Authelia与Uptime Kuma的OpenID Connect集成指南

Authelia与Uptime Kuma的OpenID Connect集成指南

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia

前言

在现代IT基础设施监控中，Uptime Kuma作为一款轻量级的开源监控工具，能够有效监控各类服务的可用性。而Authelia作为身份认证和访问控制解决方案，可以为这些监控请求提供安全的身份验证机制。本文将详细介绍如何通过OpenID Connect协议将Uptime Kuma与Authelia集成，实现基于OAuth 2.0客户端凭证流的认证监控。

技术背景

OpenID Connect与OAuth 2.0

OpenID Connect是基于OAuth 2.0协议的身份认证层，它允许客户端应用验证终端用户的身份，并获取基本的用户信息。在本集成方案中，我们主要使用OAuth 2.0的客户端凭证流(Client Credentials Flow)，这种流特别适合服务器到服务器的认证场景。

Authelia的角色

Authelia在此集成中扮演OpenID Connect提供者(OIDC Provider)的角色，负责：

1. 验证Uptime Kuma的客户端身份
2. 颁发访问令牌(Access Token)
3. 提供令牌验证端点

Uptime Kuma的角色

Uptime Kuma作为客户端应用，将：

1. 使用客户端凭证从Authelia获取访问令牌
2. 使用该令牌访问受保护的监控目标

环境准备

在开始配置前，请确保满足以下条件：

1. Authelia已正确安装并配置了OpenID Connect功能
2. Uptime Kuma已安装并可正常运行
3. 网络连接允许Uptime Kuma访问Authelia的OIDC端点

详细配置步骤

Authelia配置

在Authelia的配置文件中，需要添加针对Uptime Kuma的客户端配置。以下是关键配置项说明：

server:
  endpoints:
    authz:
      endpoint_name:
        implementation: ''  # 需根据实际代理类型填写
        authn_strategies:
          - name: 'HeaderAuthorization'
            schemes:
              - 'Basic'
              - 'Bearer'
          - name: 'CookieSession'

此配置启用了基于头部授权的认证策略，允许通过Authorization头携带Bearer令牌进行认证。

identity_providers:
  oidc:
    clients:
      - client_id: 'uptime-kuma'
        client_name: 'Uptime Kuma'
        client_secret: '$pbkdf2-sha512$310000$c8p78n7pUMln0jzvd4aK4Q$JNRBzwAo0ek5qKn50cFzzvE9RXV88h1wJn5KGiHrD0YKtZaR/nCb2CJPOsKaPK0hjf.9yHxzQGZziziccp6Yng'
        public: false
        scopes:
          - 'authelia.bearer.authz'
        audience:
          - 'https://application.example.com/'
        grant_types:
          - 'client_credentials'
        requested_audience_mode: 'implicit'
        userinfo_signed_response_alg: 'none'
        token_endpoint_auth_method: 'client_secret_basic'

关键参数说明：

• client_id和client_secret：Uptime Kuma使用的认证凭证
• scopes：定义了客户端可以请求的权限范围
• audience：指定了受保护的资源URL
• requested_audience_mode: 'implicit'：自动授予客户端所有允许的audience

Uptime Kuma配置

在Uptime Kuma的Web界面中配置监控项时，需要设置以下参数：

1. 监控类型：选择HTTP(s) Keyword等合适的类型
2. 监控URL：填写受Authelia保护的资源地址
3. 认证方法：选择"OAuth2: Client Credentials"
4. 认证方式：选择"Authorization Header"
5. OAuth Token URL：填写Authelia的令牌端点，如https://auth.example.com/api/oidc/token
6. 客户端ID和密钥：填写Authelia配置中定义的凭证
7. OAuth Scope：填写authelia.bearer.authz

安全注意事项

1. 在生产环境中，务必使用强密码替代示例中的insecure_secret
2. 考虑限制Uptime Kuma客户端的访问权限，仅授予必要的权限
3. 定期轮换客户端密钥
4. 监控令牌的使用情况，及时发现异常行为

常见问题排查

1. 认证失败：检查客户端ID和密钥是否匹配，注意区分大小写
2. 权限不足：确认Authelia的访问控制规则是否正确配置
3. 网络连接问题：确保Uptime Kuma能够访问Authelia的OIDC端点
4. 令牌无效：检查令牌的有效期和签名算法配置

总结

通过本文的配置指南，您已经成功将Uptime Kuma与Authelia集成，实现了基于OpenID Connect的安全监控方案。这种集成不仅提高了监控系统的安全性，还遵循了现代身份认证的最佳实践。在实际部署中，可以根据具体需求调整配置参数，如令牌有效期、权限范围等，以获得最佳的安全性和可用性平衡。

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia