Kubernetes 整合 keycload 实现 OIDC 认证

已于 2023-06-15 17:02:15 修改
阅读量662 收藏
点赞数
分类专栏: 云原生 文章标签: kubernetes 容器 云原生
于 2023-06-15 17:00:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxydde/article/details/131230878
版权

Kubernetes 使用 keycload 实现 OIDC 认证

1、keycloak 部署


参考 https://blog.csdn.net/yxydde/article/details/128710155

2、keycloak创建Kubernetes Realm

进入控制台,场景Realm即可
在这里插入图片描述

3、Kubernetes Realm 中创建 Client

Client Type 选 OpenID Connect,其它默认选项即可

在这里插入图片描述
在这里插入图片描述

注意:只有打开 Client authentication 时才有 Credentials 选项卡,关闭时客户端不需要提供 client-secret

在这里插入图片描述

4、配置 Mapper

选择 dedicated scope 进行添加

在这里插入图片描述

添加 usernamegroups 两个 predefined mapper

在这里插入图片描述

修改 username Mapper (Token Claim Name 修改为 username)

在这里插入图片描述

添加 Realm roles 和 User

Realm roles 默认选项创建即可

在这里插入图片描述

User 设置密码,分配指定 Realm roles 即可

在这里插入图片描述

内建 default-roles-kubernetes 角色可以登录 account-console 进行修改账号基本信息

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5、查看 keycload 服务端点

在这里插入图片描述

{
    "issuer": "https://keycloak.example.io/realms/kubernetes",
    "authorization_endpoint": "https://keycloak.example.io/realms/kubernetes/protocol/openid-connect/auth",
    "token_endpoint": "https://keycloak.example.io/realms/kubernetes/protocol/openid-connect/token",
    "introspection_endpoint": "https://keycloak.example.io/realms/kubernetes/protocol/openid-connect/token/introspect",
    "userinfo_endpoint": "https://keycloak.example.io/realms/kubernetes/protocol/openid-connect/userinfo",
    "end_session_endpoint": "https://keycloak.example.io/realms/kubernetes/protocol/openid-connect/logout",
    ......
}

6、修改 kubernetes apiserver 配置,并重启apiserver

其中 --oidc-username-claim=username 和 --oidc-groups-claim=groups 和 步骤4中配置的 Mappers 对应

--oidc-ca-file=/etc/kubernetes/pki/ca.pem \
--oidc-issuer-url=https://keycloak.example.io/realms/kubernetes \
--oidc-client-id=apiserver \
--oidc-username-claim=username \
--oidc-username-prefix=- \
--oidc-groups-claim=groups \

7、kubectl 连接 kubernetes 集群

# 创建 devops namespace
kubectl create ns devops

# 给 devops 组授予 devops namespace 的管理权限
kubectl create rolebinding devops-admin --clusterrole=admin --group=devops --namespace devops

# 请求token样例
curl  -X POST https://keycloak.example.io/realms/kubernetes/protocol/openid-connect/token \
--cacert /etc/kubernetes/pki/ca.pem \
-d grant_type=password -d client_id=apiserver \
-d username=yangxy -d password=changeme -d scope=openid

# 返回结果样例
{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJYUmdsdFBOeVBxVUJlUk5aTThVUnZZZlZlX3h1bFFjcmNjajFKLUF0dXg4In0.eyJleHAiOjE2NzM1OTY4MzQsImlhdCI6MTY3MzU5NjUzNCwianRpIjoiN2M3ZDA1MTctNWIzNS00OThhLWE2MTAtODQ2NzdlNGZhMDhjIiwiaXNzIjoiaHR0cHM6Ly9rZXljbG9hay5leGFtcGxlLmlvL3JlYWxtcy9rdWJlcm5ldGVzIiwic3ViIjoiM2ZlZjFhNzUtMDJjMS00NGYxLThjOTYtZDUxZmMxOWFkOWVlIiwidHlwIjoiQmVhcmVyIiwiYXpwIjoiYXBpc2VydmVyIiwic2Vzc2lvbl9zdGF0ZSI6IjZjYThlZDM0LTgwMzgtNDFkMi1iNTg4LTU1NTliNzY5OGNkMiIsImFjciI6IjEiLCJyZWFsbV9hY2Nlc3MiOnsicm9sZXMiOlsiZGV2b3BzIl19LCJzY29wZSI6Im9wZW5pZCBlbWFpbCBwcm9maWxlIiwic2lkIjoiNmNhOGVkMzQtODAzOC00MWQyLWI1ODgtNTU1OWI3Njk4Y2QyIiwiZW1haWxfdmVyaWZpZWQiOnRydWUsIm5hbWUiOiJ5YW5nIHh5IiwiZ3JvdXBzIjpbImRldm9wcyJdLCJwcmVmZXJyZWRfdXNlcm5hbWUiOiJ5YW5neHkiLCJnaXZlbl9uYW1lIjoieWFuZyIsImZhbWlseV9uYW1lIjoieHkiLCJlbWFpbCI6Inlhbmd4eUAxNjMuY29tIiwidXNlcm5hbWUiOiJ5YW5neHkifQ.AKqRyAAcBeOAtufrat8JgG4fzGVBq9D-akvc3Ea2Lb_pZ3K1BQOo5_aXZN6jyJmCBrRjcA3oYoKCgilWOVt8vLxcPVT_bsFHCPcta-o5HZfspru91mlA3NgvvELKWylwn9B_QVWze8ggcbWZE1PSz2WxHxF5Nd1YuExZm09DHIp_2D_wipzpnK1n_leY97GTx8vafUVA_9uvfnAlBNsYzMzsLB3yT86LeRgAz8Ko9ReqIJPXjaSwBOQ-giDIUBIjN-MZXwBejYOIgawjFBTPxmLEN0vU_k25KRzkn1jpbdzd6FEkRM-jbme4VwnGHTw-1leH6nHnZ4I79Ph4a2nuCg",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJjZTBmNzllNi02OTFhLTQzYTQtYTVjNS02YzI3ZTY0ZjkxYjIifQ.eyJleHAiOjE2NzM1OTgzMzQsImlhdCI6MTY3MzU5NjUzNCwianRpIjoiNzA2ZjNlZDUtMmFlYS00OGMzLWIzZDktZDE2OGNjZGU1Zjg4IiwiaXNzIjoiaHR0cHM6Ly9rZXljbG9hay5leGFtcGxlLmlvL3JlYWxtcy9rdWJlcm5ldGVzIiwiYXVkIjoiaHR0cHM6Ly9rZXljbG9hay5leGFtcGxlLmlvL3JlYWxtcy9rdWJlcm5ldGVzIiwic3ViIjoiM2ZlZjFhNzUtMDJjMS00NGYxLThjOTYtZDUxZmMxOWFkOWVlIiwidHlwIjoiUmVmcmVzaCIsImF6cCI6ImFwaXNlcnZlciIsInNlc3Npb25fc3RhdGUiOiI2Y2E4ZWQzNC04MDM4LTQxZDItYjU4OC01NTU5Yjc2OThjZDIiLCJzY29wZSI6Im9wZW5pZCBlbWFpbCBwcm9maWxlIiwic2lkIjoiNmNhOGVkMzQtODAzOC00MWQyLWI1ODgtNTU1OWI3Njk4Y2QyIn0.bCdi42YkC6SW4zV8lb_p4ZYHMadC16ECceDd0b2E5rE",
    "token_type": "Bearer",
    "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJYUmdsdFBOeVBxVUJlUk5aTThVUnZZZlZlX3h1bFFjcmNjajFKLUF0dXg4In0.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.FIpMPYKAp6UCevk0_q9MI2bdFoGVDwg3-AUJVqYh_nvY83uAjz035p1B-Dzl_Ku-JXN8yc_OqXIWfWvBboxAolIiBy2oWO2v7io4jh3rQ3LMFD5ZFbEmzgk7xf9M-Dm8TS23l-MBX7vuVGMJoGRbv5TyRIihIC_MSWhEJxwnYM1D8egphlkscn9Ztz8AoGFZ0HdPVb7yAymrlNW40wGhzD1cjLLdAOJpkvTWyHQ3WBQjj3hNHiC8064dL3DRP1R6YF57V14z6C0wsbJmcTdjxKjKBvkCSIUzw0yVh5TTTWns6caQdkX-iH5IQ4q4A1dLtDpKZBVwhm8OIqCtH0bJ6g",
    "not-before-policy": 0,
    "session_state": "6ca8ed34-8038-41d2-b588-5559b7698cd2",
    "scope": "openid email profile"
}

将 id_token 粘贴到 https://jwt.io/ 可以解析出具体的 claim 内容

在这里插入图片描述

kubectl config  set-cluster kubernetes \
    --embed-certs=true \
    --server="https://10.0.2.10:6443" \
    --certificate-authority=/etc/kubernetes/pki/ca.pem

kubectl config set-credentials yangxy \
   --auth-provider=oidc \
   --auth-provider-arg=idp-issuer-url=https://keycloak.example.io/realms/kubernetes \
   --auth-provider-arg=client-id=apiserver \
   --auth-provider-arg=refresh-token=<refresh_token> \
   --auth-provider-arg=id-token=<id_token> \
   --auth-provider-arg=idp-certificate-authority=/etc/kubernetes/pki/ca.pem

kubectl config set-context kubernetes \
    --user=yangxy \
    --namespace=devops \
    --cluster=kubernetes

kubectl config use-context kubernetes

参考连接

https://cloud.tencent.com/developer/article/1804656
https://www.keycloak.org/docs/latest/authorization_services/index.html
https://www.keycloak.org/docs/latest/server_admin/index.html
https://www.keycloak.org/docs/latest/securing_apps/index.html

CodingDemo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Hive3.1.3学习笔记
我的笔记
01-17 1005
大数据自学笔记——hive学习笔记
keyloadtool_工具条控制方法
weixin_39935092的博客
12-24 246
所谓工具条 就是具有位图和分隔符组成的一组命令按钮,位图按钮部分可以是下推按钮、检查盒按钮、无线按钮等。工具条对象类派生于主窗口架框类CframeWnd或CMDIFrameWnd,其类控制CToolBar::GetToolBarCtrl是MFC类库中封装的一个成员函数,允许使用类库中提供的一般控制和附加功能,CtoolBar类控制成员控制提供了Windows一般控制的所有功能,然而,通过调用 Ge...
Keycloak on K8S HA 部署
ysjysjly1995的博客
05-10 1004
本文从 0 到 1 手把手介绍了如何不依赖 Operator 手动部署 Keycloak HA 至 kubernetes 集群。不依赖 helm、operator,纯手撸。
Java集合知识点详细概括加代码解释
qq_38118222的博客
04-14 406
集合Collection (List And Set) 1.在实际开发中,需要将使用的对象存储于特定的数据结构容器中。JDK提供了这样的容器-集合(Collection)。 2.Collection 是一个接口,其子接口有:List和Set 3.List和Set的区别:List是有序可重复集(可以存储重复元素),Set是无序不可重复集(不能存储重复元素)。元素是否重复取决于元素的equals()比...
Redis学习笔记
小鲁蛋的博客
06-01 3090
目录一、Redis 键(key)二、Redis 字符串(String) 1.简介2.常用命令 3.数据结构 三、 Redis 列表(List)1.简介2.常用命令3.数据结构 四、Redis 集合(Set)1.简介2.常用命令 3.数据结构五、Redis 哈希(Hash) 1.简介2.常用命令3.数据结构六、Redis 有序集合 Zset(sorted set)1. 简介2.常用命令 3.数据结构4.跳跃表(跳表) 1、简介2、实例参数说明: get append ...
RSA算法在android下的应用
zh_angfeng的博客
06-27 1436
ls
Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 3669
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID Connect(OIDC)介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
基于kubernetes 部署 keycloak
CodingDemo
01-17 1494
本文主要讲解基于kubernetes部署keycloak,并通过ingress暴露服务。部署keycloak,部署完成以后即可通过ingress访问keycloak。然后编辑kubernetes 资源文件 keycloak.yaml。首先为 ingress 准备tls证书,有关证书生成,请参考。证书生成以后,创建 tls secret。生成证书部分,这里就步骤重复描述。
Spring Boot中整合Keycloak OpenID Connect(OIDC
canduecho的专栏
08-13 1163
这些步骤仅提供了一个基本的整合指南。确保在整合Keycloak OIDC时,参考Keycloak和Spring Boot的官方文档,以便获得更详细的信息和最佳实践。- 在Spring Boot的配置文件中,添加Keycloak相关的配置,包括Realm、Client ID、Client Secret等。- 在Keycloak管理员控制台中创建一个新的Realm,用于管理你的应用程序的身份验证和授权。- 在你的应用程序中,你可以使用Spring Security的注解来保护需要认证的资源。
create_register_key.c和load_key.c中K4的代码完善
m0_56948411的博客
12-01 180
k4代码完善
k8s安全04--kube-apiserver 安全配置
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-14 5209
k8s安全04--kube-apiserver 安全配置1 介紹2 安全配置2.1 配置 insecure-port2.2 RBAC2.3 Service Accounts2.4 Researching Pod Security Policies限制pods使用指定的目录控制pod 的网络配置 allowedUnsafeSysctls2.5 Enable Pod Security Policies2.6 Enabling API Server Auditing2.7 Encrypting Secrets注意
kube-oidc:适用于Kubernetes的OpenID Connect实用程序
05-16
适用于Kubernetes的OpenID Connect实用程序OpenID Connect和Kubernetes 是OAuth2的扩展,它引入了ID令牌,ID令牌是一个签名的JSON Web令牌,具有代表用户的标准声明。 例如,OpenID Connect可能返回以下JWT: ...
loginapp:使用OIDC进行Kubernetes CLI配置的Web应用程序
05-06
登录应用使用OIDC进行Kubernetes CLI配置的Web应用程序用法Perform configuration checks and run Loginapp.Loginapp supports three configuration formats:* Configuration file: ' --config ' flag* Flags: ' --...
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
最新发布
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,...
dexter:dexter是Kubernetes OIDC的帮助程序,具有尽可能多的自动化
02-03
dexter是OIDC(OpenId Connect)帮助程序,可创建由Google或Azure作为身份提供者提供支持的轻松Kubernetes登录体验。 您所需要做的就是正确配置的Google或Azure客户端ID和密码。 支持的身份提供者 身份提供者 州 ...
kubelogin:Kubernetes OpenID Connect身份验证的kubectl插件(kubectl oidc-login)
02-03
kubelogin 这是用于的kubectl插件,也称为kubectl oidc-login 。 这是使用Google Identity Platform进行... 您需要设置OIDC提供程序,集群角色绑定,Kubernetes API服务器和kubeconfig。 kubeconfig看起来像: us
k8s学习第19天--证书认证
qq_34893654的博客
05-04 795
Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。以下是Kubernetes中常用的一些认证管理机制:证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。
Kuberntes云原生实战08 Kubesphere 通过OIDC实现gitlab联合登录(全网唯一可用)
飘渺Jam的博客
05-21 822
大家好,我是飘渺。今天咱们继续更新系列,本节文章将会打通公司用户体系,使用Gitlab中的用户完成登录认证
开源认证和访问控制的利器keycloak使用简介
程序员阿飘 的博客
02-02 1037
keycloak是一个开源的进行身份认证和访问控制的软件。是由Red Hat基金会开发的,我们可以使用keycloak方便的向应用程序和安全服务添加身份认证,非常的方便。keycloak还支持一些高级的特性,比如身份代理,社交登录等等。本文将会带领大家进入keycloak的神秘世界。上面的例子我们演示了如何配置keycloak,并且创建一个realm供第三方程序使用。还举了一个无侵入的例子来和keycloak对接。当然,有朋友会问了,vanilla程序是怎么和keycloak对接的呢?
springboot实现oidc
10-07
Spring Boot实现OIDC的步骤如下: 1. 在你的Spring Boot项目的`pom.xml`文件中添加Keycloak Spring Boot Starter依赖。 2. 创建一个类来配置Spring Security,以启用Keycloak的OIDC集成。 3. 在配置类中,使用`@EnableWebSecurity`注解启用Web Security配置。 4. 创建一个`KeycloakSpringBootConfigResolver`的Bean,用于解析Keycloak的配置。 5. 在配置类中,重写`configure(HttpSecurity http)`方法并配置安全规则。 以下是一个示例配置类的代码: ```java import org.keycloak.adapters.springboot.KeycloakSpringBootConfigResolver; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public KeycloakSpringBootConfigResolver keycloakConfigResolver() { return new KeycloakSpringBootConfigResolver(); } @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http .authorizeRequests() .anyRequest().authenticated() .and() .oauth2Login(); } } ``` 请注意,这只是一个基本的配置示例,你可能需要根据你自己的需求进行适当的更改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CodingDemo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值