我正在尝试通过 Keycloak 和 OpenID 为 OpenStack 设置 SSO。如果我使用 OpenStack 文档中的示例映射,它可以正常工作。但是,我想要一个不同的设置,需要您的帮助。 在 Keycloak 中,我定义了一个用户,并为项目 (os_project) 和角色 (os_role) 设置了属性。我正在尝试设置一个映射配置,该配置将用户分配给 Keycloak 中指定的 OpenStack 项目,并使用 Keycloak 中指定的角色。 我已经使用以下命令设置了身份提供者、映射和联合协议: openstack identity prov...
我们正在使用 Okta OIDC 向 AWS ALB 验证用户身份。我已让基本版本正常运行。 有没有办法让它要求使用 PKCE 授权码来提高安全性? ALB 文档 PKCE 文档 ...
%20%E5%AE%8C%E6%88%90%E5%90%97%EF%BC%9F.png)
我有权访问我雇主云中 MinIO 部署中的个人存储桶 - 我可以通过存储桶的内置文件浏览器轻松通过 Firefox 访问它(通过我雇主的 IAM 页面进行浏览器内 OpenID 身份验证后),但我无法通过 rclone 复制访问权限。 在 rclone 文档中,我找不到有关如何使用 OpenID Connect 代理(oidc)来验证对 S3 兼容实例(我相信 MinIO 是这样的,不是吗?)的访问的说明(并且我倾向于认为它目前不受支持) - 它似乎可用于 WebDAV,而 S3 实例需要 .conf 文件或某些我找不到如何设置的环境变量中的明确访问和密钥。...
我们有一个基于 REST 的应用程序(非浏览器应用程序),它使用基于 Kerberos 的 SPNEGO 身份验证,并且一直在与 Flask 配合使用。我们想将此应用程序转换为在 FastAPI 下运行,但我们还没有想出如何使用 OIDC 让 Kerberos 协商在 FastAPI 下工作。 在我们的(非 OIDC)Flask 应用程序中,我们在客户端运行以下代码来发送我们的 REST 请求: auth = HTTPKerberosAuth(mutual_authentication=OPTIONAL, principal="") rest_respons...
我正在尝试将 OIDC 与 bitbucket 管道和 AWS/ECR 结合使用。我通常会收到以下错误: An error occurred (UnrecognizedClientException) when calling the DescribeRepositories operation: The security token included in the request is invalid. 我尝试过基本的云跟踪,但似乎没有获取 ECR OIDC 登录信息。如何获取 AWS 中联合凭证的更详细身份验证日志?Bitbucket-pipelin...
我已经设置了 HashiCorp Nomad 服务器,我想添加 OIDC 身份验证方法。我已经在 OIDC 提供商上做好了所有准备,并在 Nomad 服务器上添加了配置,但我似乎无法获得ListClaimMappings需要检查的角色 例如,我从 OIDC 提供商获得 JWT 响应: { //****//, "resource_access": { "Nomad": { "roles": [ "engineering" ] } }, //****//, "groups": [ ...
我必须在具有高可用性的 Elastic Beanstalk 中设置我的应用程序。我的架构涉及一个在具有 ALB(公共子网)的私有子网中的 beantalk 中运行的 php 应用程序,该子网也是作为 Beanstalk 的一部分创建的。我想在 ALB 中设置 OIDC MYID 或 Azure AD 身份验证。我该怎么做? beanstalk ALB 是否也支持创建 oidc 身份验证?或者使用在 beanstalk 中运行的应用程序通过 ALB 实现 OIDC 身份验证的任何其他方法。 ...
我为 AWS API 网关 (REST) 创建了一个自定义 OIDC 授权器。它目前支持使用 RS256 算法签名的令牌,否则将失败。 OIDC.well-known端点列出了以下支持的算法,因此一切正常: "id_token_signing_alg_values_supported":["RS256"] https://login.microsoftonline.com/1d063515-6cad-4195-9486-ea65df456faa/v2.0/.well-known/openid-configuration id_token_signing_al...
是否近似等值DOMAIN\username和之间username@DOMAIN仅适用于用户还是也适用于组?特别是,使用选项请求组作为声明的 ADFS 客户端是否可以Token-Groups - Qualified by Long Domain Name假定每个条目的格式为DOMAIN\groupname,还是必须同时适应这两种风格? ...
我不明白为什么 AWS Cognito 在配置外部 IdP(例如 Azure AD)时需要客户端机密。 据我所知,AWS Cognito 仅将联合身份转发到外部 IdP 以进行(OIDC)授权代码授予流程,从而导致在成功身份验证后向应用程序发出访问和 ID 令牌: 客户端机密仅供 AWS Cognito 作为服务进行身份验证(例如 Azure AD 应用程序注册)时使用,但为什么需要它呢? https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-oidc-fl...