OpenShift 4 - 利用 RHSSO 实现应用认证和访问授权(附视频)

已于 2023-07-18 11:26:45 修改
阅读量680 收藏
点赞数
分类专栏: 安全 OpenShift 4 DevOps 文章标签: openshift 认证授权 SSO
于 2022-12-04 20:05:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/128166008
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift / RHEL / DevSecOps / Ansible 汇总目录
说明:本文已经在 OpenShift 4.11 环境中验证

文章目录


本文将部署一个应用,然后用 RHSSO 对应用访问进行身份认证,并对不同的登录用户和应用资源进行访问授权。

安装环境

  1. 执行命令安装 OpenJDK 11 环境。
$ cd ~
$ curl -LO https://download.java.net/java/GA/jdk11/9/GPL/openjdk-11.0.2_linux-x64_bin.tar.gz
$ tar xzvf openjdk-11.0.2_linux-x64_bin.tar.gz
$ JAVA_PATH=~/jdk-11.0.2/
$ PATH=$PATH:$JAVA_PATH/bin
  1. 执行命令安装 Maven 环境。
$ curl -LO https://dlcdn.apache.org/maven/maven-3/3.8.6/binaries/apache-maven-3.8.6-bin.tar.gz
$ tar xzvf apache-maven-3.8.6-bin.tar.gz
$ PATH=$PATH:~/apache-maven-3.8.6/bin
  1. 执行命令安装 Make 环境。
$ yum install make
  1. 在 OpenShift 控制台的 OperatorHub 中将 Red Hat Single Sign-On Operator 使用默认配置安装到 sso 项目中,然后使用默认配置在名为 sso 的项目中创建一个 Keycloak 实例,名称为 my-keycloak。
  2. 执行以下命令获得 RHSSO 控制台的访问地址和 admin 用户的密码,即可登录 RHSSO 控制台。
$ RH_SSO_HOST=$(oc get route keycloak -o jsonpath='{.spec.host}' -n sso) && echo $RH_SSO_HOST
$ oc get secret credential-my-keycloak -n sso -o go-template --template="{{.data.ADMIN_PASSWORD | base64decode}}"

在这里插入图片描述

部署应用并配置登录和授权

部署应用

  1. 在新建的 demo-app 项目中部署 quarkus-petclinic 应用。
$ oc new-project demo-app
$ git clone -b sso-base https://github.com/liuxiaoyu-git/quarkus-petclinic.git && cd quarkus-petclinic
$ ./ocp-deploy.sh
  1. 获得访问应用的 Route 地址,然后访问应用,此时应用还无需登录即可访问。
$ oc get route quarkus-petclinic -o jsonpath='{.spec.host}' -n deom-app

在这里插入图片描述

配置 RHSSO 的用户和组

本节将创建属于 vet 角色的 angel 用户以及属于 assistant 角色的 elisa 用户。

  1. 在 RHSSO 的控制台中点击 Master,然后点击 Add realm。
    在这里插入图片描述
  2. 设置 Name 为 demo,然后点击 Create。
    在这里插入图片描述
  3. 点击菜单的 Roles,然后点击 Add Role 按钮。
  4. 在 Add Role 页面中为 Role Name 设为 vet ,然后点击 Create。
  5. 重复步骤再创建名一个为 assistant 的 Role。
  6. 点击菜单的 Users,然后点击 Add user 按钮。
  7. 在 Add user 页面中为 Username 设为 angel,然后点击 Save。
  8. 进入 angel 用户的 Credentials 栏目,设置用户密码后点击 Set Password。
    在这里插入图片描述
  9. 进入 angel 用户的 Role Mappings 栏目,给用户赋予 vet 角色。
    在这里插入图片描述
  10. 重复以上步骤创建名为 elisa 的用户,并赋予 assistant 角色。
  11. 点击菜单的 Groups,然后点击 New 按钮。
  12. 在 Create group 页面中设置 Name 为 staff,然后点击 Save。
  13. 再次点击菜单的 Groups,然后在 User Groups 页面中选中 staff,点击 New 按钮。
    在这里插入图片描述
  14. 在 Create group 页面中设置 Name 为 Personal staff,然后 Save。
  15. 最后应该在 User Groups 页面中看到下图的组关系。
    在这里插入图片描述

配置应用身份认证

本节将实现对应用 http://quarkus-petclinic-sso.apps.cluster-72c7x.72c7x.sandbox2951.opentlc.com 的访问进行身份认证。

  1. 点击菜单的 Clients,然后点击 Create 按钮。
  2. 在 Add Client 页面中设置 Client ID 为 quarkus-petclinic,然后点击 Save。
  3. 在 quarkus-petclinic 的 Setting 页面根据下表进行配置,然后点击 Save。
属性
Access Typeconfidential
Authorization EnabledON
Valid Redirect URIshttp://quarkus-petclinic-sso.apps.cluster-72c7x.72c7x.sandbox2951.opentlc.com/*

其中 Valid Redirect URIs 地址是应用的 route。

$ oc get route quarkus-petclinic -o jsonpath='{.spec.host}' -n demo-app

说明:此时如果跳转到 “为应用配置登录和访问授权”,会发现用户访问应用必须先要登录,但是 2 个登录用户都可以访问全部的应用栏目。下面就根据用户进行访问授权,让不同的登录用户能访问不同的应用栏目。

配置应用访问授权

本节将配置只允许 vet 角色的用户才能访问应用的 VETERINARIANS 栏目,属于 demo realm 的其他用户可以访问应用的其他栏目。
在这里插入图片描述

  1. 点击菜单的 Clients,然后进入 quarkus-petclinic 的 Authorization → Resources。
    在这里插入图片描述
  2. 点击 Name 为 Default Resource 一行后的 Create Permission 按钮。
  3. 在 Add Resource Permission 页面中设置 Name 为 Default Resource Permission,然后点击 Create Policy…​ → Group。
    在这里插入图片描述
  4. 在 Add Group Policy 页面中设置 Name 为 Default Group Policy;然后先选中 Groups 的 staff 再点击 Select,在出现的表中选则 Extend to Children,再将 Logic 设为 Negative,最后点击 Save。
    在这里插入图片描述
  5. 页面会跳转回 Add Resource Permission 页面,点击 Save。
    在这里插入图片描述
  6. 在 Authorization​ → Resources 中点击 Create。
    在这里插入图片描述
  7. 在 Add Resource 页面中将 Name 和 Display name 设为 Vets Resource,将 URI 设为 /vets.html,然后点击 Save。
    在这里插入图片描述
  8. 进入 Authorization → Resources 页面,在 Vets Resource 一行点击 Create Permission 按钮。
    在这里插入图片描述
  9. 在 Add Resource Permission 页面中设置 Name 为 Vets Resource Permission, 在 Apply Policy 的 Create Policy 下拉框中选中Role。
    在这里插入图片描述
  10. 在 Add Role Policy 页面中设置 Name 为 Vet Role Policy,为 Realm Roles 选择出 vet,然后选中 Required,最后点击 Save。
    在这里插入图片描述
  11. 页面会再次跳回 Add Resource Permission 页面,点击 Save 按钮。
    在这里插入图片描述

为应用配置登录和访问授权

  1. 在 quarkus-petclinic 的 Clients 的 Credentials 栏目中记下下图中的 Secret 内容。
    在这里插入图片描述
  2. 执行命令,基于 Secret 内容创建 configmap 和 secret。
$ MY_SSO_CLIENT_SECRET=kFJFDBluHlQIVCQg9S0aF3WAzUwXABto
$ oc create configmap quarkus-petclinic-config --from-literal=SSO_HOST=${RH_SSO_HOST} -n demo-app
$ oc create secret generic quarkus-petclinic-secret --from-literal=SSO_CLIENT_SECRET=${MY_SSO_CLIENT_SECRET} -n demo-app
  1. 执行命令,将一下配置追加到应用的 application.properties 配置文件中。
$ cat >> ~/quarkus-petclinic/src/main/resources/application.properties << EOF
quarkus.oidc.auth-server-url=https://${RH_SSO_HOST}/auth/realms/demo
quarkus.oidc.client-id=quarkus-petclinic
quarkus.oidc.credentials.secret=${MY_SSO_CLIENT_SECRET}
quarkus.oidc.tls.verification=none
quarkus.oidc.roles.source=accesstoken

quarkus.oidc.application-type=web-app
quarkus.oidc.webapp.auth-server-url=\${quarkus.oidc.auth-server-url}
quarkus.oidc.webapp.client-id=\${quarkus.oidc.client-id}
quarkus.oidc.webapp.credentials.secret=\${quarkus.oidc.credentials.secret}
quarkus.oidc.webapp.roles.source=\${quarkus.oidc.roles.source}

quarkus.keycloak.policy-enforcer.enable=true
EOF
  1. 执行以下命令,为应用 pom.xml 文件增加扩展,然后重新部署运行应用。
$ ./mvnw quarkus:add-extension -Dextensions='oidc,keycloak-authorization'
$ ./ocp-deploy.sh
  1. 分别用 angel 和 elisa 用户登录,确认他们都需要登录才能访问应用。并且 elisa 无法访问应用的 VETERINARIANS 栏目,而 angel 可以访问 VETERINARIANS 栏目。

演示视频

视频

参考

https://olleb.com/rhsso-workshop/index.html

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openresty之实现SSO得客户端-yellowcong
02-03 1545
参考文章 https://www.annhe.net/article-3551.html
servcie4rhsso:quickstarts_rhsso_based
03-31
service-jee-jaxrs:JAX-RS服务 级别:初级技术:JavaEE摘要:JAX-RS服务目标产品:Red Hat SSO,JBoss EAP来源: : 它是什么? service-jee-jaxrs快速入门演示了如何使用受Red Hat SSO保护的JAX-RS编写RESTful服务。 服务公开了3个端点: public -无需身份验证 secured -可以由具有user角色的user调用 admin可以由具有admin角色的用户调用 端点非常简单,只会返回一条简单的消息,说明调用了哪个端点。 系统要求 您需要运行JBoss EAP 7.1.0。 构建该项目所需的全部是Java 8.0(Java SDK 1.8)或更高版本以及Maven 3.1.1或更高版本。 红帽SSO中的配置 在运行快速入门之前,您需要在Red Hat SSO中创建一个客户端并下载安装文件
openshift认证
毛台
04-21 1019
带IDM的rhsso idp用于kerberos身份验证流程
weixin_26705651的博客
09-12 559
RHSSO和OIDC简介 (RHSSO & OIDC Intro) I don't like duplications so I’d like to promote my friend’s (and colleague) article about RHSSO, OAuth, and OIDC as an introduction to the topic, and just jump ...
OpenShift 4 - 配置基于 Red Hat SSO 的 Identity Providers(视频
多恩斯基的博客
04-04 1561
文章目录安装并配置Red Hat SSO环境安装Red Hat SSO创建Realm创建用户创建Client为OpenShift创建和配置Identity Providers获取openshift-ingress-operator项目的证书创建基于Red Hat SSO的Identity Provider测试验证 安装并配置Red Hat SSO环境 环境要求:OpenShift 4.2及其式样版........................
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
License生成器(源码+客户端)
01-14
自己开发的用于软件license授权的通用解决方案,可以用于自己的软件产品授权保护。源码部署到服务器,客户端用于生成license,生成的license结果服务器验证通过后才视为合法有效的license。
企业级sso(cas)开发课程
10-28
学员们将获得sso相关技能和知识,能实现sso的企业定制开发,实现统一的账户管理,解决公司多系统多账户的问题,可以直接接入到公司的jira wiki  jenkins gitlab sonar grafna 等系统和自己开发的springboot系统和传统的web项目中,本项目是sso入门到精通的理想入门课程。
Nginx+Lua实现sso单点登录(请求鉴权+获取用户Session信息)
qq_43147161的博客
02-18 4504
Nginx+Lua实现sso单点登录
Openshift Origin 3]OpenShift 3 : 基于Docker的私有PaaS平台
记录所学所思
07-16 6286
OpenShift 3 : 基于Docker的私有PaaS平台【编者的话】OpenShift是一个非常有前途的私用PaaS解决方案,它可以减少从项目开始到自动构建应用和部署的时间,它支持绝大多数的Web架构,将成为基于Docker的私有PaaS平台领域的参照。OpenShift是一个私有的PaaS(Platform-as-a-Service)解决方案,主要用来在容器中搭建、部署以及运行应用程序。它是
一种比较简单的web端SSO方案
orangleliu 笔记本
02-25 3491
这是种比较简单易行单点登录(SSO Single sign-on方案,只有auth token,没有request token,自己家的系统集成提供一点思路。文章的阅读对象需要比较熟悉web开发,因为省去了很多前置知识。 认证流程单点登录的几个角色,单点登录服务(center), 接入的应用叫做客户端(client)。 当然描述的时候会涉及浏览器(browser),还有用户 http://local
Openresty
zhangxm_qz的博客
02-25 2622
OpenResty 是一个通过 Lua 扩展 Nginx 实现的可伸缩的 Web 平台,内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 Openresty安装 安装文件 下载地址 :https://download.csdn.net/my 或者 https://openresty.org/c...
web高性能使用openresty的一些高级用法、redis的常用法、简易防火墙、禁止终端
cuichunchi的博客
04-28 1020
记录使用openresty在web中的高级使用技术 openresty内部处理流程说明 nginx中这三个阶段的执行顺序:access--》content--》body_filter; access_by_lua_file:获取协议版本-->获取bodys数据-->协议解码-->设置body数据 content_by_lua_file:正常处理业务逻辑,零修改 body...
SSO单点登录系统原理分析及功能实现
学亮编程手记
03-04 3551
Sso系统分析什么是sso系统SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。  为什么要有单点登录系统传统的登录实现方式 此方式在只有一个web工程时是没有问题。 集群环境下            ...
OpenResty学习笔记(十) 登录验证
leadersnowy的专栏
07-13 6131
上一篇中我们已经可能搭起一个完整的nginx的环境,那现在我们就可以做点什么了吧,先从一个最开始的事做起:登录。 一般来说登录这个动作是基本上所有的系统都需要的,就拿这个练手吧,先顺一下流程。web端也不需要什么页面了,直接发一个http的get请示,把user跟pwd作为参数传过来,nginx接收,然后走一下数据库验证并给出返回,这应该是个简单得不能再简单的登录了吧。既然那么简单那么就直接上代码
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值