用户和角色
配置用户和自定义角色
设置 → 用户和角色菜单可以管理用户和角色。每个用户都被分配到一个预定义或自定义角色。用户可以通过将所属组与 LDAP/AD 或其他 SSO 系统集成,从而将用户映射到相应角色。有关每种类型或目录或 SSO 集成的详细说明,请参见 企业集成 部分。
用户
用户可以直接在 SUSE® Security 中配置,或通过目录/SSO 集成。要在 SUSE® Security 中创建新用户,请转到设置 → 用户和角色并添加用户。从预定义角色中选择用户的角色,或查看下面以创建自定义角色。
默认密码要求为至少 8 个字符,包含 1 个大写字母、1 个小写字母和 1 个数字字符。这些和其他要求可以由管理员在设置 → 用户下的身份验证和安全策略中更改。
名称空间受限用户
用户可以被限制在某些名称空间内。首先选择全局角色(如果不需要全局角色,请使用 'none'),然后单击高级设置。
从角色列表中选择一个角色名称,然后输入该用户允许使用的名称空间。例如,下面是一个全局阅读者(仅查看)角色,但对于名称空间 'demo',用户具有管理员权限,而对于名称空间 'staging',用户具有 CI/Ops 权限。如果之前配置了自定义角色,也可以选择该角色。
|
如果用户之前通过企业集成登录,他们的身份提供者(例如 OpenID Connect)将被列出。如果使用多集群管理,可以通过选择用户并进行编辑将用户提升为联邦管理员。 |
|
当名称空间受限用户在 SUSE® Security 的资产中配置注册表时,只有具有该名称空间访问权限的用户才能查看/扫描该注册表。全局用户可以查看和管理该注册表,而具有受限名称空间或角色的用户则无法查看或管理该注册表。 |
RBAC权限
-
准入控制。管理准入控制规则。
-
审计事件。查看通知 → 风险报告日志。
-
鉴定启用目录和SSO(oidc/saml/ldap)配置。
-
授权。创建新用户和自定义角色。
-
CI扫描。允许通过REST API对镜像进行扫描。有助于配置构建阶段插件扫描用户。
-
合规性。创建自定义合规脚本并审查合规检查结果。
-
事件。访问通知 → 事件日志。
-
注册扫描。配置注册表扫描并查看结果。
-
运行时策略。管理策略模式(发现、监控、保护)、网络规则、处理规则、文件访问规则、数据丢失防护、数据包捕获和响应规则的策略菜单。
-
运行时扫描。触发并查看容器/节点/平台的运行时漏洞扫描。
-
安全事件。访问通知 → 安全事件日志。
-
系统配置。允许配置设置 → 配置。
将组映射到角色和名称空间。
组可以映射到 SUSE® Security 中的预设或自定义角色。此外,角色可以限制在一个或多个名称空间内。
在设置中的 LDAP/AD、SAML 或 OIDC 配置中,配置屏幕的最后部分将组映射到角色和名称空间。首先选择一个默认角色(如果有的话)进行映射。
要将组映射到角色和名称空间,请单击“添加”以创建新的映射。选择一个全局角色或 'none'。如果选择了 admin 或 FedAdmin,则将对所有名称空间授予写入访问权限。如果选择了其他角色,则可以通过选择所需的名称空间进一步限制。
以下示例提供了一些可能的映射。Demo_admin 可以查看所有名称空间,但在名称空间 'demo' 和 'demo2' 中具有管理员权限。System_admin 仅在名称空间 'kube-system' 中具有管理员权限。 而 fed_admins 拥有预设的 FedAdmin 角色,可对多个集群中的所有资源进行写入访问。
|
如果用户属于多个组,则角色会按照列表中的顺序首次匹配,并分配对应组的角色。请通过拖拽将映射移动到列表中的合适位置,以调整配置顺序,确保系统正常运行。 |
用于主要和远程管理的多集群 FedAdmin 和管理员角色
当一个集群被提升为主要集群时,管理员会自动成为FedAdmin。FedAdmin 可以在主要集群上执行操作,例如生成用于连接远程集群的联合令牌,以及创建联合安全规则,如网络、处理、文件和准入控制规则。
多集群管理角色如下:
-
在任何集群上,本地管理员或Rancher SSO管理员可以将集群提升为主要集群。
-
具有管理员角色的 LDAP/SSO/SAML/OIDC 用户无法将集群提升为主要集群。
-
只有FedAdmin可以生成将远程集群加入主要集群所需的令牌。
-
任何管理员,包括 LDAP/SSO/SAML/OIDC 用户,只要拥有令牌,就可以将远程集群加入主要集群。
-
只有 FedAdmin 可以创建新用户作为 FedAdmin(或 FedReader),或将 FedAdmin(或 FedReader)角色分配给现有用户(包括 LDAP/SSO/SAML/OIDC 用户)。