OIDC(OpenID Connect)是基于OAuth 2.0协议的身份验证层,用于实现单点登录(SSO)和身份验证。服务网格支持对接符合OIDC规范的IDP(Identity Provider),实现单点登录能力。
OIDC策略配置说明
| 配置项 | 说明 |
|---|---|
| 安全策略名称 | 策略名称,如testoidc |
| 登录重定向地址 | 登录完成后重定向到的目标服务地址 |
| callbackUrl | 基于重定向地址拼接生成的重定向URL |
| OIDC颁发者URL | OIDC颁发者的地址,用于发现IDP的配置信息 |
| 颁发者提供的客户端ID(ClientID) | IDP授权接入的客户端的ID |
| 颁发者提供的客户端密钥(ClientSecret) | IDP授权接入的客户端的Secret |
| Cookie密钥 | 用于对Cookie进行加解密,保证Cookie安全性 |
| Cookie过期时间(s) | 到达该时间后Cookie会过期,设置为0则在浏览器关闭时Cookie才会过期 |
| Cookie刷新时间(s) | 每间隔该时间刷新Cookie,设置为0关闭 |
| 用户信息范围Scopes | 获取用户的信息范围配置 |
OIDC策略绑定
策略生效粒度
当前支持命名空间、服务、工作负载、网关的生效粒度配置,说明如下
| 生效粒度 | 说明 |
|---|---|
| 命名空间 | 策略下发到所选择命名空间下所有数据面 |
| 服务 | 策略下发到所选服务关联的工作负载数据面 |
| 工作负载 | 策略下发到指定工作负载的数据面 |
| 网关 | 策略下发到网关 |
请求匹配规则
对于JWT策略、OIDC策略和自定义授权服务策略,支持基于请求特征匹配决定是否执行当前策略,支持的匹配项及说明如下
| 匹配项 | 说明 |
|---|---|
| HTTP域名(Host) | 匹配一组请求的域名 |
| HTTP路径(Path) | 匹配一组请求路径 |
| HTTP方法(Method) | 匹配一组请求的HTTP Method |
| 端口(Port) | 匹配一组请求的目标服务端口 |
说明域名和路径匹配支持以下匹配模式
精确匹配:如abc匹配abc字符串
前缀匹配:abc*匹配abc、abcd、abce等
后缀匹配:*abc匹配abc、xabc、zabc等
存在匹配:*匹配所有非空值
请求匹配支持黑白名单模式
黑名单模式:选中请求必须执行认证策略
白名单模式:选中请求跳过认证策略,其他请求需要执行策略
