问题标签 [mod-auth-openidc]

我正在尝试使用 PingIdentity ( https://github.com/pingidentity/mod_auth_openidc ) 提出的产品 mod_auth_openidc 我正在研究“Red Hat Enterprise Linux Server release 6.8 (Santiago)” 当我开始安装软件包时，我发现“CJOSE”包不存在。你能帮忙吗？如果你们中的任何人已经安装了这个产品，可以向我解释如何继续。

非常感谢。

我正在尝试在 Windows 7 64 位操作系统上编译 mod_auth_openidc 模块
我 从 github 的 Source Code获得源代码

我尝试使用 Visual Studio 2015 构建此模块，但它抛出错误“您必须使用 GNU 编译器”。从最近几天开始，我试图在 Windows 中构建它，但是......

你能帮我在windows中构建这个模块吗，或者如果有人在windows中做了这个，你能分享一下构建步骤吗？谢谢...

我有一个文件夹，里面有文件和文件夹，我在Debian Jessie上运行Apache 2.4。一切都是和。chmoded 755chowned by www-data

我已经启用了目录索引，Options +Indexes并且还使用Options Indexes FollowSymlinks MultiViews了我的 VirtualHost 的配置。

我没有IndexIgnore指令apache2.conf

当我从 HTTP 访问文件夹时，Apache 只显示文件而不显示文件夹。

我也想显示文件夹链接。我怎样才能做到这一点？

我正在尝试设置一个需要针对 OpenID Connect 身份提供者进行身份验证的反向代理。

用户然后授予反向代理访问他的数据。

如果用户是特定 LDAP 组的成员，则代理后面的某些应用程序只能由用户访问。可悲的是，应用程序是转储并且无法自行授权，因此反向代理必须处理该部分。

使用mod_auth_openidc设置身份验证部分并不难。我挣扎的是授权部分。我有一个mod_authnz_ldap的工作示例，它需要用户名和密码而不是BasicAuth。

OpenID Connect 的想法是资源服务器（在我的例子中是代理）永远不会知道用户的密码，也不必检查它。这被委托给 OpenID Connect 身份提供者。

所以我没有这种方法所需的密码。我的想法是创建一个带有 oidc auth 的虚拟主机，它拒绝x-my-oidc-username来自客户端的某些标头，一旦经过身份验证就设置此标头并将请求传递给另一个 vhost 绑定，127.0.0.1因此无法绕过身份验证直接访问它。该虚拟主机仅将标头作为经过身份验证的用户名并运行 LDAP 授权。

我还没有看到跳过 ldap 模块的身份验证阶段并从其他地方（如 OpenID Connect ID 令牌）或我的自定义标头获取用户名的方法。

任何想法/建议/方法/提示？

我正在我们的基础设施中设置 SSO，我想知道人们是否愿意分享他们的经验。

• 我的系统前面已经有一个反向代理。
• 我们有几个在 tomcat 上运行的遗留 Java 应用程序
• 我们也有用 JS 编写的 SPA 应用程序
• 我们很少有 API 也需要保护

我有两种方法可以为我们设置 SSO。

1. 使用 mod_auth_openidc 在反向代理上设置 SSO，以便我们的网守确保访问我们服务的任何人都已经过验证。

2. 为每个单独的服务添加一个 keycloak 库

我的偏好是在引用代理上进行设置。

在这方面有什么缺点/最佳实践吗？

对于遗留应用程序，我只会使用反向代理添加的 HTTP 标头来查找用户详细信息。对于新应用程序，我想使用 keycloak 库来获取用户详细信息。

我不想走一些明显有问题的路线。因此，非常欢迎任何可以节省时间的提示。

到目前为止，我想出了以下列表

使用代理服务器和 mod_auth_openidc 的专业人士

• 处理所有身份验证特定配置的单一位置
• 抽象出 SSO 的实现细节。例如，我们不需要将 keycloak 集成到每个服务中。在我看来，如果我们稍后决定实际迁移到不同的 SSO，这可能会导致问题。（我知道这不会经常发生）

使用代理服务器和 mod_auth_openidc 的缺点

• 要维护的附加软件（错误等）
• 如果应用程序还与 keycloak 集成，则可能对凭据进行额外检查（不需要，但只有在应用程序中需要 keycloak 特定功能且标题中不可用的功能时才需要）

我会对其他人对利弊的看法感兴趣吗？

谢谢

当我们查看 OpenidConnect 流时，您的解决方案不匹配。

身份提供者应该使用 LDAP Directory 进行最终用户身份验证，而不是中继方。“mod_auth_openidc”扮演中继方的角色，而不是身份提供者。

你能告诉我你的想法吗？

Apache2 反向代理，通过 OpenID Connect 进行身份验证并通过 ldap 进行授权

我正在使用 apache 模块 mod_auth_openidc。我正在尝试连接一些变量以便将其发送到我的应用程序。

我的应用程序显示 HTTP 标头属性 在此处输入图像描述

目的是连接“sub”和“email”值并将它们放在 REMOTE_USER 变量中。

请问有什么建议吗？

我在 keycloak 前使用 mod_auth_openidc，效果很好。在一种情况下，我不确定什么是最好的处理方式。

1、用户通过mod_auth_openidc登录应用（有token）

应用程序使用存储在访问令牌中的语言环境来显示与语言相关的内容

2、用户进入 keycloak 账户页面并更改其语言环境

在 keycloak 中存储了新的语言环境

3、用户返回任一应用

正弦 mod_auth_openidc 缓存了仍然包含陈旧用户属性的访问令牌

有没有办法强制 mod_auth_openidc 使所有访问令牌无效并从 keycloak 获取新令牌？

我试过了

• ?刷新=&access_token=

我确实收到了很棒的新访问令牌。新的访问令牌包含正确的语言环境和用户属性。

尽管标头仍然包含陈旧的数据。

这是正确的行为还是在 mod_open_id 中很重要

有人有这方面的经验吗？

ps：我现在也无法从这个会话中注销

感谢您的任何建议。

我们正在将 PingID Connect 与我们的应用程序集成，这是一个单页应用程序 (SPA)，SPA“捆绑程序”位于 apache 反向代理后面的 tomcat 应用程序服务器上，apache 反向代理还充当所有 API 调用的代理应用程序制作，

我们正在与 apache 模块 mod_auth_openidc 集成，我们的客户通过 Ping 对公司 Active Directory（AD）商店进行身份验证该应用程序具有使用 AD 组的基于角色的访问权限，

我们想通过 OpenID/OAuth 集成基于 AD 组的访问 - AD 组作为 id_token 中的声明发送但是似乎只有在我们将 auth_code 发布到 auth 端点（也有范围作为输入参数），

所以我们无法根据 AD 组选择范围？如果是，这是否意味着我们必须有自定义的基于角色的矩阵存储映射到定义的每个范围？任何建议都非常受欢迎。

有没有办法将 mod_auth_openidc 配置为使用以 xml 格式返回的 OIDCProviderMetadataURL？