Skip to main content

Auto-login

SKIP støtter automatisk provisjonering av ressurser i en applikasjons Istio-sidecar for å håndtere OAuth 2.0 authorization code flow. Dette gjør det mulig å konfigurere en innloggingsflyt rundt applikasjonen, og selv bestemme når denne flyten skal initieres og håndheves, uten å gjøre endringer inne i selve applikasjonskoden. Når funksjonen er aktivert, vil uautentiserte brukere som forsøker å nå applikasjonen automatisk bli omdirigert til en innloggingsflyt mot en valgt identitetsleverandør. Etter fullført og vellykket autentisering blir brukeren returnert til applikasjonen med gyldig tilgang.

Det er også støtte for å definere eksplisitte login-endepunkt, som kan benyttes til å initiere en innloggingssløyfe manuelt. Dette gir større fleksibilitet i brukeropplevelsen og muliggjør tilpasset integrasjon med frontend-applikasjoner.

Det finnes to måter å konfigurere denne funksjonaliteten på. Den ene er å bruke Ztoperator direkte ved å definere en AuthPolicy-ressurs, som gir full kontroll over autentiserings- og autorisasjonsregler inn mot én eller flere workloads. Alternativt kan man benytte Skiperator via Application-CRD-en. I dette tilfellet vil Skiperator automatisk generere nødvendig AuthPolicy-ressurs bak kulissene, noe som forenkler konfigurasjonen og integreres sømløst med øvrig SKIP-funksjonalitet, som for eksempel klientregistrering.

🚧 UNDER UTVIKLING 🚧
Støtte for å sette opp automatisk innlogging i Istio-sidecar via Skiperator-manifestet er under utvikling og er foreløpig ikke tilgjengelig.

📖 Eksempler

Under følger eksempler på hvordan å konfigurere automatisk innlogging på SKIP.

Eksempel 1 konfigurerer automatisk innlogging for alle beskyttede endepunkt, noe som passer godt for typiske hyllevare-løsninger.

Eksempel 2 konfigurerer automatisk innlogging med en dedikert innloggingssti (loginPath). En kan da konfigurere beskyttede endepunkt under authRules med feltet denyRedirect: true. Ztoperator vil da ikke omdirigere til innlogging og heller returnere 401 Unauthorized hvis en innkommende forespørsel ikke er autentisert. En frontend applikasjon kan da heller omdirigere brukeren til innloggingsstien for å få opprettet en innlogget sesjon. Dette er noe som passer godt for Single Page Applications (SPA).

Eksempel 1: Automatisk innlogging for alle beskyttede endepunkt

🚧 UNDER UTVIKLING 🚧
Støtte for å sette opp automatisk innlogging via Skiperator-manifestet er under utvikling og er foreløpig ikke tilgjengelig.

Eksempel 2: Automatisk innlogging med dedikert innloggingssti (loginPath)

🚧 UNDER UTVIKLING 🚧
Støtte for å sette opp automatisk innlogging via Skiperator-manifestet er under utvikling og er foreløpig ikke tilgjengelig.