tremolosecurity/openunison-k8s-login-saml2

tremolosecurity

Orchestra Login Portal是Kubernetes的SAML2登录门户，支持通过SAML2身份提供商进行身份验证，使用身份提供商的组进行RBAC授权，并集成kubectl和Kubernetes Dashboard，运行在Kubernetes内部，利用其扩展性、密钥管理和部署能力。

下载次数: 0状态：社区镜像维护者：tremolosecurity仓库类型：镜像最近更新：3 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明 · 点击收起说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

Orchestra Login Portal for SAML2

![视频缩略图]([***]

使用SAML2登录Kubernetes并使用kubectl的简短视频

Orchestra Login Portal提供Kubernetes登录门户，允许通过SAML2身份提供商进行身份验证，使用身份提供商的组进行RBAC授权，并集成kubectl和Kubernetes Dashboard（https://github.com/kubernetes/dashboard%EF%BC%89%E3%80%82%E8%AF%A5%E9%97%A8%E6%88%B7%E8%BF%90%E8%A1%8C%E5%9C%A8Kubernetes%E5%86%85%E9%83%A8%EF%BC%8C%E5%88%A9%E7%94%A8Kubernetes%E7%9A%84%E5%8F%AF%E6%89%A9%E5%B1%95%E6%80%A7%E3%80%81%E5%AF%86%E9%92%A5%E7%AE%A1%E7%90%86%E5%92%8C%E9%83%A8%E7%BD%B2%E8%83%BD%E5%8A%9B%E3%80%82

!https://raw.githubusercontent.com/OpenUnison/openunison-k8s-login-saml2/master/imgs/openunison_qs_kubernetes.png

当用户通过Orchestra访问Kubernetes时，他们将通过OpenUnison（而非直接通过入口）访问登录门户和仪表板。OpenUnison会将用户身份注入每个请求，允许仪表板代表用户操作。登录门户除身份提供商和Kubernetes外无外部依赖，所有会话状态对象均存储为CRD。

部署

开始前准备

部署Orchestra前需要：

Kubernetes 1.10或更高版本
已部署Nginx Ingress Controller（https://kubernetes.github.io/ingress-nginx/deploy/%EF%BC%89
SAML2身份提供商的元数据（URL或元数据本身）
已部署Kubernetes仪表板到集群
helm 3.0+

部署流程分为四个步骤：

添加Tremolo Security的Helm仓库
部署OpenUnison Operator
为Active Directory密码创建密钥
部署OpenUnison

添加Tremolo Security的Helm仓库

bash
helm repo add tremolo https://nexus.tremolo.io/repository/helm/
helm repo update

部署OpenUnison Operator

创建命名空间

bash
kubectl create ns openunison

部署Operator

bash
helm install openunison tremolo/openunison-operator --namespace openunison

等待Operator Pod可用

bash
watch kubectl get pods -n openunison

为OpenUnison创建密钥

在openunison命名空间中创建密钥：

yaml
apiVersion: v1
type: Opaque
metadata:
  name: orchestra-secrets-source
  namespace: openunison
data:
  K8S_DB_SECRET: aW0gYSBzZWNyZXQ=
  unisonKeystorePassword: aW0gYSBzZWNyZXQ=
kind: Secret

属性	描述
unisonKeystorePassword	OpenUnison密钥库密码，不应包含&符号
K8S_DB_SECRET	用于保护与仪表板SSO过程的随机字符串，应长且随机，不含&符号

部署OpenUnison

复制values.yaml（https://raw.githubusercontent.com/OpenUnison/helm-charts/master/openunison-k8s-login-saml2/values.yaml%EF%BC%89%E5%B9%B6%E9%80%82%E5%BD%93%E6%9B%B4%E6%96%B0%EF%BC%9A

属性	描述
network.openunison_host	OpenUnison的主机名，用户将在浏览器中输入此地址登录Kubernetes
network.dashboard_host	仪表板的主机名，用户通过此地址访问仪表板。注意：`network.openunison_host`和`network.dashboard_host`必须指向OpenUnison
network.api_server_host	API服务器反向代理的主机名，`kubectl`通过此地址访问集群
network.k8s_url	Kubernetes API服务器的URL
network.session_inactivity_timeout_seconds	会话无活动终止前的秒数，也是刷新令牌的会话长度
network.ingress_type	要创建的`Ingress`对象类型，目前仅支持`nginx`
network.ingress_annotations	添加到`Ingress`对象的注解
cert_template.ou	前端证书的`OU`属性
cert_template.o	前端证书的`O`属性
cert_template.l	前端证书的`L`属性
cert_template.st	前端证书的`ST`属性
cert_template.c	前端证书的`C`属性
certs.use_k8s_cm	告诉部署系统是否使用k8s内置证书管理器。如果发行版不支持（如Canonical和Rancher），设为false
myvd_config_path	MyVD配置文件路径，除非自定义，否则使用`WEB-INF/myvd.conf`
dashboard.namespace	仪表板命名空间。1.x仪表板为`kube-system`，2.x为`kubernetes-dashboard`
dashboard.cert_name	仪表板命名空间中存储仪表板证书的密钥名称
dashboard.label	仪表板Pod的标签，用于生成新证书后删除Pod
dashboard.service_name	仪表板服务对象的名称
k8s_cluster_name	`./kube-config`中使用的集群名称，默认为`kubernetes`
image	使用的镜像名称
enable_impersonation	若为`true`，OpenUnison将以模拟模式运行。不通过OIDC与Kubernetes集成，而是作为反向代理模拟用户。适用于无法使用OIDC的云部署
monitoring.prometheus_service_account	授权访问/monitoring端点的Prometheus服务账户
saml.idp_url	身份提供商SAML2元数据的URL。若不使用元数据URL，设为空字符串`""`
saml.metadata_xml_b64	Base64编码的元数据。仅当`idp_url`为空字符串时使用
network_policies.enabled	若为`true`，创建拒绝所有网络策略和基于以下配置的附加策略
network_policies.ingress.enabled	若为`true`，创建允许来自`labels`标识的命名空间访问的策略
network_policies.ingress.labels	托管Ingress的命名空间标签
network_policies.monitoring.enabled	若为`true`，创建允许来自`labels`标识的命名空间访问以支持监控的策略
network_policies.monitoring.labels	托管监控的命名空间标签
network_policies.apiserver.enabled	若为`true`，创建允许来自`labels`标识的`kube-ns`命名空间访问的策略
network_policies.apiserver.labels	托管API服务器的命名空间标签
services.enable_tokenrequest	若为`true`，OpenUnison部署将使用`TokenRequest` API而非静态服务账户令牌。* 1.0.21版本后可用 *
services.token_request_audience	API服务器期望的受众 * 1.0.21版本后可用 *
services.token_request_expiration_seconds	TokenRequest令牌的有效秒数，最小600秒 * 1.0.21版本后可用 *
services.node_selectors	选择运行OpenUnison节点的注解，映射到部署的`nodeSelector`
services.pullSecret	存储拉取OpenUnison镜像的密钥名称
services.resources.requests.memory	OpenUnison请求的内存
services.resources.requests.cpu	OpenUnison请求的CPU
services.resources.limits.memory	分配给OpenUnison的最大内存
services.resources.limits.cpu	分配给OpenUnison的最大CPU
openunison.replicas	运行的OpenUnison副本数，默认为1
openunison.non_secret_data	添加额外的非密钥配置选项，添加到`OpenUnison`对象的`non_secret_data`部分
openunison.secrets	从`orchestra-secrets-source`密钥添加额外的键

此外，如果SAML2身份提供商的证书链使用自签名证书，需将其Base64编码的PEM证书添加到trusted_certs的pem_b64值下。这将允许OpenUnison使用TLS与身份提供商通信以检索元数据。

最后，运行helm chart：

bash
helm install orchestra tremolo/openunison-k8s-login-saml2 --namespace openunison -f /path/to/values.yaml

与身份提供商完成集成

Orchestra的元数据发布在OU_HOST配置选项下的/auth/forms/saml2_rp_metadata.jsp。例如，若OU_HOST为k8sou.tremolo.lan，则元数据URL为https://k8sou.tremolo.lan/auth/forms/saml2_rp_metadata.jsp。将其导入身份提供商，并向断言添加以下属性，以便OpenUnison识别登录用户：

属性名称	Active Directory属性	描述
uid	samAccountName	用户登录ID
givenName	givenName	用户名字
sn	sn	用户姓氏
mail	mail	用户***地址
memberOf	memberOf	用户组列表

如果使用Active Directory Federation Services，可使用以下声明转换规则：

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "uid", "givenName", "sn", "mail","memberOf"), query = ";sAMAccountName,sAMAccountName,givenName,sn,mail,memberOf;{0}", param = c.Value);

导入元数据并添加属性后，即可登录Orchestra。

与Kubernetes完成SSO集成

如果使用模拟模式，可跳过此步骤。运行kubectl describe configmap api-server-config -n openunison获取SSO集成工件。输出将提供需要在API服务器上配置的标志。需要信任的证书位于openunison命名空间的ou-tls-certificate密钥中。

首次登录

要登录，打开浏览器并访问在input.props中指定的OU_HOST主机。例如，若OU_HOST为k8sou.tremolo.lan，则导航至[***] Directory用户名和密码。身份验证后，可登录门户并从“Tokens”屏幕生成.kube/config。

通过RBAC授权访问

首次登录时，若未授权访问任何Kubernetes角色，则无法执行任何操作。有两种授权方法：

基于组的成员资格

如果身份提供商可以将组名填充到断言的memberOf属性中，可通过OpenUnison使用这些组进行授权。OpenUnison将通过提供给Kubernetes的id_token提供用户的所有组。groups声明是值列表，此处为用户组的可分辨名称。例如，在AD中创建名为k8s_login_ckuster_admins的组，位于ent2k12.domain.com域的Users容器中，组的可分辨名称为CN=k8s_login_ckuster_admins,CN=Users,DC=ent2k12,DC=domain,DC=com（可从AD中组的distinguishedName属性获取确切名称）。要授权此组成员为集群管理员，创建ClusterRoleBinding：

yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: activedirectory-cluster-admins
subjects:
- kind: Group
  name: CN=k8s_login_ckuster_admins,CN=Users,DC=ent2k12,DC=domain,DC=com
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

基于用户的成员资格

如果无法将组填充到memberOf中，可直接将用户添加到角色绑定。Kubernetes要求使用身份提供商URL前缀标识OpenID Connect用户。例如，若OU_HOST为k8sou.tremolo.lan，用户登录名为mmosley，则Kubernetes中的用户名为https://k8sou.tremolo.lan/auth/idp/k8sIdp#mmosley。要创建集群角色绑定授予特定用户集群管理员访问权限：

yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: activedirectory-cluster-admins
subjects:
- kind: User
  name: https://k8sou.tremolo.lan/auth/idp/k8sIdp#mmosley
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

注意：这种方法存在多个问题：

难以审计 - 无法轻松查看“mmosley是哪些角色绑定的成员？”
难以移除访问权限 - 需找出用户所在的每个角色绑定
容易出错 - 若输错用户登录ID，Kubernetes不会提示

如果无法使用Active Directory组，可查看OpenUnison Identity Manager for Kubernetes - https://github.com/TremoloSecurity/openunison-qs-kubernetes/tree/activedirectory%E3%80%82%E8%AF%A5%E5%B7%A5%E5%85%B7%E9%99%A4%E7%99%BB%E5%BD%95%E5%8A%9F%E8%83%BD%E5%A4%96%EF%BC%8C%E8%BF%98%E8%83%BD%E7%AE%A1%E7%90%86%E9%9B%86%E7%BE%A4%E5%92%8C%E5%91%BD%E5%90%8D%E7%A9%BA%E9%97%B4%E8%AE%BF%E9%97%AE%EF%BC%8C%E5%B9%B6%E6%8F%90%E4%BE%9B%E7%94%A8%E6%88%B7%E8%87%AA%E5%8A%A9%E8%AF%B7%E6%B1%82%E6%96%B0%E5%91%BD%E5%90%8D%E7%A9%BA%E9%97%B4%E5%92%8C%E7%AE%A1%E7%90%86%E8%AE%BF%E9%97%AE%E7%9A%84%E6%96%B9%E5%BC%8F%E3%80%82

添加用于身份验证的应用和集群

OpenUnison可支持除Kubernetes和仪表板外的更多SSO应用。通过向openunison命名空间添加自定义资源，可添加支持OpenID Connect的其他集群和应用。

添加信任

Trust告知OpenID Connect应用可信任来自OpenUnison的身份验证请求。开始前需要：

回调URL - OpenUnison在身份验证后重定向用户的URL。
客户端密钥 - Web应用（如GitLab）需要在两者间共享的密钥。具有CLI组件的应用（如ArgoCD）不需要客户端密钥。
客户端ID - 用于向OpenUnison标识应用。

OpenUnison将为应用提供以下声明：

声明	描述
sub	身份验证提供的唯一标识符
name	名字和姓氏的组合
preferred_username	身份验证提供的用户名
email	用户***地址
groups	身份验证源提供的组列表

准备好后，创建Trust对象。

创建密钥

如果应用使用客户端密钥，需创建存储密钥的Secret。可以是新密钥或现有密钥。记录存储密钥的Secret名称和data部分的键名。

如果应用不需要客户端密钥，跳过此步骤。

创建`Trust`

在openunison命名空间中创建Trust对象。以下是GitLab的示例：

yaml
apiVersion: openunison.tremolo.io/v1
kind: Trust
metadata:
  name: gitlab
  namespace: openunison
spec:
  accessTokenSkewMillis: 120000
  accessTokenTimeToLive: 60000
  authChainName: LoginService
  clientId: gitlab
  clientSecret:
    keyName: gitlab
    secretName: orchestra-secrets-source
  codeLastMileKeyName: lastmile-oidc
  codeTokenSkewMilis: 60000
  publicEndpoint: false
  redirectURI:
  - https://gitlab.local.tremolo.dev/users/auth/openid_connect/callback
  signedUserInfo: false
  verifyRedirect: true

各选项说明：

选项	描述
accessTokenSkewMillis	为时钟偏差添加的毫秒数
accessTokenTimeToLive	访问令牌的有效时间（毫秒）
authChainName	用于登录的身份验证链，不要修改
clientId	应用共享的客户端ID
clientSecret.secretName	若使用客户端密钥，存储客户端密钥的`Secret`名称
clientSecret.keyName	`Secret`的`data`部分中存储客户端密钥的键名
codeLastMileKeyName	用于加密代码令牌的密钥名称，不要修改
codeTokenSkewMilis	为代码令牌生命周期添加的毫秒数以解决时钟偏差
publicEndpoint	若为`true`，需要客户端密钥；若为`false`，不需要客户端密钥
redirectURI	授权回调的URL列表。若应用提供的URL不在此列表中，SSO将失败
signedUserInfo	若为`true`，userinfo端点返回签名的JSON Web Token；若为`false`，返回纯JSON
verifyRedirect	若为`true`，客户端提供的重定向URL必须在`redirectURI`列表中。非开发环境应始终设为`true`

将Trust添加到命名空间后，OpenUnison将自动获取。可通过尝试登录应用进行测试。

在门户添加“徽章”

登录Orchestra门户时，有令牌和仪表板的徽章。也可动态添加应用徽章。以下是ArgoCD的PortalUrl对象示例：

yaml
apiVersion: openunison.tremolo.io/v1

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 openunison-k8s-login-saml2 镜像标签

docker pull docker.xuanyuan.run/tremolosecurity/openunison-k8s-login-saml2:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull tremolosecurity/openunison-k8s-login-saml2:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Apple Container

macOS 原生容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

Unraid

Unraid NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

版本功能对比

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"