Semaphore项目中使用Authentik OIDC认证的配置指南

背景介绍

Semaphore是一个开源的持续集成和持续部署(CI/CD)工具，它支持通过OIDC(OpenID Connect)协议进行用户认证集成。在实际部署中，很多团队会选择使用Authentik作为身份提供商(IDP)来管理用户认证。本文将详细介绍如何在Semaphore中正确配置Authentik的OIDC集成。

常见配置问题

在配置Semaphore与Authentik的OIDC集成时，开发者经常会遇到连接超时的问题。从错误日志可以看到，系统尝试访问.well-known/openid-configuration端点时出现超时。这通常是由于URL配置不当导致的。

正确的Authentik OIDC配置

经过项目维护者的验证，以下是经过测试的可靠配置示例：

{
    "authentik": {
        "icon": "git",
        "display_name": "Sign in with Authentik",
        "client_id": "YOUR_CLIENT_ID",
        "client_secret": "YOUR_CLIENT_SECRET",
        "redirect_url": "YOUR_SEMAPHORE_URL/api/auth/oidc/authentik/redirect",
        "provider_url": "https://your-authentik-domain.com/application/o/your-oauth-provider-name/",
        "username_claim": "preferred_username",
        "name_claim": "name",
        "email_claim": "email"
    }
}

关键配置说明

1. provider_url：这是最重要的配置项，必须确保URL末尾包含斜杠(/)。正确的格式应该是https://domain.com/application/o/provider-name/。

2. redirect_url：必须与在Authentik中注册的回调URL完全匹配，包括协议(http/https)。

3. 声明映射：

   • username_claim：建议使用"preferred_username"
   • name_claim：使用"name"获取用户全名
   • email_claim：使用"email"获取用户邮箱

故障排查建议

如果遇到连接问题，可以按照以下步骤检查：

1. 确认provider_url的格式正确，特别是结尾的斜杠
2. 检查网络连通性，确保Semaphore服务器可以访问Authentik实例
3. 验证SSL证书是否有效
4. 检查Authentik中的OAuth2/OpenID提供商配置是否正确
5. 确保客户端ID和密钥匹配

总结

正确配置Semaphore与Authentik的OIDC集成需要注意URL格式细节和声明映射。通过遵循本文提供的配置示例和最佳实践，可以避免常见的连接问题，实现无缝的身份认证集成。对于生产环境，建议在部署前进行全面测试，确保所有配置项都正确无误。