Authelia与Kasm Workspaces的OpenID Connect集成指南

Authelia与Kasm Workspaces的OpenID Connect集成指南

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia

前言

在现代企业IT环境中，安全认证与访问控制是至关重要的环节。本文将详细介绍如何将Authelia这一开源的认证授权系统与Kasm Workspaces虚拟化平台通过OpenID Connect协议进行集成，实现统一身份认证。

基本概念

Authelia简介

Authelia是一个轻量级的开源认证和单点登录(SSO)系统，支持多种认证因素和协议，包括OpenID Connect。它常被用作内部应用的前置认证网关。

Kasm Workspaces简介

Kasm Workspaces是一个基于容器的虚拟化平台，提供远程桌面和应用流式传输功能。通过OpenID Connect集成，可以实现企业级的统一身份认证。

OpenID Connect协议

OpenID Connect是基于OAuth 2.0的身份认证协议，允许客户端应用验证用户身份并获取基本用户信息。

环境准备

版本兼容性

• Authelia v4.38.0
• Kasm Workspaces v1.13.0

建议使用上述版本或更高版本进行集成，以确保功能兼容性。

配置步骤

Authelia端配置

在Authelia的配置文件中添加以下客户端配置：

identity_providers:
  oidc:
    clients:
      - client_id: 'kasm'
        client_name: 'Kasm Workspaces'
        client_secret: '$pbkdf2-sha512$310000$c8p78n7pUMln0jzvd4aK4Q$JNRBzwAo0ek5qKn50cFzzvE9RXV88h1wJn5KGiHrD0YKtZaR/nCb2CJPOsKaPK0hjf.9yHxzQGZziziccp6Yng'
        public: false
        authorization_policy: 'two_factor'
        redirect_uris:
          - 'https://kasm.example.com/api/oidc_callback'
        scopes:
          - 'openid'
          - 'profile'
          - 'groups'
          - 'email'
        userinfo_signed_response_alg: 'none'
        token_endpoint_auth_method: 'client_secret_basic'

关键参数说明：

• client_id和client_secret：用于Kasm Workspaces与Authelia之间的安全通信
• authorization_policy：设置为two_factor要求双因素认证
• scopes：定义了可以请求的用户信息范围
• redirect_uris：必须与Kasm Workspaces的回调URL完全匹配

Kasm Workspaces端配置

通过Web界面配置OpenID Connect集成：

1. 登录Kasm Workspaces管理控制台

2. 导航至"认证"设置

3. 选择"OpenID"选项

4. 填写以下配置项：

   • 自动用户配置：启用后，新用户首次登录会自动创建账户
   • 自动登录：启用后用户无需重复认证
   • 设为默认：将OpenID Connect设为默认登录方式
   • 客户端ID：与Authelia配置中一致的kasm
   • 客户端密钥：与Authelia配置中一致的insecure_secret
   • 授权URL：https://auth.example.com/api/oidc/authorization
   • 令牌URL：https://auth.example.com/api/oidc/token
   • 用户信息URL：https://auth.example.com/api/oidc/userinfo
   • 作用域：每行一个，包括openid、profile、groups和email
   • 用户标识符：设置为preferred_username

安全建议

1. 客户端密钥：生产环境中不应使用示例中的insecure_secret，应生成强随机密钥
2. HTTPS：所有通信必须通过HTTPS进行
3. 作用域最小化：仅请求必要的作用域
4. 定期审计：定期检查认证日志和用户权限

故障排查

如果集成后遇到问题，可检查以下方面：

1. 网络连通性：确保Kasm Workspaces可以访问Authelia的所有端点
2. 时间同步：服务器间时间差不应超过1分钟
3. URL匹配：回调URL必须完全匹配，包括协议(https)和路径
4. 日志检查：查看Authelia和Kasm的日志获取详细错误信息

结语

通过上述配置，企业可以实现Kasm Workspaces与Authelia的安全集成，利用Authelia提供的强大认证功能保护Kasm资源。这种集成不仅提高了安全性，还简化了用户管理，是企业IT基础设施现代化的理想选择。

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia