Interoperacyjnosć tożsamości
Platforma jest kompatybilna w zakresie w zakresie udostępnienia lub akceptowania tożsamości z następującymi dostawcami usług chmury obliczeniowej:
- Amazon Web Service
- Microsoft Azure,
- Google Cloud Platform
Udostępnienie tożsamości oznacza, że tożsamość (Konto użytkownika lub Konto usługi) platformy Rootbox może zostać wykorzystywane w ramach kontroli dostępu do zasobów usługodawcy.
Akceptowanie tożsamości oznacza, że tożsamość Platformy usługodawcy może zostać wykorzystana w ramach kontroli dostępu do zasobów działających w Rootbox.
Amazon Web Service
Platforma jest kompatybilna z Amazon Web Service, w zakresie udostępnienia i akceptowania tożsamości.
Udostępnienie tożsamości
Platforma udostępnia mechanizmy niezbędne w celu udostępnienia tożsamości Platformy na potrzeby kontroli dostępu do usług Amazon Web Service. Umożliwia to dostęp do konta Amazon Web Service organizacji z użyciem tożsamości Platformy, w szczególności:
- konta Użytkownika,
- Konta usługi, w szczególności pochodzących z przypisania do instancji wirtualnej maszyny.
W celu udostępnienia tożsamości wymagane jest:
utworzenie w usłudze AWS dostawcy tożsamości OpenID Connect (OIDC) o następujących parametrach:
- adresu dostawcy tożsamości:
https://api.rootbox.com/v2 - audytorium (ang. audience) jako dowolny stały ciąg znaków np.
aws
- adresu dostawcy tożsamości:
utworzenia w usłudze AWS roli, która będzie umożliwiała wykonanie operacji
AssumeRoleWithWebIdentityz wykorzystaniem utworzonego dostawcy tożsamości.
Akceptacja tożsamości
Platforma akceptuje tożsamości pochodzące z Amazon Web Service, w szczególności:
- konta użytkowników,
- role, w szczególności pochodzące z przypisane do instancji Amazon EC2.
Umożliwia to w szczególności:
- szybkie logowanie w ramach CLI za pośrednictwem [CLI="auth aws"],
- dostęp z platformy Amazon Web Service do usług Platformy bez konieczności wymiany haseł lub kluczy API.
Odwzorowanie identyfikatora tożsamości ma postać:
https://sts.amazonaws.com/
gdzie:
- `````` stanowi identyfikator ARN konta użytkownika lub roli np.
arn:aws:iam::248480224423:user/john-smith
Microsoft Azure
Platforma jest kompatybilna z Microsoft Azure, w zakresie akceptowania tożsamości.
Akceptacja tożsamości
Platforma akceptuje tożsamości pochodzące z Microsoft Azure, w szczególności:
- konta użytkowników, w szczególności Microsoft Azure AD i Microsoft Live,
- tożsamości zarządzane przypisanego przez system lub system, w szczególności pochodzących z przypisania do instancji wirtualnej maszyny.
- jednostki usługi (ang. service principal).
Umożliwia to w szczególności:
- szybkie logowanie w ramach Panelu Zarządzania,
- szybkie logowanie w ramach CLI za pośrednictwem [CLI="auth azure"],
- dostęp z platformy Microsoft Azure do usług Platformy bez konieczności wymiany haseł lub kluczy API.
Odwzorowanie identyfikatora tożsamości ma postać:
https://sts.windows.net//
gdzie:
- `````` stanowi identyfikator dzierżawy np.
580afaca-1b16-4cb1-9d3d-00e4eb91164e - `````` stanowi identyfikator obiektu np.
195d1a63-475e-4ca6-9241-b6a82b40476f
Google Cloud Platform
Platforma współpracuje z Google Cloud Platform, w zakresie akceptowania tożsamości.
Akceptacja tożsamości
Platforma akceptuje tożsamości pochodzące z Google, w szczególności:
- konta użytkowników, w szczególności konta osobiste Google i konta GSuite,
- konta usług (ang. service account), w szczególności pochodzących z przypisania do instancji wirtualnej maszyny.
Umożliwia to w szczególności:
- szybkie logowanie w ramach Panelu Zarządzania,
- szybkie logowanie w ramach CLI za pośrednictwem [CLI="auth google"].
- dostęp z platformy Google Cloud Platform do usług Platformy bez konieczności wymiany haseł lub kluczy API.
