OIDC-Login

2 Minuten Lesezeit

Das PSKE-Dashboard und die Gardener API unterstützen die Anmeldung per OIDC mit Zwei-Faktor-Authentifizierung (2FA). Der Zugang wird pro Projekt gewährt und muss einmalig über einen Service Request beantragt werden.

Voraussetzungen

2FA im Kundenportal einrichten — eine aktive 2FA ist Voraussetzung für die OIDC-Anmeldung.
Zugang beantragen — per Service Request eine Liste der Benutzer einreichen, die Zugriff auf das PSKE-Projekt erhalten sollen. Das PSKE-Team richtet die entsprechenden Berechtigungen ein und bestätigt die Fertigstellung.

Jeder Benutzer muss im Kundenportal registriert sein und dem jeweiligen PSKE-Projekt hinzugefügt werden, bevor ein OIDC-Login möglich ist.

Anmeldung am Dashboard

Im PSKE-Dashboard den Reiter OIDC auswählen und auf Login klicken.
Im PlusIDM-Login PS-IDM auswählen.
Mit den bekannten Zugangsdaten (E-Mail + 2FA) anmelden.

kubectl-Zugriff auf die Gardener API

Der OIDC-Login ermöglicht den Zugriff auf die Gardener API (Verwaltung von Projekten und Shoots). Zugriff auf einzelne Shoot-Cluster erfordert eine separate Kubeconfig des jeweiligen Clusters.

kubectl krew install oidc-login

Installationsanleitung: https://github.com/int128/kubelogin

Kubeconfig vorbereiten

Im PSKE-Dashboard unter Members die Kubeconfig des eigenen Benutzers herunterladen.
In der heruntergeladenen Kubeconfig den Abschnitt users durch folgende Konfiguration ersetzen:

users:
- name: oidc
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1
      args:
      - oidc-login
      - get-token
      - --oidc-issuer-url=https://identity.prod.gardener.get-cloud.io
      - --oidc-client-id=kube-kubectl
      - --oidc-extra-scope=email
      - --oidc-extra-scope=profile
      - --oidc-extra-scope=groups
      command: kubectl
      env: null
      interactiveMode: Never
      provideClusterInfo: false

Den Context-Eintrag so anpassen, dass er auf den neuen User oidc verweist.

Beim ersten kubectl-Aufruf öffnet sich automatisch ein Browser-Fenster für die Anmeldung.

Token-Gültigkeit

Token	Gültigkeit
ID Token	24 Stunden
Access Token	24 Stunden
Refresh Token	24 Stunden

Nach Ablauf ist eine erneute Anmeldung erforderlich.

Konto gesperrt?

Wird ein Benutzer deaktiviert, sind neue Anmeldungen sofort nicht mehr möglich. Bereits ausgestellte Tokens bleiben bis zu ihrem regulären Ablauf gültig — spätestens nach 24 Stunden ist der Zugriff vollständig beendet.

Zuletzt geändert 20.04.2026: Resturcturing and enhancing the PSKE documentation. (ca65914)