我们需要禁用通过服务帐户令牌登录。
我们正在考虑为登录事件创建一个 webhook 并将其转发给 opa,opa 将检查登录请求是否使用令牌。如果是,它会抛出一个错误,如果是,它将继续将请求转发到身份验证器/身份提供者的流程。
我们正在使用 openshift 3。
问问题
49 次
1 回答
1
我不确定这是否可能与https://kubernetes.io/docs/reference/access-authn-authz/webhook/相关,但是如果您有办法知道该请求有效负载是否是令牌,那么你可以这样处理。
如果没有,您可能需要在 API 服务器前使用类似的网关/代理来拦截请求并在 kubernetes 完全接收它们之前过滤它们。
于 2019-12-06T18:46:51.910 回答