1 of 25

Single Sign-On (SSO) je autentizační mechanismus, který umožňuje uživateli přihlásit se jednou a získat přístup k více aplikacím nebo službám bez opakovaného zadávání přihlašovacích údajů.

@ondrejsika

ondrej@sika.io

sika.io

/in/ondrejsika

5 of 25

SSO Integrace v Cloud Native Světě

Kubernetes - OICD
ArgoCD - OIDC
Grafana - OAuth2
Vault - OIDC
VPN (Tailscale, Headscale) - OIDC
Gitlab - Oauth2
oauth2-proxy (pro aplikace, které nepodporují SSO)

6 of 25

Jak Single Sign On funguje

Uživatel se pokusí přistoupit k aplikaci.
Aplikace přesměruje uživatele na SSO provider (např. Keycloak).
Uživatel se přihlásí (např. jméno + heslo, MFA…).
SSO provider vrátí token
Aplikace ověří token → uživatel je přihlášen.
Při přístupu do dalších aplikací už je uživatel automaticky přihlášen

7 of 25

Oauth2 & OpenID Connect (OIDC)

Co je OAuth 2.0?

Standard pro autorizaci – říká, kdo smí k čemu přistupovat.
Umožňuje aplikacím přístup k API jménem uživatele, bez nutnosti znát jeho heslo.
Pracuje s tokeny (access token, refresh token).

Co je OIDC (OpenID Connect)?

Rozšíření OAuth 2.0 pro autentizaci – říká, kdo je přihlášen.
Vrací ID Token s informacemi o uživateli.
Standard pro Single Sign-On (SSO) mezi službami.

8 of 25

Možnosti SSO

Open Source

Keycloak (CNCF)
Dex (CNCF, dexidp.io)

Cloud Provider

Entrea ID (Microsoft)
Google SSO

SaaS

OKTA

9 of 25

Keycloak

Keycloak je open-source nástroj pro správu uživatelů a přihlášení, který podporuje SSO, OAuth2, OpenID Connect a umožňuje snadné zabezpečení aplikací.

10 of 25

Klíčové vlastnosti Keycloaku

Single Sign-On – Jediným přihlášením získáte přístup k více aplikacím
Standardní protokoly – OpenID Connect, OAuth 2.0 a SAML 2.0
Centralizovaná správa – Pro administrátory i uživatele
LDAP a Active Directory – Připojení k existujícím uživatelským adresářům
Identity Brokering – Přes OpenID Connect nebo SAML 2.0 poskytovatele
Vysoký výkon – Lehký, rychlý a škálovatelný
Přizpůsobení vzhledu a chování pomocí themes
GitOps ready - Terraform Provider

11 of 25

Keycloak a Terraform

Pokud chceme ještě zjednodušit správu keycloaku, můžeme jej spravovat pomocí Terraformu a GitOps.

12 of 25

Kubernetes + SSO

13 of 25

Konfigurace API Serveru

--oidc-issuer-url=https://sso.corp.com/realms/corp�--oidc-client-id=kubernetes�--oidc-username-claim=preferred_username�--oidc-groups-claim=groups

14 of 25

Konfigurace RBAC

15 of 25

Install kubelogin / oidc-login

https://github.com/int128/kubelogin

brew install kubelogin

kubectl krew install oidc-login

16 of 25

Kubelogin

17 of 25

Create Kubeconfig

user:� exec:� apiVersion: client.authentication.k8s.io/v1beta1� args:� - oidc-login� - get-token� - --oidc-issuer-url=https://sso.corp.com/realm/corp� - --oidc-client-id=example_client_id� - --oidc-client-secret=example_client_secret� command: kubectl� env: null� interactiveMode: IfAvailable� provideClusterInfo: false