teams 可选地限制允许登录的团队。格式为 <org>/<team>。

.spec.identityProviders[].github.ca

描述

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。只有在 hostname 设置为非空值时才能配置此选项。此 config map 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.identityProviders[].github.clientSecret

描述

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].gitlab

描述: gitlab 启用使用 GitLab 凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`ca`	`object`	ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。
`clientID`	`string`	clientID 是 oauth 客户端 ID
`clientSecret`	`object`	clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`url`	`string`	url 是 oauth 服务器的基本 URL

ca

object

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

clientID

string

clientID 是 oauth 客户端 ID

clientSecret

object

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

url

string

url 是 oauth 服务器的基本 URL

.spec.identityProviders[].gitlab.ca

描述

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.identityProviders[].gitlab.clientSecret

描述

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].google

描述: google 启用使用 Google 凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`clientID`	`string`	clientID 是 oauth 客户端 ID
`clientSecret`	`object`	clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`hostedDomain`	`string`	hostedDomain 是可选的 Google App 域名（例如，“mycompany.com”），用于限制登录。

clientID

string

clientID 是 oauth 客户端 ID

clientSecret

object

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

hostedDomain

string

hostedDomain 是可选的 Google App 域名（例如，“mycompany.com”），用于限制登录。

.spec.identityProviders[].google.clientSecret

描述

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].htpasswd

描述: htpasswd 启用使用 HTPasswd 文件验证凭据的用户身份验证
类型: object

属性类型描述

属性	类型	描述
`fileData`	`object`	fileData 是对名为包含用作 htpasswd 文件的数据的密钥的必需引用。密钥“htpasswd”用于查找数据。如果找不到密钥或预期密钥，则身份提供程序将不被认可。如果指定的 htpasswd 数据无效，则身份提供程序将不被认可。此密钥的命名空间为 openshift-config。

fileData

object

fileData 是对名为包含用作 htpasswd 文件的数据的密钥的必需引用。密钥“htpasswd”用于查找数据。如果找不到密钥或预期密钥，则身份提供程序将不被认可。如果指定的 htpasswd 数据无效，则身份提供程序将不被认可。此密钥的命名空间为 openshift-config。

.spec.identityProviders[].htpasswd.fileData

描述

fileData 是对名为包含用作 htpasswd 文件的数据的密钥的必需引用。密钥“htpasswd”用于查找数据。如果找不到密钥或预期密钥，则身份提供程序将不被认可。如果指定的 htpasswd 数据无效，则身份提供程序将不被认可。此密钥的命名空间为 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].keystone

描述: keystone 启用使用 keystone 密码凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`ca`	`object`	ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。
`domainName`	`string`	domainName 对 keystone v3 是必需的。
`tlsClientCert`	`object`	tlsClientCert 是一个可选的引用，指向一个名为 secret 的资源，该资源包含连接到服务器时要呈现的 PEM 编码的 TLS 客户端证书。“tls.crt”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`tlsClientKey`	`object`	tlsClientKey 是一个可选的引用，指向一个名为 secret 的资源，该资源包含 tlsClientCert 中引用的客户端证书的 PEM 编码的 TLS 私钥。“tls.key”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`url`	`string`	url 是要连接到的远程 URL

ca

object

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

domainName

string

domainName 对 keystone v3 是必需的。

tlsClientCert

object

tlsClientCert 是一个可选的引用，指向一个名为 secret 的资源，该资源包含连接到服务器时要呈现的 PEM 编码的 TLS 客户端证书。“tls.crt”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

tlsClientKey

object

tlsClientKey 是一个可选的引用，指向一个名为 secret 的资源，该资源包含 tlsClientCert 中引用的客户端证书的 PEM 编码的 TLS 私钥。“tls.key”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

url

string

url 是要连接到的远程 URL

.spec.identityProviders[].keystone.ca

描述

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.identityProviders[].keystone.tlsClientCert

描述

tlsClientCert 是一个可选的引用，指向一个名为 secret 的资源，该资源包含连接到服务器时要呈现的 PEM 编码的 TLS 客户端证书。“tls.crt”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].keystone.tlsClientKey

描述

tlsClientKey 是一个可选的引用，指向一个名为 secret 的资源，该资源包含 tlsClientCert 中引用的客户端证书的 PEM 编码的 TLS 私钥。“tls.key”密钥用于查找数据。如果指定了 secret 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的证书数据无效，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].ldap

描述: ldap 启用使用 LDAP 凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`attributes`	`object`	attributes 将 LDAP 属性映射到身份。
`bindDN`	`string`	bindDN 是一个可选的 DN，在搜索阶段绑定使用。
`bindPassword`	`object`	bindPassword 是对名为包含在搜索阶段绑定使用的密码的密钥的可选引用。密钥“bindPassword”用于查找数据。如果已指定且找不到密钥或预期密钥，则身份提供程序将不被认可。此密钥的命名空间为 openshift-config。
`ca`	`object`	ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。
`insecure`	`布尔值`	insecure，如果为 true，则表示连接不应使用 TLS。警告：不应将 URL 方案“ldaps://”设置为`true`，因为“ldaps://”URL 始终尝试使用 TLS 建立连接，即使`insecure`设置为`true`。当`true`时，“ldap://”URL 会不安全地连接。当`false`时，“ldap://”URL 会根据https://tools.ietf.org/html/rfc2830中指定的规范升级到 TLS 连接。
`url`	`string`	url 是一个 RFC 2255 URL，用于指定要使用的 LDAP 搜索参数。URL 的语法如下：ldap://host:port/basedn?attribute?scope?filter

attributes

object

attributes 将 LDAP 属性映射到身份。

bindDN

string

bindDN 是一个可选的 DN，在搜索阶段绑定使用。

bindPassword

object

bindPassword 是对名为包含在搜索阶段绑定使用的密码的密钥的可选引用。密钥“bindPassword”用于查找数据。如果已指定且找不到密钥或预期密钥，则身份提供程序将不被认可。此密钥的命名空间为 openshift-config。

ca

object

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

insecure

布尔值

insecure，如果为 true，则表示连接不应使用 TLS。警告：不应将 URL 方案“ldaps://”设置为true，因为“ldaps://”URL 始终尝试使用 TLS 建立连接，即使insecure设置为true。当true时，“ldap://”URL 会不安全地连接。当false时，“ldap://”URL 会根据https://tools.ietf.org/html/rfc2830中指定的规范升级到 TLS 连接。

url

string

url 是一个 RFC 2255 URL，用于指定要使用的 LDAP 搜索参数。URL 的语法如下：ldap://host:port/basedn?attribute?scope?filter

.spec.identityProviders[].ldap.attributes

描述: attributes 将 LDAP 属性映射到身份。
类型: object

属性类型描述

属性	类型	描述
`email`	`array (string)`	email 是应将其值用作电子邮件地址的属性列表。可选。如果未指定，则身份不设置电子邮件。
`id`	`array (string)`	id 是应将其值用作用户 ID 的属性列表。必需。使用第一个非空属性。至少需要一个属性。如果列出的属性均无值，则身份验证失败。LDAP 标准身份属性为“dn”。
`name`	`array (string)`	name 是应将其值用作显示名称的属性列表。可选。如果未指定，则身份不设置显示名称。LDAP 标准显示名称属性为“cn”。
`preferredUsername`	`array (string)`	preferredUsername 是应将其值用作首选用户名属性的列表。LDAP 标准登录属性为“uid”。

email

array (string)

email 是应将其值用作电子邮件地址的属性列表。可选。如果未指定，则身份不设置电子邮件。

id

array (string)

id 是应将其值用作用户 ID 的属性列表。必需。使用第一个非空属性。至少需要一个属性。如果列出的属性均无值，则身份验证失败。LDAP 标准身份属性为“dn”。

name

array (string)

name 是应将其值用作显示名称的属性列表。可选。如果未指定，则身份不设置显示名称。LDAP 标准显示名称属性为“cn”。

preferredUsername

array (string)

preferredUsername 是应将其值用作首选用户名属性的列表。LDAP 标准登录属性为“uid”。

.spec.identityProviders[].ldap.bindPassword

描述

bindPassword 是对名为包含在搜索阶段绑定使用的密码的密钥的可选引用。密钥“bindPassword”用于查找数据。如果已指定且找不到密钥或预期密钥，则身份提供程序将不被认可。此密钥的命名空间为 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].ldap.ca

描述

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.identityProviders[].openID

描述: openID 启用使用 OpenID 凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`ca`	`object`	ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。
`claims`	`object`	claims 映射
`clientID`	`string`	clientID 是 oauth 客户端 ID
`clientSecret`	`object`	clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。
`extraAuthorizeParameters`	`对象（字符串）`	extraAuthorizeParameters 是要添加到授权请求的任何自定义参数。
`extraScopes`	`array (string)`	extraScopes 是除了标准“openid”范围之外要请求的任何范围。
`issuer`	`string`	issuer 是 OpenID 提供程序断言为其发行者标识符的 URL。它必须使用 https 方案，并且没有查询或片段组件。

ca

object

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

claims

object

claims 映射

clientID

string

clientID 是 oauth 客户端 ID

clientSecret

object

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

extraAuthorizeParameters

对象（字符串）

extraAuthorizeParameters 是要添加到授权请求的任何自定义参数。

extraScopes

array (string)

extraScopes 是除了标准“openid”范围之外要请求的任何范围。

issuer

string

issuer 是 OpenID 提供程序断言为其发行者标识符的 URL。它必须使用 https 方案，并且没有查询或片段组件。

.spec.identityProviders[].openID.ca

描述

ca 是一个可选的引用，指向包含 PEM 编码的 CA 捆绑包的名称为 config map 的资源。它用作信任锚点，以验证远程服务器提供的 TLS 证书。密钥“ca.crt”用于查找数据。如果指定了 config map 或预期的密钥未找到，则不会考虑身份提供程序。如果指定的 ca 数据无效，则不会考虑身份提供程序。如果为空，则使用默认系统根证书。此 config map 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.identityProviders[].openID.claims

描述: claims 映射
类型: object

属性类型描述

属性	类型	描述
`email`	`array (string)`	email 是应将其值用作电子邮件地址的声明列表。可选。如果未指定，则身份不设置电子邮件。
`groups`	`array (string)`	groups 是应将其值用于将组从 OIDC 提供程序同步到用户的 OpenShift 的声明列表。如果指定多个声明，则使用第一个具有非空值的值。
`name`	`array (string)`	name 是应将其值用作显示名称的声明列表。可选。如果未指定，则身份不设置显示名称。
`preferredUsername`	`array (string)`	preferredUsername 是应将其值用作首选用户名的声明列表。如果未指定，则首选用户名由子声明的值确定。

email

array (string)

email 是应将其值用作电子邮件地址的声明列表。可选。如果未指定，则身份不设置电子邮件。

groups

array (string)

groups 是应将其值用于将组从 OIDC 提供程序同步到用户的 OpenShift 的声明列表。如果指定多个声明，则使用第一个具有非空值的值。

name

array (string)

name 是应将其值用作显示名称的声明列表。可选。如果未指定，则身份不设置显示名称。

preferredUsername

array (string)

preferredUsername 是应将其值用作首选用户名的声明列表。如果未指定，则首选用户名由子声明的值确定。

.spec.identityProviders[].openID.clientSecret

描述

clientSecret 是一个必需的引用，指向包含 oauth 客户端密钥的名称为 secret 的资源。“clientSecret”密钥用于查找数据。如果 secret 或预期的密钥未找到，则不会考虑身份提供程序。此 secret 的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.identityProviders[].requestHeader

描述: requestHeader 启用使用请求头凭据进行用户身份验证
类型: object

属性类型描述

属性	类型	描述
`ca`	`object`	ca 是对名为包含 PEM 编码的 CA 捆绑包的配置映射的必需引用。它用作信任锚点来验证远程服务器提供的 TLS 证书。具体来说，它允许验证传入请求以防止标题欺骗。密钥“ca.crt”用于查找数据。如果找不到配置映射或预期密钥，则身份提供程序将不被认可。如果指定的 ca 数据无效，则身份提供程序将不被认可。此配置映射的命名空间为 openshift-config。
`challengeURL`	`string`	challengeURL 是一个 URL，用于将未经身份验证的 /authorize 请求重定向到此位置。期望 WWW-Authenticate 质询的 OAuth 客户端的未经身份验证的请求将重定向到这里。${url} 将替换为当前 URL，并进行转义以确保其在查询参数中安全 https://www.example.com/sso-login?then=${url} ${query} 将替换为当前查询字符串 https://www.example.com/auth-proxy/oauth/authorize?${query} 当 challenge 设置为 true 时，这是必需的。
`clientCommonNames`	`array (string)`	clientCommonNames 是一个可选的通用名称列表，需要与之匹配。如果为空，则任何针对 clientCA 捆绑包验证的客户端证书都被视为权威证书。
`emailHeaders`	`array (string)`	emailHeaders 是要检查电子邮件地址的标头集。
`headers`	`array (string)`	headers 是要检查身份信息的标头集。
`loginURL`	`string`	loginURL 是一个 URL，用于将未经身份验证的 /authorize 请求重定向到此位置。期望交互式登录的 OAuth 客户端的未经身份验证的请求将重定向到这里。${url} 将替换为当前 URL，并进行转义以确保其在查询参数中安全 https://www.example.com/sso-login?then=${url} ${query} 将替换为当前查询字符串 https://www.example.com/auth-proxy/oauth/authorize?${query} 当 login 设置为 true 时，这是必需的。
`nameHeaders`	`array (string)`	nameHeaders 是要检查显示名称的标头集。
`preferredUsernameHeaders`	`array (string)`	preferredUsernameHeaders 是要检查首选用户名的标头集。

ca

object

ca 是对名为包含 PEM 编码的 CA 捆绑包的配置映射的必需引用。它用作信任锚点来验证远程服务器提供的 TLS 证书。具体来说，它允许验证传入请求以防止标题欺骗。密钥“ca.crt”用于查找数据。如果找不到配置映射或预期密钥，则身份提供程序将不被认可。如果指定的 ca 数据无效，则身份提供程序将不被认可。此配置映射的命名空间为 openshift-config。

challengeURL

string

challengeURL 是一个 URL，用于将未经身份验证的 /authorize 请求重定向到此位置。期望 WWW-Authenticate 质询的 OAuth 客户端的未经身份验证的请求将重定向到这里。${url} 将替换为当前 URL，并进行转义以确保其在查询参数中安全 https://www.example.com/sso-login?then=${url} ${query} 将替换为当前查询字符串 https://www.example.com/auth-proxy/oauth/authorize?${query} 当 challenge 设置为 true 时，这是必需的。

clientCommonNames

array (string)

clientCommonNames 是一个可选的通用名称列表，需要与之匹配。如果为空，则任何针对 clientCA 捆绑包验证的客户端证书都被视为权威证书。

emailHeaders

array (string)

emailHeaders 是要检查电子邮件地址的标头集。

headers

array (string)

headers 是要检查身份信息的标头集。

loginURL

string

loginURL 是一个 URL，用于将未经身份验证的 /authorize 请求重定向到此位置。期望交互式登录的 OAuth 客户端的未经身份验证的请求将重定向到这里。${url} 将替换为当前 URL，并进行转义以确保其在查询参数中安全 https://www.example.com/sso-login?then=${url} ${query} 将替换为当前查询字符串 https://www.example.com/auth-proxy/oauth/authorize?${query} 当 login 设置为 true 时，这是必需的。

nameHeaders

array (string)

nameHeaders 是要检查显示名称的标头集。

preferredUsernameHeaders

array (string)

preferredUsernameHeaders 是要检查首选用户名的标头集。

.spec.identityProviders[].requestHeader.ca

描述

ca 是对名为包含 PEM 编码的 CA 捆绑包的配置映射的必需引用。它用作信任锚点来验证远程服务器提供的 TLS 证书。具体来说，它允许验证传入请求以防止标题欺骗。密钥“ca.crt”用于查找数据。如果找不到配置映射或预期密钥，则身份提供程序将不被认可。如果指定的 ca 数据无效，则身份提供程序将不被认可。此配置映射的命名空间为 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 config map 的 metadata.name

name

string

name 是引用的 config map 的 metadata.name

.spec.templates

描述: templates 允许您自定义页面，例如登录页面。
类型: object

属性类型描述

属性	类型	描述
`error`	`object`	error 是一个密钥的名称，该密钥指定一个 go 模板，用于在身份验证或授权流程期间呈现错误页面。密钥“errors.html”用于查找模板数据。如果已指定且找不到密钥或预期密钥，则使用默认错误页面。如果指定的模板无效，则使用默认错误页面。如果未指定，则使用默认错误页面。此密钥的命名空间为 openshift-config。
`login`	`object`	login 是一个密钥的名称，它指定用于渲染登录页面的 Go 模板。密钥 "login.html" 用于定位模板数据。如果指定了密钥但未找到密钥或预期的键，则使用默认登录页面。如果指定的模板无效，则使用默认登录页面。如果未指定，则使用默认登录页面。此密钥的命名空间是 openshift-config。
`providerSelection`	`object`	providerSelection 是一个密钥的名称，它指定用于渲染提供商选择页面的 Go 模板。密钥 "providers.html" 用于定位模板数据。如果指定了密钥但未找到密钥或预期的键，则使用默认提供商选择页面。如果指定的模板无效，则使用默认提供商选择页面。如果未指定，则使用默认提供商选择页面。此密钥的命名空间是 openshift-config。

error

object

error 是一个密钥的名称，该密钥指定一个 go 模板，用于在身份验证或授权流程期间呈现错误页面。密钥“errors.html”用于查找模板数据。如果已指定且找不到密钥或预期密钥，则使用默认错误页面。如果指定的模板无效，则使用默认错误页面。如果未指定，则使用默认错误页面。此密钥的命名空间为 openshift-config。

login

object

login 是一个密钥的名称，它指定用于渲染登录页面的 Go 模板。密钥 "login.html" 用于定位模板数据。如果指定了密钥但未找到密钥或预期的键，则使用默认登录页面。如果指定的模板无效，则使用默认登录页面。如果未指定，则使用默认登录页面。此密钥的命名空间是 openshift-config。

providerSelection

object

providerSelection 是一个密钥的名称，它指定用于渲染提供商选择页面的 Go 模板。密钥 "providers.html" 用于定位模板数据。如果指定了密钥但未找到密钥或预期的键，则使用默认提供商选择页面。如果指定的模板无效，则使用默认提供商选择页面。如果未指定，则使用默认提供商选择页面。此密钥的命名空间是 openshift-config。

.spec.templates.error

描述

error 是一个密钥的名称，该密钥指定一个 go 模板，用于在身份验证或授权流程期间呈现错误页面。密钥“errors.html”用于查找模板数据。如果已指定且找不到密钥或预期密钥，则使用默认错误页面。如果指定的模板无效，则使用默认错误页面。如果未指定，则使用默认错误页面。此密钥的命名空间为 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

描述

login 是一个密钥的名称，它指定用于渲染登录页面的 Go 模板。密钥 "login.html" 用于定位模板数据。如果指定了密钥但未找到密钥或预期的键，则使用默认登录页面。如果指定的模板无效，则使用默认登录页面。如果未指定，则使用默认登录页面。此密钥的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.templates.providerSelection

描述

providerSelection 是一个密钥的名称，它指定用于渲染提供商选择页面的 Go 模板。密钥 "providers.html" 用于定位模板数据。如果指定了密钥但未找到密钥或预期的键，则使用默认提供商选择页面。如果指定的模板无效，则使用默认提供商选择页面。如果未指定，则使用默认提供商选择页面。此密钥的命名空间是 openshift-config。

类型

object

必需

name

属性类型描述

属性	类型	描述
`name`	`string`	name 是引用的 secret 的 metadata.name

name

string

name 是引用的 secret 的 metadata.name

.spec.tokenConfig

描述: tokenConfig 包含授权和访问令牌的选项
类型: object

属性类型描述

属性	类型	描述
`accessTokenInactivityTimeout`	`string`	accessTokenInactivityTimeout 定义了由任何客户端授予的令牌的令牌非活动超时。该值表示两次连续使用令牌之间可能发生的最大时间量。如果令牌在此时间窗口内未使用，则令牌将失效。令牌超时后，用户需要获取新令牌才能重新访问。接受有效的持续时间字符串，例如 "5m"、"1.5h" 或 "2h45m"。持续时间的最小允许值为 300s（5 分钟）。如果每个客户端都配置了超时，则该值优先。如果未指定超时值且客户端未覆盖该值，则令牌在有效期内有效。警告：更改此值不会影响现有令牌的超时（降低）。
`accessTokenInactivityTimeoutSeconds`	`整数`	accessTokenInactivityTimeoutSeconds - 已弃用：设置此字段无效。
`accessTokenMaxAgeSeconds`	`整数`	accessTokenMaxAgeSeconds 定义访问令牌的最大有效期。

accessTokenInactivityTimeout

string

accessTokenInactivityTimeout 定义了由任何客户端授予的令牌的令牌非活动超时。该值表示两次连续使用令牌之间可能发生的最大时间量。如果令牌在此时间窗口内未使用，则令牌将失效。令牌超时后，用户需要获取新令牌才能重新访问。接受有效的持续时间字符串，例如 "5m"、"1.5h" 或 "2h45m"。持续时间的最小允许值为 300s（5 分钟）。如果每个客户端都配置了超时，则该值优先。如果未指定超时值且客户端未覆盖该值，则令牌在有效期内有效。警告：更改此值不会影响现有令牌的超时（降低）。

accessTokenInactivityTimeoutSeconds

整数

accessTokenInactivityTimeoutSeconds - 已弃用：设置此字段无效。

accessTokenMaxAgeSeconds

整数

accessTokenMaxAgeSeconds 定义访问令牌的最大有效期。

.status

描述: status 包含来自集群的观察值。它们不能被覆盖。
类型: object

HTTP 代码	响应体
200 - OK	`Status` 模式
401 - 未授权	空

HTTP 代码	响应体
200 - OK	`OAuthList` 模式
401 - 未授权	空

HTTP 代码	响应体
200 - OK	`OAuth` 模式
201 - 已创建	`OAuth` 模式
202 - 已接受	`OAuth` 模式
401 - 未授权	空

HTTP 代码	响应体
200 - OK	`Status` 模式
202 - 已接受	`Status` 模式
401 - 未授权	空

HTTP 代码	响应体
200 - OK	`OAuth` 模式
401 - 未授权	空

参数	类型	描述
`dryRun`	`string`	如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略从对象中静默删除的任何未知字段，并将忽略解码器遇到的所有重复字段中的最后一个字段。这是 v1.23 之前的默认行为。- Warn：这将通过标准警告响应标头为每个从对象中删除的未知字段以及遇到的每个重复字段发送警告。如果没有任何其他错误，请求仍将成功，并且只会持久化任何重复字段中的最后一个。这是 v1.23+ 中的默认值 - Strict：如果任何未知字段将从对象中删除，或者如果存在任何重复字段，这将使请求失败并出现 BadRequest 错误。服务器返回的错误将包含遇到的所有未知和重复字段。

规范

.spec

.spec.identityProviders

.spec.identityProviders[]

.spec.identityProviders[].basicAuth

.spec.identityProviders[].basicAuth.ca

.spec.identityProviders[].basicAuth.tlsClientCert

.spec.identityProviders[].basicAuth.tlsClientKey

.spec.identityProviders[].github

.spec.identityProviders[].github.ca

.spec.identityProviders[].github.clientSecret

.spec.identityProviders[].gitlab

.spec.identityProviders[].gitlab.ca

.spec.identityProviders[].gitlab.clientSecret

.spec.identityProviders[].google

.spec.identityProviders[].google.clientSecret

.spec.identityProviders[].htpasswd

.spec.identityProviders[].htpasswd.fileData

.spec.identityProviders[].keystone

.spec.identityProviders[].keystone.ca

.spec.identityProviders[].keystone.tlsClientCert

.spec.identityProviders[].keystone.tlsClientKey

.spec.identityProviders[].ldap

.spec.identityProviders[].ldap.attributes

.spec.identityProviders[].ldap.bindPassword

.spec.identityProviders[].ldap.ca

.spec.identityProviders[].openID

.spec.identityProviders[].openID.ca

.spec.identityProviders[].openID.claims

.spec.identityProviders[].openID.clientSecret

.spec.identityProviders[].requestHeader

.spec.identityProviders[].requestHeader.ca

.spec.templates

.spec.templates.error

.spec.templates.login

.spec.templates.providerSelection

.spec.tokenConfig

.status

API 端点

/apis/config.openshift.io/v1/oauths

/apis/config.openshift.io/v1/oauths/{name}

/apis/config.openshift.io/v1/oauths/{name}/status