在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证

原创 已于 2022-04-06 12:08:48 修改 · 4.9k 阅读 · 8
标签
#kubernetes
于 2022-04-06 11:25:49 首次发布
本文详细介绍了如何在Kubernetes中集成OpenIDConnect协议,通过Keycloak实现单点登录和用户权限管理,包括OAuth2.0和OpenIDConnect的区别、Kubernetes认证流程、Keycloak的部署及配置,以及使用kubectl和kubelogin进行身份验证的方法。

API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。

1 OpenID Connect(OIDC)介绍

OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息,而不需要将用户名和密码提供给第三方应用。OAuth 在全世界得到了广泛的应用,目前的版本是 2.0 。

OpenID Connect (OIDC) 是一种身份验证协议,基于 OAuth 2.0 系列规范。OAuth2 提供了 access_token 来解决授权第三方客户端访问受保护资源的问题,OpenID Connect 在这个基础上提供了 id_token 来解决第三方客户端标识用户身份的问题。

OpenID Connect 的核心在于,在 OAuth2 的授权流程中,同时提供用户的身份信息(id_token)给到第三方客户端。id_token 使用JWT(JSON Web Token)格式进行封装,得益于 JWT 的自包含性,紧凑性以及防篡改机制等特点,使得 id_token 可以安全地传递给第三方客户端程序并且易于验证。

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含
的协议格式,用于在通信双方间传递 JSON 对象,传递的信息经过数字签名可以被验证和信任。想要了解 JWT 的详细内容参见 JWT(JSON Web Token)

2 Kubernetes OpenID Connect 认证流程

在 Kubernetes 中 OpenID Connect 的认证流程如下:

  • 1.用户登录认证服务器。
  • 2.认证服务器返回 access_tokenid_tokenrefresh_token
  • 3.在使用 kubectl 时,将 id_token 设置为 --token 的参数值,或者将其直接添加到 kubeconfig 中。
  • 4.kubectl 将 id_token 添加到 HTTP 请求的 Authorization 头部中,发送给 API Server。
  • 5.API Server 通过检查配置中引用的证书来确认 JWT 的签名是否合法。
  • 6.API Server 检查 id_token 是否过期。
  • 7.API Server 确认用户是否有操作资源的权限。
  • 8.鉴权成功之后,API 服务器向 kubectl 返回响应。
  • 9.kubectl 向用户返回结果。

3 Keycloak 介绍

本文将会使用 Keycloak 作为 OpenID Connect 的认证服务器。keycloak 是一个开源的、面向现代应用和服务的 IAM(身份认证和访问控制)解决方案。Keycloak 提供了单点登录(SSO)功能,支持 OpenID ConnectOAuth 2.0SAML 2.0 等协议,同时 Keycloak 也支持集成不同的身份认证服务,例如 LDAP、Active Directory、Github、Google 和 Facebook 等等。

在 Keycloak 中有以下几个主要概念:

  • 领域(realms):领域管理着一批用户、证书、角色、组等等,不同领域之间的资源是相互隔离的,实现了多租户的效果。
  • 客户端(clients):需要接入 Keycloak 实现用户认证的应用和服务。
  • 用户(users):用户是能够登录到应用系统的实体,拥有相关的属性,例如电子邮件、用户名、地址、电话号码和生日等等。
  • 组(groups):一组用户的集合,你可以将一系列的角色赋予定义好的用户组,一旦某用户属于该用户组,那么该用户将获得对应组的所有角色权限。
  • 角色(roles):角色是 RBAC 的重要概念,用于表明用户的身份类型。
  • 证书(credential):Keycloak 用于验证用户的凭证,例如密码、一次性密码、证书、指纹等等。

4 前提条件

接下来的章节将演示如何部署和配置 Keycloak 服务作为 API Server 的认证服务,需要确保完成了以下准备:

  • 部署好一套 Kubernetes 集群,我使用的集群版本是 v1.23.5。
  • 一台安装好 Docker 和 Docker Compose 的机器,用于部署 Keycloak 服务器。

本实验使用的配置文件可以在:https://github.com/cr7258/kubernetes-guide/tree/master/authentication/openid 中获取。

5 部署 Keycloak 服务器

Kubernetes 要求使用的 OpenID Connect 认证服务必须是 HTTPS 加密的,运行以下脚本生成 Keycloak 服务器的私钥和证书签名请求,并使用 Kubernetes 的 CA 证书进行签发,当然这里你也可以另外生成自己的 CA 证书进行签发,如果这样做的话,请注意在 7.1 启用 OpenID Connect 认证章节中将 CA 证书挂载进 API Server 容器中。

#!/bin/bash
# 创建目录存放生成的证书
mkdir -p ssl

# 生成 x509 v3 扩展文件
cat << EOF > ssl/req.cnf
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = IP:11.8.36.25  # Keycloak 服务器的 IP 地址
EOF

# 生成 Keycloak 服务器私钥
openssl genrsa -out ssl/tls.key 2048
# 生成 Keycloak 服务器证书签名请求(CSR)
openssl req -new -key ssl/tls.key -out ssl/tls.csr -subj "/CN=Keycloak" -config ssl/req.cnf
# 使用 CA 签发 Keycloak 服务器证书
openssl x509 -req -in ssl/tls.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out ssl/tls.crt -days 10 -extensions v3_req -extfile ssl/req.cnf

这里使用 docker-compose 部署 Keycloak 以及依赖的数据库 PostgreSQL,docker-compose.yml 文件如下。需要将上面生成的服务器证书 tls.crt 和服务器私钥 tls.key 两个文件挂载到 Keycloak 容器的 /etc/x509/https 目录中。

version: '2'
services:
  postgres:
      image: postgres:12.2
      environment:
        POSTGRES_DB: keycloak
        POSTGRES_USER: keycloak
        POSTGRES_PASSWORD: keycloak
  keycloak:
      image: jboss/keycloak:16.1.1
      environment:
        DB_VENDOR: POSTGRES
        DB_ADDR: postgres
        DB_DATABASE: keycloak
        DB_USER: keycloak
        DB_PASSWORD: keycloak
        KEYCLOAK_USER: admin # 用户名 
        KEYCLOAK_PASSWORD: czw123456 # 密码
      volumes:
        - ./ssl:/etc/x509/https # 将服务器证书和私钥挂载到容器中
      ports:
        - 80:8080
        - 443:8443
      depends_on:
        - postgres

在后台启动 Keycloak 容器。

docker-compose up -d

确认 Keycloak 和 PostgreSQL 已经成功启动。

docker-compose ps

浏览器输入 https://<IP 地址>:8443,访问 Keycloak 界面,用户名:admin,密码:czw123456。

6 配置 Keycloak

6.1 创建 Realm

首先,创建一个名称为 project-1Realm(领域)。


6.2 创建 User

接下来手动创建一个用户。

用户名设置为 tom。

设置用户的密码,将 Temporary 参数置为 OFF,表示用户在第一次登录时无需重新设置密码。

为用户添加属性 name,值设置为 tom,在 6.3 创建 Client 章节中会说明为什么这么做。

查看创建的用户。

最低0.47元/天 解锁文章
iam,Keycloak 基本功能身份验证等justauth, RuoYi
sun007700的专栏
10-18 1318
Keycloak Keycloak 基本功能_Allen技术小站-CSDN博客_keycloak Keycloak是一个致力于解决应用和服务身份验证与访问管理的开源工具。可以通过简单的配置达到保护应用和服务的目的。 用户管理 你的应用不需要开发登录模块,验证用户和保存用户Keycloak开发了用户管理,登录,注册,密码策略,安全问题,二步验证,密码重置等功能。登录,注册界面所需字段都是可配置,可自定义的。 用户角色,权限管理功能,用户组功能。用户sessions管理。 ———————————
k8s-身份认证与权限
Mclaughling的博客
10-28 5441
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
开源身份认证与访问管理平台 - Keycloak(一)
fzw1030的博客
04-29 534
Keycloak是一款开源的企业级身份认证与访问管理平台,提供单点登录(SSO)解决方案。其核心功能包括多协议支持、多因素认证、用户联邦对接LDAP/Active Directory等。文章详细介绍了Keycloak的核心概念,并解析了其认证流程架构。部署方面提供了Docker Compose配置示例,包括PostgreSQL数据库和Keycloak容器的设置。此外还介绍了Active Directory集成方法,展示了如何将AD用户同步到Keycloak。最后提到后续将演示与各业务系统的集成方案。
Camunda8微服务流程引擎搭建实战 -- camunda-identity接入keycloak,使用mysql数据库以OpenID Connect的方式实现用户的权限管理
yuexiahunone的专栏
01-06 2446
keycloak是一款开源的功能丰富、易用且灵活的身份和访问管理软件,为开发人员提供了快速集成身份认证、授权和用户管理的解决方案。
基于kubernetes 部署 keycloak
CodingDemo
01-17 2209
本文主要讲解基于kubernetes部署keycloak,并通过ingress暴露服务。部署keycloak,部署完成以后即可通过ingress访问keycloak。然后编辑kubernetes 资源文件 keycloak.yaml。首先为 ingress 准备tls证书,有关证书生成,请参考。证书生成以后,创建 tls secret。生成证书部分,这里就步骤重复描述。
Kubernetes 整合 keycload 实现 OIDC 认证
CodingDemo
06-15 1065
Kubernetes 使用 keycload 实现 OIDC 认证
Skooner OIDC认证配置实战:安全集成Keycloak的完整步骤
gitblog_00069的博客
02-23 748
Skooner作为一款轻量级Kubernetes实时仪表盘工具,提供了直观的集群管理界面。为提升系统安全性,通过OIDC协议集成Keycloak身份认证是企业级部署的最佳实践。本文将详细介绍如何在Skooner中配置OIDC认证,实现与Keycloak的无缝对接,确保集群访问的安全可控。 ## 准备工作:环境与资源清单 在开始配置前,请确保您已具备: - 运行中的Kubernetes集群(1.
Kubernetes 上部署 Eclipse Theia 云 IDE 的完整实践
weixin_30599769的博客
06-20 364
云原生开发环境正从单体 IDE 向可编程、可隔离的运行时演进。Eclipse Theia 作为模块化 IDE 框架,其核心价值在于支撑多租户、环境隔离与声明式运维,而非简单浏览器化。结合 Kubernetes 的 Pod 级资源隔离、StatefulSet 持久化工作区、Ingress 流量治理及 OIDC 身份集成,可构建安全、弹性、可观测的企业级云 IDE 基础设施。本文围绕镜像定制、YAML 声明式部署、工作区隔离与故障诊断,详解如何在 DigitalOcean Kubernetes(DOKS)等标准
单点登录SSO原理与OIDC/SAML/CAS协议选型实战
rongdmmap的博客
06-14 438
单点登录(SSO)是一种实现跨系统统一身份认证的架构模式,其核心在于将认证逻辑从各业务系统解耦,交由可信的身份提供者(IdP)集中处理,并通过标准化协议如OIDC、SAML或CAS安全分发身份凭证。它解决了多系统重复登录带来的体验割裂、密码复用风险及运维效率低下等典型问题,在企业内网、SaaS平台和政务系统中具有广泛技术价值。OIDC凭借JWT轻量解析与移动端友好性成为互联网场景首选;SAML以XML断言和强登出广播能力支撑高合规要求环境;CAS则以极简HTTP交互适配中小团队自建需求。本文基于真实落地经验
【k8s之RBAC:基于角色的访问控制】
最新发布
du_12138的博客
06-23 10
用户,服务,节点认证流程与步骤;CSR,kubeconfig,OIDC,TLSBootstrapping详细介绍
Keycloak on K8S HA 部署
ysjysjly1995的博客
05-10 1905
本文从 0 到 1 手把手介绍了如何不依赖 Operator 手动部署 Keycloak HA 至 kubernetes 集群。不依赖 helm、operator,纯手撸。
关于 keycloak Client 的 Valid Redirect URIs 属性
cigun5090的博客
12-30 1415
This is a required field. Enter in a URL pattern and click the + sign to add. Click the - sign next to URLs you want to remove. Remember that you s...
k8s学习第19天--证书认证
qq_34893654的博客
05-04 1149
Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。以下是Kubernetes中常用的一些认证管理机制:证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。
手把手教你:用 Kubernetes 部署 Keycloak,告别应用身份验证难题
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
01-23 2358
手把手教你:用 Kubernetes 部署 Keycloak,告别应用身份验证难题
Keycloak on Kubernetes 部署教程
gitblog_00924的博客
08-27 961
Keycloak on Kubernetes 部署教程 项目介绍 Keycloak 是一个开源的身份和访问管理解决方案,旨在为现代应用和服务提供用户身份验证和授权功能。本项目 lukaszbudnik/keycloak-kubernetes 提供了在 Kubernetes 环境中部署 Keycloak 的脚本和配置文件,使得用户可以快速在 Kubernetes 集群上启动和管理 Keycloak ...
Kubernetes 开源插件 kubelogin 使用指南
gitblog_00560的博客
11-11 759
**kubelogin** 是一个 Kubernetes 的 OpenID Connect 身份验证插件,旨在简化通过 OIDC 提供商进行安全认证的过程。它允许用户在执行 `kubectl` 命令前通过浏览器登录到身份提供商,之后自动获取访问令牌并用于与 Kubernetes API 交互。此工具支持 macOS、Linux 和 Windows 系统,采用 Apache 2.0 许可证,适合需要
基于 kubernetes 部署 Keycloak 并集成 Harbor 实现统一身份认证
qq_62935472的博客
08-12 1499
Keycloak是一款开源的身份和访问管理(IAM)工具,支持OIDC、OAuth 2.0、SAML等协议。它通过领域(Realm)管理项目工作区,客户端(Client)管理应用程序,适配器(Adapter)实现集成。在Kubernetes集群中部署Keycloak时,可通过官方提供的yaml文件配置StatefulSet,设置管理员账号、代理头、缓存等参数,并配置健康检查、数据库连接等。部署完成后,Keycloak可作为统一认证中心,为微服务架构提供身份验证和授权服务。
使用 K8S 或 Docker 快速部署 keycloak
weixin_40807433的博客
07-14 1108
Keycloak部署指南摘要 Keycloak是一个开源的IAM解决方案,提供SSO、OAuth2.0、OIDC和SAML支持。核心功能包括用户管理、多协议认证、社交登录和企业目录集成。本文介绍了两种部署方式: Docker部署:使用PostgreSQL数据库,通过环境变量配置数据库连接和管理员账号,设置代理参数和访问域名。 Kubernetes部署:包含Deployment配置(使用Keycloak 24.0.4镜像)和NodePort类型的Service配置,同样基于PostgreSQL数据库,并暴露8
探索云原生身份管理之钥:KeycloakKubernetes的完美碰撞
gitblog_00027的博客
08-29 547
探索云原生身份管理之钥:KeycloakKubernetes的完美碰撞 随着云计算和微服务架构的兴起,对于高效、安全的身份和访问管理需求日益增长。今天,我们将深入探讨一个令人兴奋的开源项目——keycloak-kubernetes,它巧妙地将流行的IAM解决方案Keycloak部署至Kubernetes这一现代应用部署平台。此项目不仅简化了在容器化环境中设置高可用认证服务器的过程,而且还提供了一...
KeyCloak K8S HA部署
canghaiguzhou的专栏
09-14 3326
KeyCloak K8S HA部署1、安装HELM3(win10)2、设置repo3、安装keycloak4、不支持helm3的旧K8S集群如何安装keycloak 1、安装HELM3(win10) 前提是你已在win10客户端装好了kubectl客户端工具,然后使用如下命令安装helm,其他平台请参见helm官网:https://helm.sh/docs/intro/install/ choco install kubernetes-helm 2、设置repo 添加keycloak的helm repo
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值