В рамках нашей реализации единого входа OIDC в Azure AD и HashiCorp Vault я зарегистрировал приложение в нашей корпоративной Azure AD и предоставил пару разрешенных URI перенаправления в моей конфигурации Terraform, которые соответствуют следующим строкам:
allowed_redirect_uris="http://localhost:8250/oidc/callback"
allowed_redirect_uris="https://{hostname.domain}:8200/ui/vault/auth/oidc/oidc/callback"
Конфигурация terraform предоставляется через конвейер GitLab CI/CD и успешно развертывается. Однако, когда я затем пытаюсь войти в Vault через пользовательский интерфейс (как показано ниже), я получаю всплывающее сообщение об ошибке входа в Microsoft, которое включает следующее:
AADSTS50011: URI перенаправления 'https://{hostname.domain}/ui/vault/auth/oidc/oidc/callback, указанный в запросе, не соответствует URI перенаправления, настроенным для приложения ' {Azure Tenant Id}'. Убедитесь, что перенаправление............
Примечание. В URL-адресе, отображаемом в сообщении об ошибке, каким-то образом отсутствует номер порта 8200, который определенно включен в нашу конфигурацию URI перенаправления зарегистрированного приложения Azure AD.
Я даже пытался удалить этот же номер порта из моего кода Terraform и повторно развернуть его, пытаясь сохранить его в соответствии с ожидаемым URI, указанным в сообщении об ошибке. Тем не менее, это не дало желаемого результата, и я продолжаю получать ту же ошибку.
Любая идея, в чем может быть проблема?
Решение проблемы
Нашел одну из похожих проблем, пожалуйста, проверьте, может ли это помочь.
Согласно обсуждению в аналогичных проблемах с хранилищем github hashicorp
Поставщик OIDC хранилища должен проверять URI перенаправления IP-адресов обратной связи в соответствии с разделом 7.3 rfc8252: сервер авторизации ДОЛЖЕН разрешить указывать любой порт во время запроса URI перенаправления IP-замкнутой петли, чтобы приспособить клиентов, которые получают доступный эфемерный порт от операционной системы. системы на момент запроса.
Это динамическое перенаправление обратной петли Feat/OIDC от paladin-devops hashicorp/vault · GitHub
обсуждает добавление проверок поставщика OIDC, чтобы разрешить URI перенаправления иметь динамический порт в URI перенаправления, если адрес обратной связи включен в клиент OIDC
Рекомендации:
Проблема с перенаправлением интерфейса петли обратной связи поставщика OIDC — хранилище hashicorp (github)
динамическое перенаправление петли hashicorp vault/OIDC by paladin-devops GitHub
Комментариев нет:
Отправить комментарий