Ansible Semaphore 集成 Authentik OIDC 认证配置指南

2025-05-20 23:46:06作者：滑思眉Philip

在部署 Ansible Semaphore 时，许多团队会选择通过 OIDC 协议集成现有的身份认证系统。Authentik 作为一款开源的身份认证和访问管理平台，与 Semaphore 的集成能够为企业提供统一的认证入口。本文将详细介绍如何正确配置 Authentik OIDC 与 Ansible Semaphore 的集成。

常见配置问题分析

在实际部署过程中，开发者经常会遇到 OIDC 认证超时的问题。从错误日志中可以观察到，系统尝试访问的端点 URL 格式可能存在异常：

level=error msg="Get \"https://auth.mydomain.com/application/o/ansible-oidc/.well-known/openid-configuration\": dial tcp server_ip:443: i/o timeout"

这种超时问题往往并非真正的网络连接问题，而是由于端点 URL 格式配置不当导致的。特别需要注意的是 URL 末尾的斜杠处理。

正确的 Authentik OIDC 配置

经过实际测试验证，以下是 Ansible Semaphore 与 Authentik 集成的推荐配置模板：

"authentik": {
    "icon": "git",
    "display_name": "Sign in with Authentik",
    "client_id": "YOUR_CLIENT_ID",
    "client_secret": "YOUR_CLIENT_SECRET",
    "redirect_url": "https://your-semaphore-domain/api/auth/oidc/authentik/redirect",
    "provider_url": "https://your-authentik-domain/application/o/your-oauth-provider-name/",
    "username_claim": "preferred_username",
    "name_claim": "name",
    "email_claim": "email"
}

关键配置项说明

provider_url：必须确保以斜杠结尾，这是 Authentik 的特殊要求。正确的格式应为 https://domain/application/o/provider-name/
redirect_url：必须与在 Authentik 中配置的回调 URL 完全一致，包括协议(http/https)和路径
声明映射：
- username_claim：建议使用 preferred_username
- name_claim：可使用 name 或 preferred_username
- email_claim：通常使用 email
scope配置：默认包含 openid、profile 和 email，这些scope需要确保在Authentik的提供者配置中已启用