OpenObserve单节点Docker环境下SSO集成实践

2025-05-15 06:29:06作者：曹令琨Iris

背景介绍

OpenObserve是一个开源的日志分析平台，支持单节点和集群部署。在企业环境中，通常需要将OpenObserve与现有的身份认证系统集成，实现单点登录(SSO)功能。本文主要介绍如何在单节点Docker环境下配置OpenObserve与Dex身份管理服务的集成方案。

核心组件

OpenObserve企业版：提供日志收集、存储和分析功能
Dex身份管理：作为OpenID Connect(OIDC)提供商，连接上游身份提供商(如Okta)
Docker Compose：用于编排容器化部署

配置详解

1. OpenObserve容器配置

OpenObserve容器需要配置以下关键环境变量：

environment:
  ZO_ROOT_USER_EMAIL: "root@example.com"  # 管理员账户
  ZO_ROOT_USER_PASSWORD: "a password"     # 管理员密码
  enterprise: true                        # 启用企业版功能
  O2_DEX_ENABLED: true                    # 启用Dex集成
  O2_DEX_CLIENT_ID: "o2-client"           # Dex客户端ID
  O2_DEX_CLIENT_SECRET: "base64..."       # Base64编码的客户端密钥
  O2_DEX_BASE_URL: "https://dex.example.com/dex"  # Dex服务地址
  O2_DEX_REDIRECT_URL: "https://logs.example.com/config/callback" # 回调地址
  O2_CALLBACK_URL: "https://logs.example.com/web/cb" # 认证后跳转地址
  O2_DEX_SCOPES: "openid profile email groups offline_access" # 请求的权限范围
  O2_DEX_GROUP_ATTRIBUTE: "css"           # 组织映射属性
  O2_DEX_ROLE_ATTRIBUTE: "cn"             # 角色属性
  O2_DEX_DEFAULT_ORG: "default"           # 默认组织

2. Dex容器配置

Dex作为身份管理，需要配置上游身份提供商(如Okta)：

issuer: https://dex.example.com/dex
staticClients:
  - id: o2-client
    secret: dex_client_secret
    name: o2-client
    redirectURIs:
      - 'https://logs.example.com/config/callback'

oauth2:
  responseTypes: ["code"]
  skipApprovalScreen: true

connectors:
- type: oidc
  id: okta
  name: okta
  config:
    insecureSkipEmailVerified: true
    issuer: https://myorg.okta.com
    clientID: okta_client_id
    clientSecret: okta_client_secret
    redirectURI: https://dex.example.com/dex/callback
    scopes: ["email", "profile", "openid"]
    claimMapping:
      email: email
      name: name

认证流程解析

用户访问OpenObserve登录页面
OpenObserve重定向到Dex认证端点
Dex根据配置重定向到上游身份提供商(如Okta)
用户在上游提供商完成认证后，返回Dex
Dex验证令牌后重定向到OpenObserve的回调地址
OpenObserve验证令牌并创建会话
用户被重定向到应用首页

常见问题与解决方案

404错误：确保回调地址配置正确，包括:
- Dex中的redirectURIs
- OpenObserve中的O2_DEX_REDIRECT_URL
- 上游身份提供商中的回调地址
令牌验证失败：检查:
- 客户端ID和密钥是否匹配
- Base64编码是否正确
- 令牌有效期配置
组织映射问题：确认:
- O2_DEX_GROUP_ATTRIBUTE设置正确
- 上游身份提供商返回的声明包含相应属性

最佳实践建议

在生产环境中使用HTTPS协议
定期轮换客户端密钥
配置适当的令牌有效期
监控认证日志
测试不同组织/角色的映射关系

总结

通过Docker Compose部署OpenObserve和Dex的单节点SSO解决方案，可以快速实现企业级身份认证集成。关键在于正确配置各组件间的通信参数和回调地址，并确保令牌的生成和验证流程顺畅。本文提供的配置示例和问题排查方法，可帮助管理员快速搭建和调试系统。

登录后查看全文

OpenObserve单节点Docker环境下SSO集成实践

背景介绍

核心组件

配置详解

1. OpenObserve容器配置

2. Dex容器配置

认证流程解析

常见问题与解决方案

最佳实践建议

总结

热门内容推荐

最新内容推荐

项目优选

OpenObserve单节点Docker环境下SSO集成实践

背景介绍

核心组件

配置详解

1. OpenObserve容器配置

2. Dex容器配置

认证流程解析

常见问题与解决方案

最佳实践建议

总结

相关内容推荐

热门内容推荐

最新内容推荐

项目优选