Page tree
Skip to end of metadata
Go to start of metadata


最近一段时间不少运维圈里的朋友吐槽生态极好的ELK(ElasticSearch、Logstash、Kibana)居然没有提供免费的安全认证方案,尤其是为了保护Kibana而深深烦恼。此文着重介绍如何为Kibana增加安全防护,提供账号认证和单点登录。基本原理是通过代理的方式进行认证鉴权,其他SSO系统例如自建CAS等进行对接时也具备参考价值。


基本流程

步骤

  1. 客户端(浏览器)访问 kibana 地址,请求发往代理服务
  2. 代理服务发现用户未认证,发起跳转到sso地址
  3. 客户端访问sso地址,使用统一账号进行登录认证
  4. 登录认证成功后获得该资源的有效token
  5. 带着有效token自动跳转到代理服务,获得访问session
  6. 客户端正常访问kibana地址,获得资源


实现步骤

  1. 安装代理服务
    在玉符管理后台下载API Gateway代理服务,安装到对应的Linux机器中,并设置kibana的DNS解析到改机器
  2. 在玉符管理界面添加配置API Gateway(OIDC)
    1. 管理员进入玉符后台,选择”应用管理“→ "添加应用” → 搜索“API Gateway(OIDC)”并点击“添加”
    2. 填写应用显示名称和描述等基本信息后,点击“下一步”
    3. 复制自动生成的公钥信息

    4. 填写一个Api Key和对应的URL地址

  • No labels