将Grafana和keycloak集成在一起，如何管理用户访问？

Question

问题

地堑与钥匙罩的整合

领域: zzy，两个用户: daicy，sscc

当我点击Grafana URL时，它将重定向到keycloak并对用户进行身份验证。

结果：

有胆量，sscc都能通过

希望：

sscc可以通过，胆小失败。

我需要做什么才能得到希望的结果。

方法我尝试过

我读了钥匙斗篷文件基于用户的策略

然后我跟踪文档，但失败了，所有用户都可以进行身份验证。

以下是我的授权设置：

用户策略

用户保护策略

用户sscc策略

资源配置

有人经历过这一切吗？

Answer 1

身份提供程序用于身份验证(而不是授权)。如果您想使用授权服务，那么它们必须在服务提供者端得到支持(在您的例子中是Grafana)。

不幸的是，Grafana不支持公开的Keycloak授权服务。它只支持基于角色的授权(role_attribute_path)。不幸的是，您不能拒绝通过身份验证的用户在Grafana端的访问，因为他们至少总是具有Viewer角色- https://github.com/grafana/grafana/issues/23218

Answer 2

Grafana和Keycloak合作得很好。请在您的keycloak grafana客户端中创建一个映射器，以便将角色接收到json userinfo中。

请参阅下面的示例映射程序

​

​

和你的/etc/grafana/grafana a.ini

login_attribute_path = preferred_username    
role_attribute_path = contains(roles[], 'admin') && 'Admin' || contains(roles[], 'editor') && 'Editor' || 'Viewer'

在配置结束时，重新启动grafana服务并注销所有keycloak会话。