使用 Keycloak-proxy 进行 Zabbix HTTP 身份验证

Question

我正在尝试使用 keycloak-proxy 将 Zabbix UI 与 Keycloak SSO 集成。 我的设置如下：

1. Nginx 是入口点：它处理“虚拟主机”，将请求转发到 keycloak-proxy。
2. Keyclock-proxy 配置了 client_id、client_secret 等，用于对 Keycloak 的用户进行身份验证；
3. Apache 上的 Zabbix 仪表板，默认设置：我启用 HTTP 身份验证。

我在 Keycloak 和 Zabbix 中都创建了一个测试用户。 身份验证流程正常：我被重定向到 KeyCloak，我进行身份验证，但我总是收到“登录名或密码不正确”。来自 Zabbix UI。

我做错了什么？ 有没有人尝试在 Zabbix 中使用 OIDC 身份验证？

我正在使用 Zabbix 4.0、KeyCloak 4.4、Keycloak-proxy 2.3.0。

keycloak-proxy 配置：

client-id: zabbix-client
client-secret: <secret>

discovery-url: http://keycloak.my.domain:8080/auth/realms/myrealm
enable-default-deny: true
enable-logout-redirect: true
enable-logging: true
encryption_key: <secret>
listen: 127.0.0.1:10080
redirection-url: http://testbed-zabbix.my.domain
upstream-url: http://a.b.c.d:80/zabbix
secure-cookie: false
enable-authorization-header: true

resources:
- uri: /*
  roles:
    - zabbix

Answer 1

Zabbix 需要PHP_AUTH_USER（或REMOTE_USER 或AUTH_USER）标头带有用户名，但keycloak-proxy 不提供它。让我们使用电子邮件作为用户名（理论上您可以使用访问令牌中的任何声明）。将电子邮件添加到 keycloak-proxy 配置中的请求标头：

add-claims:
- email

并从 Zabbix Apache 配置中的电子邮件标头创建 PHP_AUTH_USER 变量：

SetEnvIfNoCase X-Auth-Email "(.*)" PHP_AUTH_USER=$1

注意：Conf 语法可能不正确，因为它不在我的脑海中 - 它可能需要一些调整。

顺便说一句：有一个（hackish）用户补丁可用 - https://support.zabbix.com/browse/ZBXNEXT-4640，但 keycloak-gatekeeper 是一个更好的解决方案

备案：keycloak-proxy = keycloak-gatekeeper（项目最近改名迁移到keycloak org）