DefectDojo项目SSO配置指南：OAuth与SAML集成详解

DefectDojo项目SSO配置指南：OAuth与SAML集成详解

django-DefectDojo ASPM, DevSecOps, Vulnerability Management. All on one platform. 项目地址: https://gitcode.com/gh_mirrors/dj/django-DefectDojo

前言

在现代应用安全领域，DefectDojo作为一款开源的缺陷管理平台，提供了完善的单点登录(SSO)集成能力。本文将全面解析如何在DefectDojo中配置各类SSO认证方式，包括OAuth和SAML协议，帮助安全团队实现统一身份认证管理。

SSO基础概念

单点登录(Single Sign-On)是一种身份验证方案，允许用户使用一组凭证访问多个相关但独立的软件系统。DefectDojo支持以下主流SSO协议：

1. OAuth 2.0：开放授权标准，支持Google、GitLab等常见提供商
2. SAML 2.0：企业级身份验证协议，适合与内部IdP集成

配置前准备

权限要求

• 必须使用DefectDojo超级管理员账户
• 需要提前获取各SSO提供商的API凭证

环境区分

DefectDojo提供两种部署模式，配置方式有所不同：

1. 专业版(Pro)：通过Web界面配置
2. 开源版(Open-Source)：需修改配置文件或环境变量

禁用传统登录方式

为增强安全性，可禁用用户名/密码登录：

专业版：

1. 进入"企业设置 > 登录设置"
2. 取消勾选"允许通过用户名和密码登录"

开源版：

# 在Docker环境变量中设置
DD_SOCIAL_LOGIN_AUTO_REDIRECT: "true"
DD_SOCIAL_AUTH_SHOW_LOGIN_FORM: "false"

⚠️ 紧急回退：SSO故障时，可通过在URL后添加/login?force_login_form强制显示传统登录表单。

主流OAuth提供商配置

1. Auth0集成

配置步骤：

1. 在Auth0控制台创建"单页Web应用"
2. 设置回调URL：https://[your-domain]/complete/auth0/
3. 记录Domain、Client ID和Client Secret

专业版配置：

• 在"OAuth设置"页面填写Auth0凭证
• 启用"Auth0 OAuth"选项

开源版配置：

DD_SOCIAL_AUTH_AUTH0_OAUTH2_ENABLED=True
DD_SOCIAL_AUTH_AUTH0_KEY='your_client_id'
DD_SOCIAL_AUTH_AUTH0_SECRET='your_client_secret'
DD_SOCIAL_AUTH_AUTH0_DOMAIN='your_auth0_domain'

2. Azure AD集成

特殊功能：支持自动同步Azure AD用户组到DefectDojo，实现基于组的权限管理。

配置要点：

1. 注册应用时需配置API权限Group.Read.All
2. 令牌配置需包含组声明(Group Claims)
3. 可使用正则表达式过滤特定组

专业版组同步：

• 启用"Azure AD OAuth分组"选项
• 设置组过滤规则（如^team-.*）
• 可选启用组清理功能

3. GitHub Enterprise集成

注意事项：

• 需同时配置GitHub URL和API URL
• 回调URL格式：https://[host]:[port]/complete/github-enterprise/

开源版配置示例：

DD_SOCIAL_AUTH_GITHUB_ENTERPRISE_KEY='client_id'
DD_SOCIAL_AUTH_GITHUB_ENTERPRISE_SECRET='client_secret'
DD_SOCIAL_AUTH_GITHUB_ENTERPRISE_URL='https://github.your-company.com/'
DD_SOCIAL_AUTH_GITHUB_ENTERPRISE_API_URL='https://github.your-company.com/api/v3/'

4. GitLab集成

特色功能：

• 可选自动导入GitLab项目作为DefectDojo产品
• 需要额外read_repository权限

配置提示：

DD_SOCIAL_AUTH_GITLAB_PROJECT_AUTO_IMPORT = True  # 启用项目自动导入

5. Google认证

用户匹配：基于Google用户名（@前的部分）匹配现有DefectDojo账户。

安全控制：

• 可设置白名单域名（如your-company.com）
• 或指定允许的邮箱地址列表

最佳实践建议

1. 备份管理员：至少保留一个传统登录方式的管理员账户
2. IP白名单：将SSO服务IP加入DefectDojo防火墙规则
3. 定期测试：建立SSO故障时的应急登录流程
4. 权限审核：定期检查自动创建的用户权限

故障排查

常见问题及解决方法：

1. SSO登录失败：

   • 检查回调URL是否完全匹配
   • 验证API权限是否配置正确
   • 查看DefectDojo日志获取详细错误

2. 组同步异常：

   • 确认令牌中包含组声明
   • 检查Group.Read.All权限是否授予
   • 测试正则过滤器是否过于严格

3. 用户无法匹配：

   • 检查用户名匹配规则
   • 验证白名单设置是否正确

通过本文详细的配置指南，安全团队可以轻松实现DefectDojo与企业身份系统的无缝集成，既提升了安全性，又改善了用户体验。

django-DefectDojo ASPM, DevSecOps, Vulnerability Management. All on one platform. 项目地址: https://gitcode.com/gh_mirrors/dj/django-DefectDojo