OIDC issuer discovery for Kubernetes service accounts

Kubernetes Pods で実行されているアプリケーションは、対応する ServiceAccount トークンで Kubernetes API に対して認証されます。これらの JWT トークンは通常、ファイルとしてコンテナにマウントされます。JWT トークンは Kubernetes クラスタのシークレットキーで署名されており、TokenReview API でのみ検証することができます。このAPIは広く認知されておらず、アクセスするためには、外部システムが最初にKubernetesに対して認証を行い、ServiceAccountsをレビューする必要があります。このコンフィグレーションとアクセスレビューのプロセスは必要以上にかなり複雑で、OIDCのような広く受け入れられている標準を省いていることは言うまでもありません。

KubernetesにはすでにOIDCのインテグレーション、つまりKubernetes APIに対するユーザーのインバウンド認証があります。このブログ記事で紹介している新しいインテグレーションは、OIDCを逆方向に配線しています。Service Account Issuer…