我安装了一个保管库并使用 gsuite 配置了 OIDC,这本身就已经是一种冒险,因为文档有限,甚至在多个地方都有错误。
最后,我对我的谷歌帐户进行了有效的身份验证,并开始创建角色,在那里我看到了一个巨大的问题。你如何限制谷歌用户使用角色。假设我创建了一个 gsuite-admin 角色,该角色可以访问所有保管库管理,任何在登录之前输入该角色的用户都可以担任该角色。
我尝试使用不同的声明,但这些声明似乎仅适用于保管库创建的组或其他事物。
有没有人有解决方案?
先感谢您。
编辑:
我使用的配置是 group 声明:
{
“allowed_redirect_uris”: “https://URL/ui/vault/auth/oidc/oidc/callback,http://localhost:8250/oidc/callback”,
“user_claim”: “sub”,
“policies”: “vault_admin”,
“ttl”: “24h”,
“groups_claim”: “devops”,
“oidc_scopes”: “profile”,
“bound_claims”: {
“group”: [“devops”]
}
}
该配置仅提供任何人都不能再使用的角色锁定。据我所知,JWT 没有任何信息,这就是我们在 oidc 配置中使用带有 fetchgroup 选项的配置的原因。