Kubernetes OIDC 集成 KeyCloak 实现统一认证登录配置步骤

原创 已于 2025-12-14 00:55:34 修改 · 984 阅读 ·
大模型引用 1
·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
cknow-ai shida_csdn

cknow-ai 关注

标签
#kubernetes #容器 #云原生
分类 云计算与devops
于 2025-12-14 00:48:24 首次发布

本文记录 Kubernetes 集成 KeyCloak 统一认证的配置和验证步骤,仅供测试参考。

1. 部署 KeyCloak 服务

keycloak 独立于 Kubernetes 集群单独部署,本文通过 Docker Compose 启动:

mkdir -p ~/work/keycloak
cd ~/work/keycloak
cat <<EOF > generate-certs.sh
#!/bin/bash

# 创建证书目录
mkdir -p certs

# 生成自签名证书,如果有域名可以使用,不要使用 IP 而是使用域名
# 这里为了简单,就直接用的本机 IP 地址生成证书了
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout certs/tls.key \
  -out certs/tls.crt \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=Test/OU=Keycloak/CN=192.168.124.7" \
  -addext "subjectAltName = IP:192.168.124.7"

# 设置文件权限
chmod 644 certs/*

echo "证书已生成到 certs/ 目录:"
echo "- tls.crt / tls.key: PEM 格式证书"

# 显示证书信息
echo -e "\n证书信息:"
openssl x509 -in certs/tls.crt -text -noout | grep -A1 "Subject:"
openssl x509 -in certs/tls.crt -text -noout | grep -A1 "Subject Alternative Name"
EOF
bash generate-certs.sh
cat <<EOF > docker-compose.yaml
version: '3.8'

services:
  postgres:
    image: postgres:15-alpine
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: password
    volumes:
      - postgres_data:/var/lib/postgresql/data
    restart: unless-stopped

  keycloak:
    image: quay.io/keycloak/keycloak:24.0.4
    command: >
      start-dev 
      --db=postgres 
      --db-url=jdbc:postgresql://postgres:5432/keycloak 
      --db-username=keycloak 
      --db-password=password 
      --https-certificate-file=/opt/keycloak/certs/tls.crt 
      --https-certificate-key-file=/opt/keycloak/certs/tls.key 
      --hostname=192.168.124.7 
      --hostname-strict=false 
      --hostname-strict-https=false
    environment:
      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin123
      KC_HOSTNAME: 192.168.124.7
      KC_HOSTNAME_STRICT: "false"
      KC_HOSTNAME_STRICT_HTTPS: "false"
      KC_HTTPS_CERTIFICATE_FILE: /opt/keycloak/certs/tls.crt
      KC_HTTPS_CERTIFICATE_KEY_FILE: /opt/keycloak/certs/tls.key
    ports:
      - "8080:8080"   # HTTP 端口(可选)
      - "8443:8443"   # HTTPS 端口
    depends_on:
      - postgres
    volumes:
      - keycloak_data:/opt/keycloak/data
      - ./certs:/opt/keycloak/certs:ro
    restart: unless-stopped

volumes:
  postgres_data:
  keycloak_data:
EOF
docker-compose up -d

验证 keycloak 服务,访问 https://192.168.124.7:8443 (或 http://192.168.124.7:8080)(注意这里访问的地址是 KC_HOSTNAME 的设置地址,实际应用时可以使用域名,这里直接用的 IP)

在这里插入图片描述
输入用户名 admin,密码 admin123 登入

在这里插入图片描述

2. 创建 Realm 和 Client

这两个后边需要配置给 kube-apiserver 用于验证身份

创建 Realm
在这里插入图片描述
创建 Client
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

创建 Group
在这里插入图片描述
在这里插入图片描述
以下步骤为 token 添加 groups 字段:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3. 配置 kubernetes OIDC

修改 kube-apiserver 启动参数,添加如下参数:

--oidc-issuer-url=https://192.168.124.7:8443/realms/kubernetes
--oidc-client-id=kubernetes
--oidc-username-claim=preferred_username
--oidc-groups-claim=groups
"--oidc-username-prefix=oidc:"
"--oidc-groups-prefix=oidc:"
--oidc-ca-file=/etc/kubernetes/pki/keycloak.crt

由于 keycloak 使用的自签名证书,因此需要通过 --oidc-ca-file 指定证书。
复制 keycloak 的 tls.crt 文件到 kube-apiserver 所在机器的 /etc/kubernetes/pki/keycloak.crt

–oidc-username-prefix 和 --oidc-groups-prefix 参数需要整体用引号引起来,防止末尾冒号歧义。

在 Kubernetes 集群中,需要设置好 User 或 Group 对应的权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: keycloak_cluster_admin
subjects:
- kind: Group
  name: "oidc:KubernetesClusterAdmin"  # should match the Keycloak Group
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: keycloak_cluster_viewer
subjects:
- kind: Group
  name: "oidc:KubernetesClusterViewer"  # should match the Keycloak Group
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: view
  apiGroup: rbac.authorization.k8s.io

如果是给指定用户授权,可以

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: keycloak_john
subjects:
- kind: User
  name: "oidc:john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

4. 配置 kubeconfig 使用 keycloak 验证

首先,需要安装 kubelogin 插件,将二进制 kubelogin 重名命名为 kubectl-oidc_login。参考 https://github.com/int128/kubelogin#getting-started

参考如下模版,创建 kubeconfig 配置文件

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: xxx
    server: https://127.0.0.1:60066
  name: kind-kind
contexts:
- context:
    cluster: kind-kind
    user: kind-kind
  name: kind-kind
current-context: kind-kind
kind: Config
preferences: {}
users:
- name: kind-kind
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1beta1
      command: kubectl
      args:
      - oidc-login
      - get-token
      - --insecure-skip-tls-verify
      - --oidc-issuer-url=https://192.168.124.7:8443/realms/kubernetes
      - --oidc-client-id=kubernetes
      - --oidc-client-secret=LSXFEa6cjoZubwe5gjq2yekiRo3Gu84N

其中 --oidc-issuer-url,–oidc-client-id,–oidc-client-secret 可以从 keycloak 创建的 Client 配置获取。

在这里插入图片描述

在 keycloak 创建 john 用户,并为其设置一个密码,执行 kubectl 命令时,会自动调起浏览器登录 keycloak,完成认证后,命令行就可以正确执行了。

kubectl get node --kubeconfig `前边创建的 kubeconfig`

在这里插入图片描述
在这里插入图片描述

如何退出登录?执行 kubectl oidc-login clean 即可。

如何 Debug 获得的 Token,可以执行如下命令,即执行 kubeconfig 里的登录命令:

kubectl oidc-login --insecure-skip-tls-verify \                                                             
  --oidc-issuer-url=https://192.168.124.7:8443/realms/kubernetes \
  --oidc-client-id=kubernetes \
  --oidc-client-secret=LSXFEa6cjoZubwe5gjq2yekiRo3Gu84N \
  --oidc-extra-scope=email \
  --oidc-extra-scope=profile \
  get-token

会得到类似如下信息:

{"kind":"ExecCredential","apiVersion":"client.authentication.k8s.io/v1beta1","spec":{"interactive":false},"status":{"expirationTimestamp":"2025-12-13T16:15:55Z","token":"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJNSGx1OUdoYWsyYTFMX2p4NmJzMWpMbkxBZS0xczhkZjlHRmJOT1FFNmlFIn0.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.DOxOoERVTzc8g01uMgMVLK6wDX_JpR1BdlJriLtgpkAZMmhqMq7z3WXULKDn5l95JRjwAIc3mbTxe5zFfj-Qs3C0Y7P5wtGLeqne9jeegUQAJgwlsWYIxi14wR_zUEr7e-NkSxR7EYRYTSXR68jPNLfqUtz83brw6VBjwz1Uu6PDOfrZ4LC3a8RtR2PtHxfXF-aerEbt7dbVf5yN8jJOqDnNbn_34KM5--tBzdvNnNfICwZLh-6XSlOFldRJLPgAcJg9dgcMSNwsMOScyipB2zYGpCaDgA0oQLMb5kOduy28qDvFr1nPGjhkzY2brnTSdq5VSxaMQQqmNeK4lnLHqQ"}}

这里保存了从 keycloak 返回的 token 信息,通过 JWT 解码,可以看到具体的用户数据

{
  "exp": 1765641235,
  "iat": 1765640935,
  "auth_time": 1765639989,
  "jti": "ae3ed7b7-6945-492d-8838-daccca6e1f71",
  "iss": "https://192.168.124.7:8443/realms/kubernetes",
  "aud": "kubernetes",
  "sub": "69669090-bf74-412f-a781-7dd71efbbd0f",
  "typ": "ID",
  "azp": "kubernetes",
  "nonce": "AA8CtMWJoO5Tu_X17rbODn6dS-j9wYbAi8CjNeMF-pA",
  "session_state": "5b0ddd7c-e3d8-4d08-aad1-2a78888d75f7",
  "at_hash": "29rHiJtTsyvtOMKnJ8gb-Q",
  "acr": "0",
  "sid": "5b0ddd7c-e3d8-4d08-aad1-2a78888d75f7",
  "email_verified": false,
  "name": "john john",
  "preferred_username": "john",
  "given_name": "john",
  "family_name": "john",
  "email": "1233@qq.com"
}

可以看到,preferred_username 字段是 john,加上前缀 oidc: 组成最终 User 格式恰好是 oidc:john,即 ClusterRoleBinding 里授权的用户名。

如何为用户分配 Group?keycloak 直接分配即可,如下图:
在这里插入图片描述

如何对接多集群?可以分别给不同集群创建对应的 Client,共享一套 User 和 Group 信息。

点赞 点赞 19
评论 0
书签 书签 10
杂记 | 使用keycloak实现SSO单点登录(新手向,概念、原理、逻辑、详细步骤、难点解释)
野生猿林仔的博客
07-04 2万+
使用keycloak实现SSO单点登录(概念、原理、逻辑、详细步骤、难点解释)
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(三)基于springboot&keycloak+vue的前后端分离项目
mltaozi的博客
03-13 8252
本文将介绍如何使用Spring Boot、Keycloak和Vue构建一个具有前后端分离架构的Web应用程序。通过将前端与后端完全独立开发和部署,我们可以实现更高效的团队协作和灵活的技术选型。Spring Boot提供了一个稳定可靠的后台框架,Keycloak提供了身份验证和授权的解决方案,而Vue作为一种灵活易用的前端框架,使我们能够快速开发出优秀的用户界面。这样就实现了一个通过keycloak鉴权的简单前后端分离项目,当springboot版本太高(3.0)的话,也可以集成
Keycloak介绍(开源身份认证与访问控制解决方案)Realm租户、User用户、身份代理、用户联合、LDAP、自定义SPI、多因素认证MFA、硬件密钥WebAuthn、自定义扩展SPI、IAM平台
最新发布
Dontla的博客
04-30 584
Keycloak 是一个开源的身份认证与访问控制解决方案,由 Red Hat 主导开发。它的目标是:👉让开发者无需重复造轮子,就能快速为应用接入安全的认证与授权能力单点登录(SSO)用户管理身份代理(Identity Brokering)社交登录(如 Google、GitHub)多因素认证(MFA)细粒度访问控制自定义认证流程自定义用户存储自定义事件监听SPI 服务提供者接口,是Java中的一种扩展机制,允许开发者自定义实现特定接口来扩展系统功能。
Keycloak介绍
weixin_44227567的博客
03-26 4788
Keycloak是一个开源的身份和访问管理解决方案,它提供了单点登录(SSO)功能。Keycloak 支持多种标准协议,包括 OpenID Connect 和 OAuth 2.0,这使得它能够与各种服务进行集成,以提供身份验证和授权功能。单点登录(SSO):允许用户使用单一的凭证访问多个相关但独立的系统或应用。OpenID Connect 和 OAuth 2.0:支持这些行业标准协议,便于与其他系统和服务集成,如GitHub、Google和Facebook等社交媒体平台。用户管理和身份验证。
杂记 | keycloak的介绍和基本概念
野生猿林仔的博客
06-27 9228
介绍keycloak及其基本概念
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(一)Keycloak的下载与使用
mltaozi的博客
11-22 1万+
接触keycloak已经半个多月了,主要是为了用来集成现已有的项目,也是弄得头大,代码不负脱发人,也是有点小成果了,在这里把自己的这点小小经验分享给大家!
基于 kubernetes 部署 Keycloak集成 Harbor 实现统一身份认证
qq_62935472的博客
08-12 1499
Keycloak是一款开源的身份和访问管理(IAM)工具,支持OIDC、OAuth 2.0、SAML等协议。它通过领域(Realm)管理项目工作区,客户端(Client)管理应用程序,适配器(Adapter)实现集成。在Kubernetes集群中部署Keycloak时,可通过官方提供的yaml文件配置StatefulSet,设置管理员账号、代理头、缓存等参数,并配置健康检查、数据库连接等。部署完成后,Keycloak可作为统一认证中心,为微服务架构提供身份验证和授权服务。
Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 4957
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID Connect(OIDC)介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
Skooner OIDC认证配置实战:安全集成Keycloak的完整步骤
gitblog_00069的博客
02-23 748
Skooner作为一款轻量级Kubernetes实时仪表盘工具,提供了直观的集群管理界面。为提升系统安全性,通过OIDC协议集成Keycloak身份认证是企业级部署的最佳实践。本文将详细介绍如何在Skooner中配置OIDC认证实现Keycloak的无缝对接,确保集群访问的安全可控。 ## 准备工作:环境与资源清单 在开始配置前,请确保您已具备: - 运行中的Kubernetes集群(1.
Kubelogin实战技巧:如何配置Google、Keycloak等主流OIDC提供商
gitblog_00934的博客
04-29 1029
Kubelogin是一款强大的kubectl插件,专为Kubernetes OpenID Connect (OIDC) 认证设计,能帮助用户轻松集成各种OIDC提供商。本文将详细介绍如何配置Google、Keycloak等主流OIDC提供商,让你的Kubernetes认证流程更加安全高效。 ## 一、准备工作 在开始配置前,请确保你已经安装了Kubelogin。如果尚未安装,可以通过以下命令克
史上最全的keycloak部署与启动教程
qq_31532979的贺公子之数据科学与艺术博客,致力于科技向善,拥抱开源,要用技术的影响力来领导团队,而不是威权和职位!
07-31 5955
Keycloak是一个开源的身份和访问管理解决方案,它提供了OIDC(OpenID Connect)、OAuth 2.0和SAML 2.0等通用认证和授权协议的支持。下面将解释这些概念和相关知识。OIDC(OpenID Connect)是一个构建在OAuth 2.0之上的认证协议,它允许用户使用一个统一的身份标识(OpenID)进行身份验证和授权。OIDC在OAuth 2.0的基础上添加了身份验证的能力,使得应用程序可以获得用户信息,并且可以验证这些信息的真实性。
开源认证和访问控制的利器keycloak使用简介
程序那些事
11-26 2万+
keycloak是一个开源的进行身份认证和访问控制的软件。是由Red Hat基金会开发的,我们可以使用keycloak方便的向应用程序和安全服务添加身份认证,非常的方便。 keycloak还支持一些高级的特性,比如身份代理,社交登录等等。 本文将会带领大家进入keycloak的神秘世界。
Keycloak 梳理
帷幄庸者的博客
10-29 1万+
Keycloak [top] Keycloak为Web应用和Restful服务提供了一站式的单点登录解决方案。它的目标就是让应用的安全管理变得简单,让开发人员可以轻松地保护他们的应用程序和服务。并且Keycloak登录、注册、用户管理提供了可视化管理界面,你可以借助于该界面来配置符合你需要的安全策略和进行用户管理。 主要功能 Keycloak实现了业内常见的认证授权协议和通用的安全技术,主要有: 浏览器应用程序的单点登录(SSO)。 OIDC认证授权。 OAuth 2.0。 SAML。 多租户支持。 身
什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?
m0_63144319的博客
05-14 7713
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
开源身份和访问管理方案之keycloak(一)快速入门
西京刀客
02-09 3828
Keycloak 是一种开源**身份和访问管理**。它为应用程序添加了身份验证,并以最少的工作量保护服务。此外,它还提供用户联合、强身份验证、用户管理、精细授权等。
用户鉴权方式keycloak
green hand的博客
10-21 2854
Keycloak 的客户端(Client)是与认证服务器进行交互的应用程序或服务。客户端使用认证务器颁发的访问令牌来访问受保护的资源。Keycloak支持各种类型的客户端,如Web 应用、移动用和后端服务。客户端是指代表应用程序或服务的实体,它可以是Web 应用程序、移动应用程后端 API或其他与Keycloak进行身份认证和授权交互的实体。
Keycloak 入门使用第一篇
little_kelvin的博客
12-16 5万+
Keycloak入门使用一级目录二级目录 一级目录 二级目录
keycloak 认证服务
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
Keycloak概述
王老欠
03-14 7086
这里写自定义目录标题Keycloak概述Single-Sign OnKerberos社交登录用户合并客户端适配管理控制台用户管理控制台标准协议授权服务Getting Started Keycloak概述 keycloak是一个开源的,面向现代应用程序和服务的身份认证和访问控制解决方案。它使得应用和服务获得安全性变得容易,写很少的代码甚至零代码。 下面主要对keycloak的部分功能做简要介绍。完整...
Keycloak各种配置及API的使用
热门推荐
wdquan19851029的专栏
01-09 12万+
介绍要完成SSO功能,所需要的keycloak API接口及其介绍。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值