Keycloak-Gatekeeper не заполняет роли или группы при аутентификации с использованием внешнего поставщика OIDC

Question

Keycloak-Gatekeeper не заполняет роли или группы при аутентификации с использованием внешнего поставщика OIDC

Я пытаюсь настроить keycloak-gatekeeper в качестве обратного прокси-сервера перед док-контейнером, чтобы обеспечить аутентификацию и авторизацию для этого контейнера. Я использую FusionAuth в качестве OIDC-совместимого поставщика удостоверений, и мне удалось заставить keycloak-getekeeper использовать его, используя поток авторизации. Проблема возникает, когда я пытаюсь ограничить, какие пользователи могут получить доступ к ресурсу на основе их роли или членства в группе.

В настоящее время все запросы отклонены. Когда я просматриваю логи на сервере, я вижу следующие сообщения:

1.5548202388823931e+09  info    keycloak-gatekeeper/middleware.go:90    client request  {"latency": 0.039427852, "status": 403, "bytes": 0, "client_ip": "127.0.0.1:40866", "method": "GET", "path": "/"}
1.5548202614442139e+09  error   keycloak-gatekeeper/middleware.go:108   no session found in request, redirecting for authorization  {"error": "authentication session not found"}
1.5548202614443152e+09  info    keycloak-gatekeeper/middleware.go:90    client request  {"latency": 0.000108426, "status": 307, "bytes": 95, "client_ip": "127.0.0.1:40866", "method": "GET", "path": "/"}
1.5548202614823494e+09  debug   keycloak-gatekeeper/handlers.go:88  incoming authorization request from client address  {"access_type": "", "auth_url": "https://identity.***********.io/oauth2/authorize?client_id=********&redirect_uri=https%3A%2F%2F********.io%2Foauth%2Fcallback&response_type=code&scope=openid+email+profile&state=********", "client_ip": "127.0.0.1:40866"}
1.554820261482426e+09   info    keycloak-gatekeeper/middleware.go:90    client request  {"latency": 0.000132558, "status": 307, "bytes": 298, "client_ip": "127.0.0.1:40866", "method": "GET", "path": "/oauth/authorize"}
1.5548203051960323e+09  info    keycloak-gatekeeper/handlers.go:167 issuing access token for user   {"email": "someuser@domain.com", "expires": "2019-04-09T15:31:45Z", "duration": "59m59.803970144s"}
1.5548203051961453e+09  info    keycloak-gatekeeper/middleware.go:90    client request  {"latency": 0.099124835, "status": 307, "bytes": 37, "client_ip": "127.0.0.1:40866", "method": "GET", "path": "/oauth/callback"}
1.5548203052413428e+09  debug   keycloak-gatekeeper/session.go:51   found the user identity {"id": "5f165d68-9350-47e6-9152-d76260cabd7c", "name": "someuser@domain.com", "email": "someuser@domain.com", "roles": "", "groups": ""}
1.5548203052417035e+09  warn    keycloak-gatekeeper/middleware.go:307   access denied, invalid roles    {"access": "denied", "email": "someuser@domain.com", "resource": "/*", "roles": "role-1,role-3"}
1.5548203052417736e+09  info    keycloak-gatekeeper/middleware.go:90    client request  {"latency": 0.000509757, "status": 403, "bytes": 0, "client_ip": "127.0.0.1:40866", "method": "GET", "path": "/"}

Насколько я понимаю, причина моих отказов в том, что роли не заполнены. Я также запустил клиент, чтобы получить JWT (через неявный поток) для пользователя, который возвращается примерно так:

{
  "aud": "************************",
  "exp": 1554822076,
  "iat": 1554818476,
  "iss": "https://identity.*******.io",
  "sub": "****************",
  "authenticationType": "PASSWORD",
  "email": "someuser@domain.com",
  "email_verified": true,
  "applicationId": "*****************",
  "roles": [
    "role-1",
    "role-3"
  ]
}

Из этого я вижу, что пользователь в правильных ролях.

В настоящий момент я немного растерялся относительно того, в чем заключается проблема, или как более подробно отладить экземпляр keycloak-gatekeeper.

2

oidc fusionauth keycloak-gatekeeper

Источник

user8962595 09 апр '19 в 15:01

1 ответ

Другие вопросы по тегам oidc fusionauth keycloak-gatekeeper

user8962595 09 апр '19 в 18:51 2019-04-09 18:51 · Answer 1 · 2019-04-09 18:51

Похоже, что keycloak-gatekeeper способен обрабатывать роли областей и клиентов только в токенах, предоставляемых keycloak ( https://github.com/keycloak/keycloak-gatekeeper/blob/master/user_context.go)

Вот этот код, который извлекает роли из токена:

// @step: extract the realm roles
    var roleList []string
    if realmRoles, found := claims[claimRealmAccess].(map[string]interface{}); found {
        if roles, found := realmRoles[claimResourceRoles]; found {
            for _, r := range roles.([]interface{}) {
                roleList = append(roleList, fmt.Sprintf("%s", r))
            }
        }
    }

    // @step: extract the client roles from the access token
    if accesses, found := claims[claimResourceAccess].(map[string]interface{}); found {
        for name, list := range accesses {
            scopes := list.(map[string]interface{})
            if roles, found := scopes[claimResourceRoles]; found {
                for _, r := range roles.([]interface{}) {
                    roleList = append(roleList, fmt.Sprintf("%s:%s", name, r))
                }
            }
        }
    }

Это объяснило бы, почему претензии в моем токене не появляются