Перейти до основного вмісту

Nginx

Увімкніть одноразовий вхід на основі OpenID Connect для додатків, проксійованих NGINX Plus, використовуючи Casdoor як провайдера ідентичності (IdP).

Цей посібник пояснює, як увімкнути одноразовий вхід (SSO) для додатків, які проксіюються NGINX Plus. Рішення використовує OpenID Connect як механізм аутентифікації, з Casdoor як провайдером ідентичності (IdP) та NGINX Plus як залежною стороною.

See also: NGINX Plus OpenID Connect on GitHub.

Передумови

Інструкції передбачають, що у вас є наступне:

  • Запущений сервер Casdoor. See Server installation and Try with Docker.

  • Підписка на NGINX Plus та NGINX Plus R15 або новіші. Для інструкцій з інсталяції дивіться NGINX Plus Admin Guide.

  • Модуль NGINX JavaScript, який необхідний для обробки взаємодії між NGINX Plus та IdP, NGINX JavaScript module. Після інсталяції NGINX Plus, встановіть модуль, використовуючи відповідну команду для вашої операційної системи.

    Для Debian та Ubuntu:

    sudo apt install nginx-plus-module-njs

    Для CentOS, RHEL та Oracle Linux:

    sudo yum install nginx-plus-module-njs

  • Наступна директива повинна бути включена в головний ("main") контекст конфігурації в /etc/nginx/nginx.conf для завантаження модуля NGINX JavaScript:

    load_module modules/ngx_http_js_module.so;

Налаштування Casdoor

Примітка: Наступна процедура відображає графічний інтерфейс користувача Casdoor на момент публікації, але інтерфейс може змінюватися. Використовуйте цей посібник як довідник та адаптуйте до поточного графічного інтерфейсу користувача Casdoor за необхідності.

Щоб створити клієнт Casdoor для NGINX Plus у графічному інтерфейсі користувача Casdoor, виконайте наступні кроки:

  1. Log in to your Casdoor account at http://your-casdoor-url.com/login/.

  2. У верхній навігаційній колонці натисніть Application. На сторінці Application, що відкриється, натисніть кнопку Add у верхньому лівому куті.

    addApp

  3. На сторінці Edit Application, що відкриється, змініть значення у полях Name та Display name на назву додатку, для якого ви вмикайте SSO. Тут ми використовуємо NGINX Plus.

    appName

    У полі Redirect URLs введіть URL-адресу екземпляра NGINX Plus, включаючи номер порту, і закінчуючи /_codexch (у цьому посібнику це https://your-site-url.com:443/_codexch).

    redirectURL

    Примітки:

    • Для виробництва ми настійно рекомендуємо використовувати SSL/TLS (порт 443).
    • Номер порту є обов'язковим, навіть коли ви використовуєте стандартний порт для HTTP (80) або HTTPS (443).

  4. Record the Client ID and Client Secret; you will use them in Step 4 of Configuring NGINX Plus.

    Клієнт

  5. Натисніть Roles у верхній навігаційній колонці, потім натисніть кнопку Add у верхньому лівому куті сторінки, що відкриється.

    addRole

  6. На сторінці Add, що відкриється, введіть значення у полях Name та Display Name (тут це nginx-casdoor-role) та натисніть кнопку Save.

    roleName

  7. У верхній навігаційній колонці натисніть Users. На сторінці Users, що відкриється, натисніть Edit, щоб редагувати одного з існуючих користувачів, або натисніть кнопку Add у верхньому лівому куті, щоб створити нового користувача.

  8. На сторінці Add, що відкриється, змініть Name та Display Name на свій розсуд (тут це user1).

    userName

    Виберіть NGINX Plus у полі Signup application.

    signupApp

    У полі Managed accounts виберіть NGINX Plus у Application та заповніть ім'я користувача та пароль.

    managedAcc

  9. Поверніться на сторінку Roles та натисніть Edit у рядку nginx-casdoor-role. На відкритій сторінці у полі Sub users виберіть ім'я користувача, яке ви щойно створили (тут це built-in/user1).

    subUsers

Налаштування NGINX Plus

Щоб налаштувати NGINX Plus як залежну сторону OpenID Connect, виконайте наступні кроки:

  1. Почніть зі створення клону репозиторію GitHub nginx-openid-connect:

    git clone https://github.com/nginxinc/nginx-openid-connect

  2. Скопіюйте наступні файли з клону до директорії /etc/nginx/conf.d:

    • frontend.conf
    • openid_connect.js
    • openid_connect.server_conf
    • openid_connect_configuration.conf

  3. Отримайте URL-адреси для точки авторизації, точки токена та файлу JSON Web Key (JWK) з конфігурації Casdoor. Відкрийте термінал та виконайте наступну команду curl, перенаправляючи вивід до вказаної команди python, щоб згенерувати читабельний формат конфігурації. Для стислості ми скоротили вивід, щоб показати лише відповідні поля. 

    curl http://<casdoor-server-address>/.well-known/openid-configuration | python -m json.tool
    {
        "authorization_endpoint": "https://<casdoor-server-address>/login/oauth/authorize",
        "...":"...",
        "token_endpoint": "http://<casdoor-server-address>/api/login/oauth/access_token",
        "...":"...",
        "jwks_uri": "http://<casdoor-server-address>/.well-known/jwks",
        "...":"...",
    }

  4. Відкрийте /etc/nginx/conf.d/openid_connect_configuration.conf за допомогою вашого улюбленого текстового редактора. Змініть значення параметра "default" для кожної з наступних директив map на вказані значення:

    • map $host $oidc_authz_endpoint – Use the value of the authorization_endpoint from Step 3 (in this guide, https://<casdoor-server-address>/login/oauth/authorize)
    • map $host $oidc_token_endpoint – Use the value of the token_endpoint from Step 3 (in this guide, http://<casdoor-server-address>/api/login/oauth/access_token)
    • map $host $oidc_client – Use the value in the Client ID field from Step 4 of Configuring Casdoor
    • map $host $oidc_client_secret – Use the value in the Client Secret field from Step 2 of Configuring Casdoor
    • map $host $oidc_hmac_key – Використовуйте унікальну, довгу та безпечну фразу

  5. Налаштуйте файл JWK залежно від версії NGINX Plus, яку ви використовуєте:

    • In NGINX Plus R17 and later, NGINX Plus can directly read the JWK file from the URL specified as jwks_uri in Step 3. Зробіть наступні зміни у /etc/nginx/conf.d/frontend.conf:
      1. Закоментуйте (або видаліть) директиву auth_jwt_key_file.
      2. Розкоментуйте директиву auth_jwt_key_request. (Параметр /_jwks_uri відноситься до значення змінної $oidc_jwt_keyfile, яке буде встановлено на наступному кроці.)
      3. Update the "default" parameter of the map $host $oidc_jwt_keyfile directive to the value obtained from the jwks_uri field in Step 3 (in this guide, http://<casdoor-server-address>/.well-known/jwks).
    • У NGINX Plus R16 та раніших, або якщо це бажано, файл JWK має бути розташований на локальному диску. Виконайте наступні кроки:
      1. Copy the JSON contents from the JWK file specified in the jwks_uri field in Step 3 (in this guide, http://<casdoor-server-address>/.well-known/jwks) to a local file (e.g., /etc/nginx/my_casdoor_jwk.json).
      2. У /etc/nginx/conf.d/openid_connect_configuration.conf, змініть параметр "default" директиви map $host $oidc_jwt_keyfile на шлях до локального файлу.

  6. Переконайтеся, що користувач, вказаний у директиві user у файлі конфігурації NGINX Plus (зазвичай /etc/nginx/nginx.conf), має права на читання файлу JWK.

Тестування

Відкрийте браузер та введіть адресу вашого екземпляра NGINX Plus. Потім спробуйте увійти, використовуючи облікові дані користувача, якому було призначено роль NGINX Plus.

тест

Усунення несправностей

See the Troubleshooting section in the nginx-openid-connect repository.