Удалёнка: опыт и лайфхаки
Реклама
Комментарии 1
0
По инструкции видно, что автор многое делает наобум (причем, некоторые вещи в ущерб безопасности):
  • Много лишних flow у клиента (хотя, по сути, нужен только standard code flow), и при этом включены ненужные service account и authorization
  • Groups claim зачем-то засовывается в access_token, хотя нужен только в id_token и только для kubectl
  • Без причины юзается общий клиент для kubectl и для gatekeeper-а, что позволяет скомпрометировать всю конфигурацию replay-атакой. Правильнее было бы завести отдельный public client для kubectl с обязательным pkce-s256
  • Костыль c audience mapper можно было сделать просто статическим через Audience mapper без скрипта
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.