Benutzerverwaltung in OpenShift implementiert Multi-Tenancy-Support durch Identity-Management-Systeme, die Benutzerkonten, Gruppen und Service-Accounts über integrierte oder externe Identity-Provider verwalten. Diese Governance-Frameworks ermöglichen granulare Zugriffskontrolle und organisatorische Strukturabbildung für sichere und skalierbare Plattform-Administration.
OpenShift unterscheidet zwischen menschlichen Benutzern und Service-Accounts für verschiedene Zugriffsmuster und Sicherheitsanforderungen. Menschliche Benutzer repräsentieren individuelle Personen mit interaktiven Login-Anforderungen, während Service-Accounts automatisierte Prozesse und Anwendungen repräsentieren.
Die Identity-Federation ermöglicht Integration mit Enterprise-Identity-Systemen wie Active Directory, LDAP oder SAML-basierten Identity-Providern. Diese Federations-Fähigkeit abstrahiert Benutzerverwaltung von OpenShift-internen Systemen und ermöglicht zentrale Identity-Governance.
[Diagramm: Benutzer-Management-Architektur mit Identity-Providern und Authentifizierungsfluss]
Menschliche Benutzer authentifizieren sich über externe Identity-Provider und erhalten Zugriff auf die OpenShift-Konsole und CLI-Tools. Diese Benutzer benötigen interaktive Authentifizierung und können Projekte erstellen, verwalten und überwachen.
Service-Accounts sind technische Konten für automatisierte Prozesse, CI/CD-Pipelines und Anwendungs-zu-Anwendungs-Kommunikation. Sie verwenden Token-basierte Authentifizierung und benötigen keine interaktive Anmeldung.
System-Accounts verwalten interne OpenShift-Komponenten und sind vorkonfiguriert. Diese Accounts sind kritisch für den Plattformbetrieb und sollten nicht manuell verändert werden.
Identity-Mapping-Mechanismen verknüpfen externe Identity-Provider-Benutzer mit internen OpenShift-Benutzer-Objekten für konsistente Identity-Darstellung. Diese Mapping-Logik gewährleistet Identity-Kontinuität über verschiedene Authentifizierungssitzungen hinweg.
Benutzer-Identitäten werden bei der ersten Anmeldung automatisch erstellt und mit eindeutigen UUIDs verknüpft. Diese Verknüpfung bleibt auch bei Änderungen am externen Identity-Provider bestehen.
Gruppen implementieren kollektive Identity-Zuweisungen für vereinfachtes Berechtigungs-Management und Abbildung organisatorischer Strukturen. Gruppen ermöglichen Bulk-Berechtigungs-Zuweisungen und reduzieren administrativen Aufwand für umfangreiches Benutzer-Management.
Statische Gruppen definieren manuelle Gruppenmitgliedschaft durch Administratoren für feinabgestimmte Zugriffskontrolle. Diese manuelle Gruppenverwaltung bietet maximale Flexibilität für individuelle Zugriffsmuster.
# Gruppe erstellen
oc adm groups new developers
# Benutzer zu Gruppe hinzufügen
oc adm groups add-users developers alice bob charlie
# Gruppenberechtigungen zuweisen
oc policy add-role-to-group edit developers -n my-projectDynamische Gruppen implementieren regelbasierte automatische Gruppenzuweisungen basierend auf Benutzer-Attributen oder externen Systemdaten. Diese automatisierte Gruppenzuweisung reduziert administrativen Aufwand für große Deployments.
Verschachtelte Gruppenstrukturen ermöglichen hierarchische Gruppenorganisation für komplexe Organisationsstrukturen mit vererbten Berechtigungen. Diese hierarchische Verwaltung unterstützt Berechtigungs-Management im Enterprise-Maßstab.
Gruppensynchronisation mit externen Directory-Services implementiert automatische Updates der Gruppenmitgliedschaft basierend auf externen Gruppenänderungen. Diese Synchronisation gewährleistet Konsistenz zwischen externen Systemen und OpenShift-Gruppen.
Service-Accounts ermöglichen Nicht-Benutzer-Authentifizierung für automatisierte Prozesse und Inter-Service-Kommunikation. Diese technischen Accounts unterstützen DevOps-Automatisierung und Microservice-Architektur-Authentifizierung.
Jedes OpenShift-Projekt erhält automatisch Standard-Service-Accounts für verschiedene Zwecke:
| Service-Account | Zweck | Standard-Berechtigungen |
|---|---|---|
| default | Standard-Container-Ausführung | Basis-Pod-Operationen |
| builder | Build-Prozesse | Image-Erstellung und -Push |
| deployer | Deployment-Operationen | Pod- und Service-Management |
Custom-Service-Account-Erstellung ermöglicht anwendungsspezifische Service-Account-Definition mit maßgeschneiderten Berechtigungen und Sicherheitsrichtlinien:
apiVersion: v1
kind: ServiceAccount
metadata:
name: monitoring-sa
namespace: my-project
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: monitoring-sa-binding
namespace: my-project
subjects:
- kind: ServiceAccount
name: monitoring-sa
namespace: my-project
roleRef:
kind: ClusterRole
name: view
apiGroup: rbac.authorization.k8s.ioService-Account-Token-Management implementiert automatische Token-Generierung und -Rotation für sichere Service-Authentifizierung. Diese Token-Lifecycle-Verwaltung gewährleistet Security-Best-Practices für Service-Authentifizierung.
OpenShift 4.11+ verwendet standardmäßig Token mit begrenzter Lebensdauer und automatischer Rotation. Langlebige Tokens müssen explizit erstellt werden, wenn sie für Legacy-Anwendungen benötigt werden.
OpenShift unterstützt verschiedene Identity-Provider für flexible Integration in bestehende Unternehmens-Infrastrukturen.
OAuth2-Integration ermöglicht Third-Party-Identity-Provider-Authentifizierung über Industrie-Standard-Protokolle. Diese OAuth-Integration unterstützt moderne Identity-Provider wie Google, GitHub oder Microsoft Azure AD.
apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
name: cluster
spec:
identityProviders:
- name: github
type: GitHub
github:
clientID: your-github-client-id
clientSecret:
name: github-secret
organizations:
- your-organizationLDAP-Integration verbindet traditionelle Enterprise-Directory-Services für Nutzung bestehender Identity-Infrastruktur. Diese LDAP-Unterstützung ermöglicht nahtlose Integration mit etablierten Unternehmens-Identity-Systemen.
apiVersion: config.openshift.io/v1
kind: OAuth
metadata:
name: cluster
spec:
identityProviders:
- name: ldap
type: LDAP
ldap:
attributes:
id: ['dn']
preferredUsername: ['cn']
name: ['cn']
email: ['mail']
bindDN: "cn=admin,dc=example,dc=com"
bindPassword:
name: ldap-bind-password
url: "ldap://ldap.example.com:389/ou=users,dc=example,dc=com?cn"SAML-Integration implementiert Single-Sign-On-Fähigkeiten für Enterprise-Identity-Federation mit SAML2-kompatiblen Identity-Providern. Diese SAML-Unterstützung unterstützt Enterprise-SSO-Anforderungen.
OpenID-Connect-Integration bietet modernen Identity-Standard-Support für Cloud-native Identity-Provider. Diese OIDC-Integration ermöglicht Integration mit modernen Identity-Plattformen.
Tenant-basierte Benutzerisolation implementiert Benutzersichtbarkeits-Beschränkungen basierend auf Projekt-Mitgliedschaft oder organisatorischen Grenzen. Diese Isolationsmechanismen gewährleisten Multi-Tenant-Sicherheit und Datenschutz.
Standardmäßig können Benutzer nur Projekte sehen und darauf zugreifen, für die sie explizite Berechtigungen haben. Diese Isolation erfolgt automatisch durch OpenShifts RBAC-System.
Cross-Tenant-Benutzer-Sharing ermöglicht selektiven Benutzerzugriff über Tenant-Grenzen hinweg für kollaborative Szenarien. Diese kontrollierte Freigabe unterstützt teamübergreifende Zusammenarbeit bei gleichzeitiger Wahrung von Sicherheitsgrenzen.
Benutzer-Quota-Management implementiert benutzerbasierte Ressourcenlimits für faire Ressourcenverteilung in Multi-Benutzer-Umgebungen. Diese benutzerspezifischen Quotas verhindern individuelle Ressourcen-Monopolisierung.
OpenShift implementiert verschiedene Sicherheitsmaßnahmen für Benutzer-Management, die Enterprise-Sicherheitsanforderungen unterstützen.
Passwort-Richtlinien-Durchsetzung implementiert Sicherheitsstandards für lokale Benutzerkonten mit Komplexitätsanforderungen und Ablaufrichtlinien. Diese Passwort-Sicherheit gewährleistet Mindest-Sicherheitsstandards für lokale Authentifizierung.
Account-Lockout-Mechanismen implementieren automatische Kontosperrung bei verdächtigen Aktivitäten oder fehlgeschlagenen Authentifizierungsversuchen. Diese automatisierte Sicherheitsreaktion schützt gegen Brute-Force-Angriffe.
Audit-Protokollierung für Benutzerverwaltungsoperationen protokolliert alle Benutzerkonto-Änderungen für Compliance-Berichte und Sicherheitsüberwachung. Diese Audit-Trail-Generierung unterstützt regulatorische Compliance-Anforderungen.
# Audit-Logs für Benutzeraktivitäten anzeigen
oc adm node-logs --role=master --path=audit/audit.logPrivilegierte Kontenverwaltung implementiert erweiterte Sicherheitskontrollen für administrative Konten mit zusätzlichen Authentifizierungsanforderungen. Diese privilegierte Kontosicherheit schützt gegen administrative Kontokompromittierung.
OpenShift bietet verschiedene Self-Service-Funktionen, um die Benutzererfahrung zu verbessern und administrativen Aufwand zu reduzieren.
Self-Service-Profilverwaltung ermöglicht benutzerkontrollierte Profil-Updates und Einstellungskonfiguration. Diese Self-Service-Fähigkeit reduziert administrativen Aufwand für routinemäßige Profiländerungen.
Passwort-Self-Service implementiert benutzerinitiierte Passwort-Reset-Workflows ohne Administrator-Intervention. Diese Self-Service-Sicherheit reduziert Help-Desk-Last und verbessert Benutzererfahrung.
Zugriffs-Anfrage-Workflows implementieren Self-Service-Zugriffs-Anfrage-Prozesse mit Genehmigungsworkflows. Diese automatisierte Zugriffsverwaltung beschleunigt Zugriffs-Bereitstellung bei gleichzeitiger Wahrung von Governance-Kontrollen.
Benutzer-Aktivitäts-Überwachung verfolgt Benutzer-Login-Muster und Plattform-Nutzungsstatistiken für Kapazitätsplanung und Sicherheitsanalyse. Diese Aktivitätsüberwachung unterstützt Plattform-Optimierung und Sicherheitsüberwachung.
Identity-Provider-Performance-Überwachung überwacht Authentifizierungs-Antwortzeiten und Erfolgsraten für Identity-Service-Qualitätssicherung. Diese Performance-Überwachung gewährleistet Benutzererfahrungsqualität.
Zugriffsmuster-Analyse identifiziert Benutzer-Zugriffsmuster für Sicherheits-Anomalie-Erkennung und Nutzungsoptimierung. Diese Muster-Analyse unterstützt sowohl Sicherheitsüberwachung als auch Benutzererfahrungsverbesserung.
Compliance-Berichte für Benutzerverwaltung generieren automatisierte Berichte für regulatorische Audit-Unterstützung. Diese Compliance-Automatisierung reduziert manuellen Berichtsaufwand und gewährleistet Audit-Bereitschaft.
Wichtige Compliance-Metriken: - Anzahl aktiver Benutzerkonten - Letzte Anmeldezeiten pro Benutzer - Berechtigungs-Änderungen und Approval-Status - Failed Authentication-Versuche pro Zeitraum - Privilegierte Account-Nutzung und -Zugriffe