我在Azure中使用Kubernetes部署模型,具有OAuth2代理(https://github.com/oauth2-proxy/oauth2-proxy)其通过启用通过各种客户端的SSO登录来保护集群资源。从最终用户的角度来看,这是可以的,他们可以轻松地使用SSO客户端登录。当OAuth2代理背后的服务公开的API需要由外部应用程序通过REST调用使用时,就会出现问题。
该配置是默认配置,在Ingress文件中有一个专门用于OAuth2的Kubernetes服务和以下规则。
nginx.ingress.kubernetes.io/auth-signin: 'https://$host/oauth2/start?rd=$request_uri'
nginx.ingress.kubernetes.io/auth-url: 'https://$host/oauth2/auth'
根据我的检查,目前这些服务只能通过外部应用程序(例如Postman(的REST调用来消费,前提是我添加了cookie参数(_oauth2_proxy(,该参数是在使用UI和SSO客户端提供程序成功登录后生成的。如果我不添加此cookie参数,则不存在cookie _oauth_proxy之类的错误。
是否有任何选项可以添加到代理配置中,以允许基于令牌的身份验证和授权/编程生成某些标识符,从而通过REST调用访问技术用户(外部应用程序(的OAuth2代理背后的资源?我可以根据现有配置(客户端id、机密、应用程序范围等(生成访问令牌。
OAuth2代理部署YAML如下所示:
apiVersion: apps/v1
kind: Deployment
metadata:
name: oauth2-proxy
namespace: default
spec:
replicas: 1
selector:
matchLabels:
app: oauth2-proxy
template:
metadata:
labels:
app: oauth2-proxy
spec:
containers:
- env:
- name: OAUTH2_PROXY_PROVIDER
value: azure
- name: OAUTH2_PROXY_AZURE_TENANT
value: <REPLACE_WITH_DIRECTORY_ID>
- name: OAUTH2_PROXY_CLIENT_ID
value: <REPLACE_WITH_APPLICATION_ID>
- name: OAUTH2_PROXY_CLIENT_SECRET
value: <REPLACE_WITH_SECRET_KEY>
- name: OAUTH2_PROXY_COOKIE_SECRET
value: <REPLACE_WITH_VALUE_OF python -c 'import os,base64; print base64.b64encode(os.urandom(16))'>
- name: OAUTH2_PROXY_HTTP_ADDRESS
value: "0.0.0.0:4180"
- name: OAUTH2_PROXY_UPSTREAM
value: "<AZURE KUBERNETES CLUSTER HOST e.g. >"
image: bitnami/oauth2-proxy:latest
imagePullPolicy: IfNotPresent
name: oauth2-proxy
ports:
- containerPort: 4180
protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
labels:
k8s-app: oauth2-proxy
name: oauth2-proxy
namespace: default
spec:
ports:
- name: http
port: 4180
protocol: TCP
targetPort: 4180
selector:
app: oauth2-proxy
编辑:
我终于能够通过ADOAuth2令牌端点使用生成的令牌,以便在代理后面调用我的API。为了实现这一点,我将docker映像从machinedata/oauth2_proxy更改为bitnami/oauth2-proxy器添加了以下参数:
args:
- '--provider=azure'
- '--azure-tenant=TENANT_ID'
- '--skip-jwt-bearer-tokens=true'
- >-
--oidc-issuer-url=https://sts.windows.net/TENANT_ID/
- >-
--extra-jwt-issuers=https://login.microsoftonline.com/TENANT_ID/v2.0=APP_ID
- '--request-logging=true'
- '--auth-logging=true'
- '--standard-logging=true'
此外,我必须对Azure AD的应用程序注册清单进行一些更改,以便OAuth2代理根据正确的版本验证令牌。
"accessTokenAcceptedVersion": 2
我在这里也找到了一些有用的解释:https://github.com/oauth2-proxy/oauth2-proxy/issues/502。
现在我可以使用Azure提供的令牌端点为我的API调用生成Bearer令牌。唯一剩下的问题是我在尝试访问应用程序UI时出现的错误。
pod日志中收到的错误/警告为:警告:此会话需要多个cookie,因为它超过了4kb cookie限制。请改用服务器端会话存储(例如Redis(
浏览器中收到的错误是502坏网关
编辑#2:
通过在OAuth2代理的入口级别增加缓冲区大小,我能够绕过这个新错误。更多详细信息可以在以下URL中找到。https://oauth2-proxy.github.io/oauth2-proxy/docs/configuration/oauth_provider/#azure-身份验证提供程序https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/
我最终使用了以下配置:
部署.yaml用于OAuth2代理:
kind: Deployment
apiVersion: apps/v1
metadata:
name: oauth2-proxy
namespace: default
spec:
replicas: 1
selector:
matchLabels:
app: oauth2-proxy
template:
metadata:
creationTimestamp: null
labels:
app: oauth2-proxy
spec:
containers:
- name: oauth2-proxy
image: 'bitnami/oauth2-proxy:latest'
args:
- '--provider=azure'
- '--azure-tenant=TENANT_ID'
- '--skip-jwt-bearer-tokens=true'
- >-
--oidc-issuer-url=https://sts.windows.net/TENANT_ID/
- >-
--extra-jwt-issuers=https://login.microsoftonline.com/TENANT_ID/v2.0=CLIENT_ID
- '--request-logging=true'
- '--auth-logging=true'
- '--standard-logging=true'
ports:
- containerPort: 4180
protocol: TCP
env:
- name: OAUTH2_PROXY_AZURE_TENANT
value: TENANT_ID
- name: OAUTH2_PROXY_CLIENT_ID
value: CLIENT_ID
- name: OAUTH2_PROXY_CLIENT_SECRET
value: CLIENT_SECRET
- name: OAUTH2_PROXY_COOKIE_SECRET
value: COOKIE_SECRET
- name: OAUTH2_PROXY_HTTP_ADDRESS
value: '0.0.0.0:4180'
- name: OAUTH2_PROXY_UPSTREAM
value: 'http://your-host'
- name: OAUTH2_PROXY_EMAIL_DOMAINS
value: '*'
ingress.yaml用于OAuth2代理:
kind: Ingress
apiVersion: networking.k8s.io/v1beta1
metadata:
name: oauth2-proxy
namespace: default
labels:
app: oauth2-proxy
annotations:
kubernetes.io/ingress.class: addon-http-application-routing
# in my case the generated cookie was too big so I had to add the below parameters
nginx.ingress.kubernetes.io/proxy-buffer-size: 8k
nginx.ingress.kubernetes.io/proxy-buffers-number: '4'
spec:
tls:
- hosts:
- YOUR_HOST
rules:
- host: YOUR_HOST
http:
paths:
- path: /oauth2
backend:
serviceName: oauth2-proxy
servicePort: 4180
除了这些配置文件之外,我还必须更改Azure应用程序注册清单中accessTokenAcceptedVersion的值。默认情况下,该值设置为null,这意味着它将用于V1代币,而不是额外jwt发行者参数中指定的V2代币。
"accessTokenAcceptedVersion": 2
在这些更改到位后,我能够通过Azure令牌端点使用生成的令牌,以便通过OAuth2代理并到达我的应用程序公开API:
HTTP POST to https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
Body:
- client_id: YOUR_CLIENT_ID
- grant_type: client_credentials
- client_secret: YOUR_CLIENT_SECRET
- scope: api://YOUR_CLIENT_ID/.default - this was generated by me, but it should work with MS Graph as well
我在Azure中使用一个Kubernetes部署模型,它有一个OAuth2代理,通过启用SSO登录来保护集群资源。我已经成功运行了Oauth服务,还部署了应用程序入口和Oauth入口。但当我访问应用程序URL时,我得到了500内部错误。如果我访问Oauth入口url,我就会得到登录窗口。我可以提供有关oauth部署yaml以及应用程序入口和oauth入口yaml的详细信息。