介绍
平台支持所有用户的身份认证和登录验证。
目录
用户来源
本地用户
- 平台部署时创建的管理员账号
- 通过平台界面创建的账号
- 通过本地 dex 配置文件添加的用户
第三方用户
LDAP 用户
- 从 LDAP 服务器同步的企业用户
- 通过 IDP(Identity Provider)集成导入的账号
- 来源显示为 IDP 配置名称
- 集成通过 IDP 设置进行配置
OIDC 用户
- 通过 OIDC 协议认证的第三方平台用户
- 来源显示为 IDP 配置名称
- 集成通过 IDP 设置进行配置
WARNING
对于首次登录前已添加到项目的 OIDC 用户:
- 来源显示为 "-",直到成功登录平台
- 成功登录后,来源变更为 IDP 配置名称
其他第三方用户
- 通过支持的 dex 连接器(如 GitHub、Microsoft)认证的用户
- 更多信息请参阅 dex 官方文档
用户管理规则
WARNING
请注意以下重要规则:
- 本地用户名在所有用户类型中必须唯一
- 第三方用户(OIDC/LDAP)若用户名匹配,则自动关联
- 关联用户继承已有账号的权限
- 用户可通过各自来源登录
- 平台中每个用户名仅显示一条用户记录
- 用户来源由最近一次登录方式决定
角色分配视图
每个用户详情页现在包含两个专用标签页,用于角色的查看和维护:
- Platform Roles(只读):列出绑定到用户的系统提供的 platform/project/namespace 角色。此类角色在 UI 中不可编辑或复制,但可根据需要解绑。
- Kubernetes Roles:显示所有引用该用户的 RoleBinding/ClusterRoleBinding 对象(跨集群)。管理员可在此创建或删除绑定,以授予原生 Kubernetes 权限。
默认访问模板请使用 Platform Roles 标签页,需通过原生角色进行细粒度控制时请使用 Kubernetes Roles 标签页。
用户生命周期
下表描述了平台上不同用户状态:
| 状态 | 描述 |
|---|---|
| 正常 | 用户账号处于激活状态,可以登录平台 |
| 禁用 | 用户账号处于非激活状态,无法登录。请联系平台管理员激活。 可能原因: - 连续 90 天以上未登录 - 账号过期 - 管理员手动禁用 |
| 锁定 | 由于 24 小时内连续 5 次登录失败,账号被临时锁定。 详情: - 锁定时长:20 分钟 - 可由管理员手动解锁 - 锁定期满后账号自动可用 |
| 无效 | 通过 LDAP 同步的账号已从 LDAP 服务器删除。 注意:无效账号无法登录平台 |