使用 Keycloak-proxy 的 Zabbix HTTP 身份验证

Zabbix HTTP authentication with Keycloak-proxy

我正在尝试使用 keycloak-proxy 将 Zabbix UI 与 Keycloak SSO 集成。 我的设置如下:

  1. Nginx 是入口点:它处理“虚拟主机”,将请求转发到 keycloak-proxy。
  2. Keyclock-proxy 配置了 client_id、client_secret 等来验证 Keycloak 的用户;
  3. Apache 上的 Zabbix 仪表板,默认设置:我启用 HTTP 身份验证。

我已经在 Keycloak 和 Zabbix 中创建了一个测试用户。 身份验证流程正常:我被重定向到 KeyCloak,我进行了身份验证,但我总是收到“登录名或密码不正确”。来自 Zabbix UI.

我做错了什么? 有人试过在 Zabbix 上使用 OIDC 身份验证吗?

我正在使用 Zabbix 4.0、KeyCloak 4.4、Keycloak-proxy 2.3.0。

keycloak-代理配置:

client-id: zabbix-client
client-secret: <secret>

discovery-url: http://keycloak.my.domain:8080/auth/realms/myrealm
enable-default-deny: true
enable-logout-redirect: true
enable-logging: true
encryption_key: <secret>
listen: 127.0.0.1:10080
redirection-url: http://testbed-zabbix.my.domain
upstream-url: http://a.b.c.d:80/zabbix
secure-cookie: false
enable-authorization-header: true

resources:
- uri: /*
  roles:
    - zabbix

Zabbix 需要 PHP_AUTH_USER(或 REMOTE_USERAUTH_USER)header 和用户名,但 keycloak-proxy 没有提供。让我们使用电子邮件作为用户名(理论上您可以使用访问令牌中的任何声明)。在 keycloak-proxy 配置中向请求 header 添加电子邮件:

add-claims:
- email

并在 Zabbix Apache 配置中从电子邮件 header 创建 PHP_AUTH_USER 变量:

SetEnvIfNoCase X-Auth-Email "(.*)" PHP_AUTH_USER=

注意:Conf 语法可能不正确,因为它不在我的脑海中 - 它可能需要一些调整。

顺便说一句:有一个(hackish)用户补丁可用 - https://support.zabbix.com/browse/ZBXNEXT-4640,但 keycloak-gatekeeper 是更好的解决方案

备案:keycloak-proxy = keycloak-gatekeeper(项目已重命名并最近迁移到keycloak org)