背景
因此,在从一团糟到微服务的过程中,我们决定沿着Google Cloud上的k8s路线(已经是WIN)行事(同样),并且我们正在寻找身份验证和授权解决方案。
因此,我们正在考虑使用Istio,这又一次使RBAC元素看起来像WIN,并将允许我们将授权以及其他优点保留在应用程序之外。
然后,云IAP。亲爱的,我们不需要关心身份验证,只需通过Cloud IAM授予用户(所有已经拥有g-suite帐户)的访问权限即可。
问题
我们如何为用户管理和注入身份验证数据?通过IAP,我们可以授予对项目的访问权限,并通过JWT呈现数据(到目前为止是完美的),但是我们无法添加自定义应用程序权限。
我们希望能够对端点使用细化权限,并通过组/角色来授予这些权限。
经过大量搜索,我找不到任何解决方案,这似乎是一个超常规的要求。我错过了什么吗(我看错了吗?)。
答案 0 :(得分:1)
我可以想到几种解决方案:
Istio(就像您提到的那样)。哪个支持:
Consul和Kubernetes,并结合使用ACLs和ACL令牌。令牌也可以由Vault管理。在撰写本文时,它尚未与OpenID或Oauth2提供程序集成。领事将帮助您通过ACLs