authentik开源身份认证与管理平台-与 Rancher 集成(11)

什么是 Rancher

Kubernetes Everywhere Rancher 企业平台旨在满足部署使用 Kubernetes 的应用程序的 DevOps 团队和负责交付关键企业服务的 IT 员工的需求。

准备

在本指南中，使用了以下占位符：
rancher.company 是 Rancher 安装的 FQDN。
authentik.company 是 authentik 安装的 FQDN。

SAML提供者属性映射(重点注意项)

在自定义 > 特性映射下，创建一个 SAML 特性映射 。给它起个名字，比如“SAML Rancher 用户 ID”。将 SAML 名称设置为 rancherUidUsername，并将表达式设置为以下内容

returnf"{user.pk}-{user.username}"

authentik配置

在 authentik 中创建一个应用程序。将启动 URL 设置为 https://rancher.company，因为 Rancher 目前不支持 IdP 引导的登录。

1. 作为管理员登录到 authentik 并打开 authentik 管理员界面。

2. 导航至应用程序 > 应用程序，然后单击使用提供程序创建以创建应用程序和提供程序对。 （或者，您可以先单独创建提供程序，然后创建应用程序并将其连接到提供程序。）
   

   • 应用程序 ：提供一个描述性名称、一个可选的应用程序类型组、策略引擎模式和可选的 UI 设置。
     应用名称：Rancher, Slug会自动带出：rancher
     
   • 选择提供者类型 ：选择Rancher作为提供者类型。
     
     使用以下参数创建 SAML 提供程序：
   • ACS 网址： https://rancher.company/v1-saml/adfs/saml/acs
   • 观众： https://rancher.company/v1-saml/adfs/saml/metadata
   • 发行人：authentik
   • 服务提供者绑定：post
   • 属性映射：选择所有默认映射和您上面创建的映射。(重点注意项)
   • 签署证书：选择一个经过验证的自签名证书。

当然，您可以使用自定义的签名证书，并调整其持续时间。

Rancher配置

在 Rancher 中，导航到“全局”>“安全”>“身份验证”，然后选择 ADFS。填写字段：

• 显示名称字段： http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
• 用户名称字段： http://schemas.goauthentik.io/2021/02/saml/username
• UID 场：rancherUidUsername
• 群组字段： http://schemas.xmlsoap.org/claims/Group

authentik对于私钥和证书，您可以生成新的对（在“身份和加密”中，导航到“身份和加密”>“证书”并选择“生成”），或者使用现有的对。 (重点注意项)

从 authentik 复制元数据，然后将其粘贴到元数据字段中。

点击“保存”测试身份验证。

配置验证

为了验证 Rancher 中的 authentik 设置是否正确，请注销，然后使用使用 authentik 登录按钮重新登录。