Kanidm与Grafana集成配置指南

前言

Kanidm作为一款现代身份管理系统，提供了完善的OAuth2支持。本文将详细介绍如何将Kanidm与Grafana监控平台进行集成，实现基于OAuth2的单点登录功能。

准备工作

在开始配置前，请确保：

1. Kanidm服务已正常运行
2. Grafana服务已部署完成
3. 拥有Kanidm管理员权限

Kanidm端配置

创建OAuth2应用

首先需要在Kanidm中创建OAuth2应用：

kanidm system oauth2 create grafana "Grafana" https://grafana.yourdomain.com

配置权限范围

为应用配置所需的权限范围：

kanidm system oauth2 update-scope-map grafana grafana_users email openid profile groups

启用PKCE

出于安全考虑，建议启用PKCE：

kanidm system oauth2 enable-pkce grafana

获取客户端密钥

获取客户端密钥用于Grafana配置：

kanidm system oauth2 show-basic-secret grafana

Grafana端配置

在Grafana配置文件中添加以下内容：

[auth.generic_oauth]
enabled = true
name = kanidm
client_id = grafana
client_secret = <上一步获取的密钥>
auth_url = https://idm.yourdomain.com/ui/oauth2
token_url = https://idm.yourdomain.com/oauth2/token
api_url = https://idm.yourdomain.com/oauth2/openid/grafana/userinfo
login_attribute_path = preferred_username
scopes = openid email profile groups
use_pkce = true
use_refresh_token = true
allow_sign_up = true
allow_assign_grafana_admin = true

用户权限管理

基本用户配置

确保用户拥有必要的email属性：

kanidm person update username --mail user@example.com

角色映射方案

Kanidm提供了灵活的权限映射机制，以下是两种常见方案：

方案一：直接使用组UUID

role_attribute_path = contains(groups[*], 'group-uuid') && 'GrafanaAdmin' || 'Admin'

方案二：使用声明映射（推荐）

1. 在Kanidm中创建角色组：

kanidm group create grafana_admins
kanidm group create grafana_users

2. 配置声明映射：

kanidm system oauth2 update-claim-map-join grafana grafana_role array
kanidm system oauth2 update-claim-map grafana grafana_role grafana_admins Admin

3. Grafana配置调整为：

role_attribute_path = contains(grafana_role[*], 'Admin') && 'Admin' || 'Viewer'

常见问题解决

1. 登录失败：无法获取token

   • 检查client_secret是否正确
   • 确认PKCE配置一致

2. 404错误获取用户信息

   • 确保用户配置了email属性
   • 检查api_url路径是否正确

3. 权限分配不生效

   • 确认scope包含groups
   • 检查role_attribute_path语法

最佳实践建议

1. 使用声明映射而非直接组UUID，提高可维护性
2. 为不同权限级别创建独立的组
3. 定期轮换OAuth2客户端密钥
4. 启用PKCE增强安全性
5. 利用idm_all_persons组简化用户管理

通过以上配置，您可以实现Kanidm与Grafana的安全集成，为企业监控系统提供统一的身份认证解决方案。