Kubeapps集成Azure Active Directory作为OIDC身份提供商的完整指南

于 2025-06-08 09:13:07 发布
阅读量254 收藏 4
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00560/article/details/148507502

Kubeapps集成Azure Active Directory作为OIDC身份提供商的完整指南

kubeapps A web-based UI for deploying and managing applications in Kubernetes clusters kubeapps 项目地址: https://gitcode.com/gh_mirrors/ku/kubeapps

前言

在现代Kubernetes环境中,身份认证和授权是至关重要的安全环节。本文将详细介绍如何在Kubeapps中配置Azure Active Directory(Azure AD)作为OpenID Connect(OIDC)身份提供商,实现安全的单点登录体验。

准备工作

在开始配置前,请确保您已具备以下条件:

  1. 已部署Kubeapps应用
  2. 拥有Azure AD管理员权限
  3. 使用AKS管理的Azure AD集成(不兼容旧版AAD)
  4. 准备使用v2版本的令牌(v1版本需要特殊处理)

AKS管理的Azure AD集成配置

第一步:验证AKS管理的Azure AD状态

首先确认您的AKS集群已启用"AKS-managed Azure Active Directory"功能。这是后续配置的基础前提。

第二步:注册应用程序

  1. 在Azure门户中导航至"应用注册"
  2. 点击"新注册"
  3. 填写应用名称(任意名称均可)
  4. 设置重定向URI为:https://<您的Kubeapps域名>/oauth2/callback
    • 注意必须使用HTTPS协议
    • 域名需替换为实际的Kubeapps访问地址

第三步:获取关键信息

应用创建完成后,在"概述"页面记录以下信息:

  • 应用程序(客户端)ID
  • 目录(租户)ID

这些值将在后续Kubeapps配置中使用。

第四步:创建客户端密钥

  1. 导航至"证书和密码"
  2. 创建新的客户端密钥
  3. 设置描述和有效期
  4. 记录生成的密钥值(仅在创建时显示)

第五步:配置API权限

  1. 进入"API权限"
  2. 添加新权限
  3. 在"组织使用的API"中输入固定值:6dae42f8-4368-4678-94ff-3960e28e3630
    • 这是Azure Kubernetes服务AAD服务器的全局应用ID
  4. 选择"user.read"权限并添加

第六步:修改令牌版本

  1. 进入"清单"编辑器
  2. accessTokenAcceptedVersion从null改为2
    • 这将确保应用生成v2版本的令牌

Kubeapps配置

完成上述Azure AD配置后,您需要修改Kubeapps的values.yaml文件:

frontend:
  proxypassAccessTokenAsBearer: true # 必须设置,以传递access_token而非id_token
authProxy:
  enabled: true
  provider: oidc
  clientID: <您的应用程序ID>
  clientSecret: <您的客户端密钥>
  cookieSecret: <您的cookie密钥> # 可使用openssl生成
  extraFlags:
    - --oidc-issuer-url=https://login.microsoftonline.com/<您的租户ID>/v2.0
    - --scope=openid email 6dae42f8-4368-4678-94ff-3960e28e3630/user.read

关键配置说明:

  1. oidc-issuer-url必须使用v2.0端点
  2. scope参数必须包含三个部分:
    • openid:表明使用OIDC协议
    • email:获取用户邮箱信息
    • 6dae42f8-4368-4678-94ff-3960e28e3630/user.read:访问AKS所需的特殊权限

常见问题排查

错误500:无法获取"groups"声明

如果遇到此错误,可能是oauth2-proxy v7.3.0版本的问题。解决方案是降级到v7.2.1:

authProxy:
  image:
    registry: docker.io
    repository: bitnami/oauth2-proxy
    tag: 7.2.1

反向代理缓冲区问题

如果使用nginx等反向代理,可能需要增加proxy_buffer_size,因为Azure的会话存储可能超出默认缓冲区大小。

安全建议

  1. 定期轮换客户端密钥
  2. 为密钥设置合理的有效期
  3. 仅授予必要的最小权限
  4. 在生产环境使用HTTPS
  5. 保护cookieSecret的安全

总结

通过本文的详细步骤,您已成功将Azure AD配置为Kubeapps的OIDC身份提供商。这种集成不仅提高了安全性,还为用户提供了便捷的单点登录体验。在实际部署中,建议先进行测试验证,确保所有配置按预期工作后再投入生产环境。

kubeapps A web-based UI for deploying and managing applications in Kubernetes clusters kubeapps 项目地址: https://gitcode.com/gh_mirrors/ku/kubeapps

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Chainlit web UI的三种用户访问验证详解
洛阳泰山的博客
08-25 2127
Chainlit应用程序默认为公开。要启用身份验证并将您的应用程序设为私有,您需要:定义一个环境变量。这是一个用于签署身份验证令牌的秘密字符串。您可以随时更改它,但它会注销所有用户。您可以使用 轻松生成一个。使用登录名/密码验证用户。使用您自己的OAuth应用程序(如Google等)对用户进行身份验证。根据自定义标头对用户进行身份验证。每个回调接受不同的输入并可选地返回一个cl.User对象。如果回调返回None,则认为身份验证失败。确保每个用户都有一个唯一的标识符,以防止他们共享其数据。
Kubeapps项目中使用OIDC提供商完整指南
gitblog_00680的博客
06-08 261
Kubeapps项目中使用OIDC提供商完整指南 kubeapps A web-based UI for deploying and managing applications in Kubernetes clusters 项目...
Azure: Azure AD(For Development)的使用
wucong60的专栏
09-30 1万+
简介 注册一个Web应用程序 1.概述:显示应用程序的app Id 2.身份验证:显示了重定的URL 3.证书和密码:生成一个client secret, 以便你可以使用client credential和authrization code的方式获取token4.API权限:给当前的应用程序赋予权限,如下图,当前APP有访问Mircrosoft Graph(它让用户可以...
OIDC(OpenId Connect)身份认证
热门推荐
Liyiming
06-23 4万+
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on th...
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
dotNET跨平台
06-02 1560
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on
身份认证、访问控制技术、SSO单点登录技术、特权访问管理、身份治理与管理——数据安全守护者
项目git同名小胡说技书
05-04 1680
身份认证、访问控制技术、SSO单点登录技术、特权访问管理、身份治理与管理
美国国防部实施零信任模型的方法指南 支柱1用户 身份联邦和用户认证(Identity Federation and User Credentialing)
nick_zlg的专栏
01-13 1487
美国国防部实施零信任模型的方法指南 支柱1用户 身份联邦和用户认证(Identity Federation and User Credentialing)
ASP.NET Core认证机制详解与实践
weixin_34268462的博客
05-17 333
本文深入探讨ASP.NET Core中的SignInManager服务以及用户认证过程。详细解析了用户登录时的身份验证机制,包括密码哈希存储、ClaimsPrincipal的创建、cookie的序列化与存储。同时,文章还讨论了用户身份在多个请求间的持续性以及如何在应用程序中维持用户身份。此外,文章介绍了ASP.NET Core Identity系统,以及它如何帮助开发者简化用户管理,包括用户注册、登录、多因素认证等。最后,文章提供了关于使用第三方身份提供商和自定义用户界面的建议。
[认证 & 授权] 4. OIDC(OpenId Connect)身份认证(核心部分)
weixin_30790841的博客
05-30 168
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
Angular与Azure AD B2C构建的身份管理系统示例
综上所述,该示例应用程序是一个Angular前端单页应用,它演示了如何集成Azure AD B2C作为身份提供商,并利用ANGULAR-AUTH-OIDC-CLIENT库实现基于OpenID Connect协议的身份认证。开发者可以下载或克隆这个示例应用的...
Microsoft身份验证库(MSAL):iOS/macOS的权威解决方案
资源摘要信息:"Microsoft Authentication Library for Objective-C(MSAL for Objective-C)是一个开源的身份验证库,专为iOS和macOS设计,用于在应用中集成Microsoft的云计算服务,如Azure Active DirectoryAzure...
用MSAL.js实现JavaScript应用的Microsoft身份平台认证教程
6. **天蓝色活动目录(Azure Active Directory, Azure AD)**: - 是云基础的身份和访问管理服务,用于统一管理身份和访问,为企业提供包括用户身份管理、应用程序访问管理、条件性访问控制等功能。 7. **天蓝色...
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
06-23
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
06-23
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
《UPBGE:Blender最佳集成游戏引擎的持续更新》
06-23
资源下载链接为: https://pan.quark.cn/s/ab6ed9424307 UPBGE(Uchronia项目Blender Game Engine)是Blender的一个分支版本,由Blender Game Engine的开发人员Porteries Tristan及其一些朋友于2015年9月创建。它是一个独立的分支,旨在对现有的Blender Game Engine(BGE)代码进行清理和优化,尝试引入新功能,并实现那些目前存在但尚未与Blender官方主线合并的被遗忘的功能。在Blender Foundation决定从2.8版本开始移除BGE之后,UPBGE实际上成为了唯一继续进行Game Engine开发的项目。这使得UPBGE在开发过程中拥有更大的自由度,因为它不会与Blender的正式版本产生冲突。UPBGE的开发周期为4个月,其中3个月用于添加新功能和重构代码,1个月用于修复错误,之后会发布一个新版本,每年大约有3到4个版本可供下载。
课程设计-jsp2120车间信息管理系统ssh-qkr.zip
06-23
课程设计 源代码数据库配套报告教程
《2012年HGT21581自控系统安装工程图册》
最新发布
06-23
资源下载链接为: https://pan.quark.cn/s/27aaeeaf622d 《HGT 21581-2012 自控安装图册》是一本用于指导自动化控制系统安装的图册。它详细展示了自动化设备在安装过程中的布局、布线、连接以及调试等环节的具体要求和操作方法。图册通过清晰的图纸和详细的标注,为安装人员提供了直观的参考,帮助他们准确地完成自动化控制系统的安装任务。
课程设计-jsp1973图书管理系统oracle-qlkrp.zip
06-23
课程设计 源代码数据库配套文档教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张栋涓Kerwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值