Caddy-Security 项目中使用自定义 OIDC 提供商的配置指南

在 Caddy-Security 项目中配置自定义 OIDC（OpenID Connect）身份提供商是一个常见需求，特别是当企业使用自建的身份认证系统时。本文将详细介绍如何正确配置 Caddy-Security 以支持自定义 OIDC 提供商。

核心配置要点

1. 必须使用 "generic" 驱动类型
   在配置自定义 OIDC 提供商时，driver 参数必须设置为 "generic"，这是支持非标准 OIDC 提供商的关键配置项。

2. 基础 URL 和元数据端点配置
   需要明确指定以下两个关键参数：

   • 基础 URL（base_url）：OIDC 提供商的基础地址
   • 元数据 URL（metadata_url）：提供 OIDC 发现文档的端点

完整配置示例

authentication portal myportal {
    crypto default token lifetime 3600
    crypto key sign-verify {env.JWT_SHARED_KEY}
    
    enable identity provider myidentityprovider {
        driver generic
        base_url https://your-oidc-provider.com
        metadata_url https://your-oidc-provider.com/.well-known/openid-configuration
        client_id {env.OIDC_CLIENT_ID}
        client_secret {env.OIDC_CLIENT_SECRET}
    }
    
    cookie domain mydomain.com
    
    ui {
        links {
            "My Identity" "/whoami" icon "las la-user"
        }
    }
}

配置说明

1. driver generic
   明确指定使用通用 OIDC 驱动，这是支持自定义提供商的前提条件。

2. base_url
   指向 OIDC 提供商的基础地址，所有相关端点都将基于此地址构建。

3. metadata_url
   提供 OIDC 发现文档的完整路径，Caddy-Security 将通过此端点自动发现 OIDC 提供商的能力和配置。

4. 客户端凭证
   通过环境变量注入客户端ID和密钥，确保敏感信息的安全管理。

常见问题解决

如果在配置过程中遇到 "driver is unsupported" 错误，请检查：

• 是否正确设置了 driver generic 参数
• 是否提供了完整的 base_url 和 metadata_url
• 所有URL是否可被Caddy服务器访问

通过以上配置，Caddy-Security 可以灵活地集成各种符合OIDC标准的自定义身份提供商，为企业级应用提供安全可靠的身份认证服务。