SAML登陆Amazon Grafana
发表于|更新于|软件
|总字数:137|阅读时长:1分钟
现在很多古老的系统还是使用SAML协议进行单点登录,
可以使用SAML-tracer抓断言,
Chrome 插件https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch
对Grafana而言,大概是这几个字段,
用户名,显示名字,登陆邮箱,如果需要整组授权,还要把组名映射到role面,SAML登陆可以以人为单位,也可以以整个组为单位,直接映射到SAML的Role,出于方便的目的,我们给到Admin。

SAML那边直接按照这个断言设置就好。
文章作者: 忘机山人
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC 4.0 许可协议。转载请注明来源 镜湖!
相关推荐
2026-04-29
Cognito OIDC接入
做业务时,”用户登录”这件事几乎绕不过去。自己写一套账号密码系统?又是加密、又是找回密码、又是防刷,光想想就头大。 更聪明的做法是:把身份认证外包给专业的身份提供商(IdP),自己只负责”拿到一个可信的用户身份”。这就是 OIDC(OpenID Connect)协议要解决的事。 今天这篇文章,我会带你用 Python 最好用的 OAuth/OIDC 库 —— Authlib,接入 Amazon Cognito,跑通一个完整的登录 / 回调 / 登出流程。 看完你会收获: OIDC 的核心概念(5 分钟讲明白) Cognito User Pool 的配置步骤(附截图要点) 一份可以直接跑的 Flask 示例代码 生产环境的 6 个避坑建议 文章字数比较多,建议先点个在看,收藏着慢慢看 👇 一、5 分钟搞懂 OIDC如果你之前听过 OAuth 2.0,那 OIDC 可以理解为: OIDC = OAuth 2.0 + 身份层(ID Token) OAuth 2.0 解决的是”授权”(我允许第三方访问我的某些资源),OIDC 在它的基础上...
2025-09-19
懒猫微服进阶心得(十四):接入 Casdoor,玩转OpenID Connect(OIDC)
在之前的文章中,我们演示了如何基于 懒猫自带的 OpenID Connect(OIDC) 来实现身份认证。那属于「平台内置」的简化方案,主要是帮助大家快速理解 OIDC 的基本使用场景。 这一次,我们换一个更通用、更贴近生产实践的方式:使用应用商店里的 OpenID Connect(OIDC) Provider —— Casdoor。Casdoor 是一个开源的统一身份认证平台,支持完整的 OIDC 协议,可以作为独立的 IdP(Identity Provider)对接到任何应用。通过它,我们不仅能跑通最标准的授权码流程,还能深入理解 OIDC 的关键环节:授权跳转、Token 换取、ID Token 验签以及用户信息获取。 我们经常听到 单点登录(SSO)、OAuth2、JWT 这些词。OIDC(OpenID Connect)正是基于 OAuth2 的标准化身份认证协议。它的核心作用是: 帮助应用确认用户是谁(认证) 不需要你自己维护密码和用户库(交给 IdP) 与 OAuth2 完全兼容,可以同时获取访问 API 的能力(授权) 一个形象的比喻: OAuth2 ...
2025-06-27
懒猫微服进阶心得(十):本地开发,如何接入懒猫微服的 OpenID Connect (OIDC)
我们知道懒猫的 OpenID Connect (OIDC) 无需在后台申请,商店里的应用在运行的时候会自动申请,但是本地测试的时候就不太方便。 一般是需要用其他的 IDP 作为测试环境,因为 OIDC 的协议是通用的,不像 OAuth 这么百花齐放。 以我的“家庭任务通知”APP 为例,讲解下在开发模式下接入懒猫微服的 OpenID Connect (OIDC)。 添加 OIDC 登录逻辑首先前端需要有一个 OIDC 的登录按钮,然后做好 OIDC 的逻辑: 使用懒猫 ENV 查看器导出本地配置从应用商店安装我写的“懒猫 ENV 查看器”,导出 env.example 文件,导出项目之后重命名为 .env。这样就可以把商店里的 ENV 复制到本地的开发环境。 不过需要注意的是:应用名字和回调函数还是原来的,不要轻易去改。遇到问题再手动调试。 https://appstore.lazycat.cloud/#/shop/detail/xu.deploy.env 登录后出现回调 URL 报错登录之后我们就看到了这个页面: 点击“授予权限”,会报错。这个是由于回调 URL...
2026-04-15
懒猫微服进阶心得(十七):懒猫SSO对接外部OpenID Connect的尝试
在之前的探索中,我们已经实现了通过 gRPC 自主注册懒猫 SSO 应用,并成功集成了符合 OpenID Connect (OIDC) 协议的应用。今天我突发奇想:既然大家都是标准的 OIDC 协议,我能不能把“懒猫SSO”外挂到其他的身份提供商(IDP)里,作为一种身份联邦(Identity Federation)来使用? 如果这一步能走通,意味着我们可以实现用户系统的共享。说干就干,我选择了 AWS Cognito 作为认证中间层,尝试把懒猫SSO集成进去。 初探:环境配置与客户端注册AWS Cognito 支持添加第三方 OIDC IDP。首先,我们需要在懒猫 SSO 中为 Cognito 注册一个“身份”。 老规矩还是先使用懒猫SSO的API注册应用,当然这里的配置仍然保存在内存中,重启会丢失,所以就算一个拓宽的使用场景。使用 grpcurl 调用 CreateClient 接口,关键点在于配置 Cognito 的回调地址: 1234567891011./grpcurl -plaintext -d '{ "client": ...
2025-07-05
懒猫微服开发篇(五):懒猫微服如何使用 OpenID Connect (OIDC)?(下)
先决条件: 需要在lzc-manifest.yml定义 oidc_redirect_path 和 environment。 配置lzc-manifest.ymloidc_redirect_path 就是你的应用的回调地址,只有写了这个之后才能正确使用 OpenID Connect 的环境变量。 回调地址是按照应用而定的,有的是/callback,/oidc/callback 或者/oauth/callback。 1234567891011121314151617181920lzc-sdk-version: 0.1name: 懒猫ENV查看器package: xu.deploy.envversion: 0.0.2description:license: https://choosealicense.com/licenses/mit/homepage:author: xuapplication: subdomain: env oidc_redirect_path: /callback routes: - /=exec:...
评论
公告
欢迎来到我的小站,这里是我的第二大脑和生活日常。


