OpenObserve单节点Docker环境下SSO集成实践

2025-05-15 07:26:07作者：曹令琨Iris

🚀 10x easier, 🚀 140x lower storage cost, 🚀 high performance, 🚀 petabyte scale - Elasticsearch/Splunk/Datadog alternative for 🚀 (logs, metrics, traces, RUM, Error tracking, Session replay).

项目地址：https://gitcode.com/GitHub_Trending/op/openobserve

背景介绍

OpenObserve是一个开源的日志分析平台，支持单节点和集群部署。在企业环境中，通常需要将OpenObserve与现有的身份认证系统集成，实现单点登录(SSO)功能。本文主要介绍如何在单节点Docker环境下配置OpenObserve与Dex身份管理服务的集成方案。

核心组件

OpenObserve企业版：提供日志收集、存储和分析功能
Dex身份管理：作为OpenID Connect(OIDC)提供商，连接上游身份提供商(如Okta)
Docker Compose：用于编排容器化部署

配置详解

1. OpenObserve容器配置

OpenObserve容器需要配置以下关键环境变量：

environment:
  ZO_ROOT_USER_EMAIL: "root@example.com"  # 管理员账户
  ZO_ROOT_USER_PASSWORD: "a password"     # 管理员密码
  enterprise: true                        # 启用企业版功能
  O2_DEX_ENABLED: true                    # 启用Dex集成
  O2_DEX_CLIENT_ID: "o2-client"           # Dex客户端ID
  O2_DEX_CLIENT_SECRET: "base64..."       # Base64编码的客户端密钥
  O2_DEX_BASE_URL: "https://dex.example.com/dex"  # Dex服务地址
  O2_DEX_REDIRECT_URL: "https://logs.example.com/config/callback" # 回调地址
  O2_CALLBACK_URL: "https://logs.example.com/web/cb" # 认证后跳转地址
  O2_DEX_SCOPES: "openid profile email groups offline_access" # 请求的权限范围
  O2_DEX_GROUP_ATTRIBUTE: "css"           # 组织映射属性
  O2_DEX_ROLE_ATTRIBUTE: "cn"             # 角色属性
  O2_DEX_DEFAULT_ORG: "default"           # 默认组织

2. Dex容器配置

Dex作为身份管理，需要配置上游身份提供商(如Okta)：

issuer: https://dex.example.com/dex
staticClients:
  - id: o2-client
    secret: dex_client_secret
    name: o2-client
    redirectURIs:
      - 'https://logs.example.com/config/callback'

oauth2:
  responseTypes: ["code"]
  skipApprovalScreen: true

connectors:
- type: oidc
  id: okta
  name: okta
  config:
    insecureSkipEmailVerified: true
    issuer: https://myorg.okta.com
    clientID: okta_client_id
    clientSecret: okta_client_secret
    redirectURI: https://dex.example.com/dex/callback
    scopes: ["email", "profile", "openid"]
    claimMapping:
      email: email
      name: name

认证流程解析

用户访问OpenObserve登录页面
OpenObserve重定向到Dex认证端点
Dex根据配置重定向到上游身份提供商(如Okta)
用户在上游提供商完成认证后，返回Dex
Dex验证令牌后重定向到OpenObserve的回调地址
OpenObserve验证令牌并创建会话
用户被重定向到应用首页

常见问题与解决方案

404错误：确保回调地址配置正确，包括:
- Dex中的redirectURIs
- OpenObserve中的O2_DEX_REDIRECT_URL
- 上游身份提供商中的回调地址
令牌验证失败：检查:
- 客户端ID和密钥是否匹配
- Base64编码是否正确
- 令牌有效期配置
组织映射问题：确认:
- O2_DEX_GROUP_ATTRIBUTE设置正确
- 上游身份提供商返回的声明包含相应属性