Eclipse Che 使用 GitLab 作为 OIDC 提供商的配置指南

背景介绍

在 Kubernetes 环境中部署 Eclipse Che 时，集成 OpenID Connect (OIDC) 身份认证是常见的需求。GitLab 作为代码托管平台，也提供了 OIDC 服务能力。本文将详细介绍如何正确配置 GitLab 作为 Eclipse Che 的 OIDC 身份提供商。

核心问题分析

用户反馈的主要问题是：在配置 GitLab OIDC 后，登录时出现"重定向 URI 无效"的错误。这通常是由于回调地址配置不匹配导致的。

解决方案

1. 回调地址的正确配置

Eclipse Che 的标准 OIDC 回调地址格式为：

https://<您的Che服务器地址>/oauth/callback

这个地址必须与 GitLab 应用配置中的"Redirect URI"完全一致，包括：

• 协议（必须为 HTTPS）
• 域名或IP地址
• 端口（如果使用非标准端口）
• 路径（/oauth/callback）

2. GitLab 应用配置步骤

1. 登录 GitLab 管理员账户
2. 进入"Admin Area" > "Applications"
3. 创建新应用时需填写：
   • Name: Eclipse Che
   • Redirect URI: 上述标准回调地址
   • 勾选"openid"和"profile"权限
   • Confidential: 保持选中状态

3. EKS 集群关联配置

当将 GitLab OIDC 与 EKS 集群关联时，需要确保：

• IAM 角色信任策略中包含 GitLab 的 OIDC 提供商标识
• 集群的 kubeconfig 文件正确配置了 OIDC 参数

常见问题排查

1. HTTPS 要求： Eclipse Che 强制要求使用 HTTPS 协议，如果使用自签名证书，需要确保客户端信任该证书。

2. 多级路径问题： 如果 Che 部署在子路径下（如 example.com/che），回调地址应相应调整为：

   https://example.com/che/oauth/callback
   

3. 网络连通性： 确保 EKS 工作节点能够访问 GitLab 的 OIDC 发现端点。

进阶配置建议

对于生产环境，建议考虑：

1. 配置 SCIM 用户同步
2. 设置适当的会话超时时间
3. 配置多因素认证增强安全性
4. 定期轮换客户端密钥

总结

通过正确配置回调地址和相关参数，GitLab 完全可以作为 Eclipse Che 的 OIDC 身份提供商。关键在于确保各个系统间的配置一致性，特别是重定向URI的精确匹配。遇到问题时，建议按照网络层、配置层、应用层的顺序逐步排查。