3.3. 使用 Keycloak 从 OAuth2 代理迁移到 Developer Hub 中的 OIDC
如果您使用 OAuth2 代理作为带有 Keycloak 的身份验证供应商,并且希望迁移到 OIDC,您可以更新身份验证供应商配置以使用 OIDC。
流程
-
在 Keycloak 中,将有效的重定向 URI 更新至
https://<rhdh_url>/api/auth/oidc/handler/frame。确保将 <rhdh_url> 替换为您的 Developer Hub 应用程序 URL,如my.rhdh.example.com。 -
将
app-config.yaml文件的auth部分中的oauth2Proxy配置值替换为oidc配置值。 将
signInPage配置值从oauth2Proxy更新至oidc。以下示例显示了在将身份验证供应商迁移到 oid 之前
oauth2Proxy的auth.providers和signInPage配置:auth: environment: production session: secret: ${SESSION_SECRET} providers: oauth2Proxy: {} signInPage: oauth2Proxy以下示例显示了在将身份验证供应商迁移到
oidc后auth.providers和signInPage配置:auth: environment: production session: secret: ${SESSION_SECRET} providers: oidc: production: metadataUrl: ${KEYCLOAK_METADATA_URL} clientId: ${KEYCLOAK_CLIENT_ID} clientSecret: ${KEYCLOAK_CLIENT_SECRET} prompt: ${KEYCLOAK_PROMPT} # recommended to use auto signInPage: oidc删除 OAuth2 Proxy sidecar 容器,并更新 Helm Chart 的
values.yaml文件的upstream.service部分,如下所示:-
service.ports.backend:7007 service.ports.targetPort:backend以下示例显示了在将身份验证供应商迁移到
oidc之前oauth2Proxy的服务配置:service: ports: name: http-backend backend: 4180 targetPort: oauth2Proxy以下示例显示了将身份验证供应商迁移到
oidc后的服务配置:service: ports: name: http-backend backend: 7007 targetPort: backend
-
- 升级 Developer Hub Helm Chart。
