Authelia与Wiki.js的OpenID Connect集成指南

Authelia与Wiki.js的OpenID Connect集成指南

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia

前言

在现代企业IT架构中，统一身份认证已成为基础安全设施的重要组成部分。本文将详细介绍如何将Authelia作为OpenID Connect(OIDC)身份提供商与Wiki.js知识管理系统进行集成，实现单点登录(SSO)功能。

环境准备

版本兼容性

• Authelia版本：v4.38.8及以上
• Wiki.js版本：v2.5.301及以上

基础假设

在开始配置前，我们需要明确以下基础信息：

1. Wiki.js应用根URL：https://wiki.example.com/
2. Authelia服务根URL：https://auth.example.com/
3. 客户端ID：wikijs
4. 客户端密钥：insecure_secret（生产环境请使用强密码）

Authelia配置详解

OIDC客户端配置

在Authelia的配置文件configuration.yml中，我们需要添加Wiki.js作为OIDC客户端。以下是关键配置项说明：

identity_providers:
  oidc:
    clients:
      - client_id: 'wikijs'  # 客户端标识符
        client_name: 'Wiki'  # 客户端显示名称
        client_secret: '$pbkdf2-sha512$...'  # 客户端密钥的PBKDF2哈希值
        public: false  # 非公共客户端
        authorization_policy: 'two_factor'  # 要求双因素认证
        redirect_uris:
          - 'https://wikijs.example.com/login/<UUID>/callback'  # 回调URL
        scopes:
          - 'openid'  # 必需的基础scope
          - 'profile'  # 获取用户基本信息
          - 'email'    # 获取用户邮箱
        userinfo_signed_response_alg: 'none'  # 用户信息不签名
        token_endpoint_auth_method: 'client_secret_post'  # 令牌端点认证方式

关键配置说明

1. client_secret：这里使用了PBKDF2算法对原始密钥insecure_secret进行了哈希处理，生产环境务必使用强密码。
2. authorization_policy：设置为two_factor表示需要双因素认证才能访问。
3. redirect_uris：必须与Wiki.js中配置的回调URL完全匹配，包括协议、域名和路径。

Wiki.js配置步骤

图形界面配置流程

1. 登录管理后台：使用管理员账号登录Wiki.js
2. 进入认证模块：导航至"管理" → "模块" → "认证"
3. 添加认证策略：点击"+ 添加策略"按钮
4. 选择OIDC类型：选择"Generic OpenID Connect / OAuth2"
5. 填写配置信息：
   • 显示名称：Authelia（可自定义）
   • 客户端ID：wikijs（与Authelia配置一致）
   • 客户端密钥：insecure_secret（与Authelia配置一致）
6. 端点URL配置：
   • 授权端点：https://auth.example.com/api/oidc/authorization
   • 令牌端点：https://auth.example.com/api/oidc/token
   • 用户信息端点：https://auth.example.com/api/oidc/userinfo
   • Issuer URL：https://auth.example.com
7. 声明映射：
   • 邮箱声明：email
   • 显示名称声明：name
   • 组映射：禁用（如需权限控制可启用）
8. 自注册选项：建议启用"允许自注册"
9. 保存配置：点击"应用"按钮完成配置

配置注意事项

1. 回调URL：配置过程中会自动生成一个包含UUID的回调URL，必须将此URL完整复制到Authelia的redirect_uris配置中。
2. 声明映射：确保声明名称与Authelia返回的JWT令牌中的声明名称一致。
3. HTTPS：所有端点必须使用HTTPS协议，否则浏览器可能会阻止请求。

安全建议

1. 客户端密钥：生产环境务必使用强密码，并定期轮换。
2. 认证策略：根据安全需求，可以调整authorization_policy为one_factor或two_factor。
3. 范围限制：仅授予必要的最小scope权限，避免过度授权。
4. 日志监控：定期检查Authelia和Wiki.js的认证日志，发现异常行为。

故障排查

1. 认证失败：

   • 检查客户端ID和密钥是否匹配
   • 验证回调URL是否完全一致
   • 检查网络连通性，确保Wiki.js能访问Authelia服务

2. 用户信息缺失：

   • 确认请求的scope包含所需信息
   • 检查声明映射是否正确

3. HTTPS问题：

   • 确保证书有效且受信任
   • 检查证书链是否完整

总结

通过本文的配置指南，您已成功将Authelia与Wiki.js通过OpenID Connect协议集成。这种集成不仅提高了安全性，还简化了用户管理流程，实现了统一身份认证。对于企业环境，建议进一步配置细粒度的访问控制策略，并定期审计认证日志以确保系统安全。

authelia The Single Sign-On Multi-Factor portal for web apps 项目地址: https://gitcode.com/gh_mirrors/au/authelia