KubeSphere 作为一款强大的开源容器平台，简化了企业的 DevOps 流程，提供自动化运维和多集群管理功能。

TOPIAM 作为一个开源的身份和访问管理平台，提供统一的身份认证、授权管理等服务。

本文将介绍如何在KubeSphere平台中，使用 TOPIAM 进行单点登录（SSO）集成，帮助用户实现集中式身份管理，提高工作效率。

关于 KubeSphere

KubeSphere 是在 K8s 之上构建的开源容器平台，提供全栈的 IT 自动化运维的能力，简化企业的 DevOps 工作流。

KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能，包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能，帮助企业快速构建一个强大和功能丰富的容器云平台。

KubeSphere 支持多种协议，TOPIAM 都可以很好的与其进行集成，本篇文章 TOPIAM 使用OIDC协议与其对接。

操作步骤

新建OIDC协议应用

配置应用基础信息

1. 完善应用基本信息，如应用图标、应用分组等

2. 授权范围：改为全员可访问，手动授权请参考应用授权进行配置。

默认情况下，授权范围设定为“手动授权”，这需要前往“访问授权”进行具体的权限分配；如果选择“全员可访问”，那么便无需再进行访问授权的分配。

协议配置

1. 配置登录 Redirect URI，默认为：https://{KubeSphere domain}/oauth/redirect/{提供商名称} 。

KubeSphere 侧配置

1. 以具有 platform-admin 角色的用户登录 KubeSphere Web 控制台。

2. 点击“企业空间管理”，选择“KubeSphere-system”项目。

3. 在进入项目后，请依次选择“保密字典”菜单项，随后点击“创建”按钮以新建字典。

4. 请单击弹窗右上角的“编辑YAML”按钮以进入 K8s 脚本配置界面，并将以下示例粘贴至相应位置。
   

测试验证

应用侧发起

1. 打开 KubeSphere 登录页，单击上方“通过 TOPIAM 登录”按钮。

2. 完成账户认证后，将直接跳转到 KubeSphere 主页。
   

门户侧发起

1. 进入门户中心之后，请在我的应用中点击您已创建的应用。
   

2. 点击应用后，跳转到 KubeSphere 首页。
   

关于 TOPIAM

TOPIAM（Top Identity and Access Management），是一款开源的（IAM）身份管理与访问控制系统，TOPIAM 支持 OIDC、OAuth2、SAML2、JWT、CAS 等主流认证协议，并能够集成钉钉、企业微信、飞书、LDAP、AD 等多种身份源， 支持用户名密码、短信/邮箱验证码等常规认证方式，并能集成钉钉、飞书、微信、企业微信、QQ 等社交平台登录，通过 TOPIAM，企业和团队能够快速实现统一的内外部身份认证，并集成各类应用，实现“一个账号、一次认证、多点通行”的效果，强化企业安全体系，提高组织管理效率，提升用户体验，助力企业数字化升级转型。

本文由博客一文多发平台 OpenWrite 发布！