azure - 连接到 Azure B2C 时如何调试 oauth2_proxy？

Question

我是 Kubernetes 新手，我一直在学习 Ingress。在 Ingress 处理 TLS 证书和身份验证的想法给我留下了深刻的印象。我添加了一个简单的静态文件服务器，并添加了cert-manager，所以我基本上有了一个HTTPS静态网站。

我读到 NGINX 入口 Controller 可以与 oauth2 代理一起使用来处理入口处的身份验证。问题是我根本无法让这个工作。我可以确认我的 oauth2-proxy 部署服务和部署存在且正确 - 在 Pod 日志中，我可以看到来自 NGINX 的请求，但我看不到它在 Azure B2C 上实际调用的 uri。每当我尝试访问我的服务时，我都会收到 500 内部错误 - 如果我将/oath2/auth 地址放入浏览器中，我会收到“不支持请求中指定的范围‘openid’。”。但是，如果我在 Azure 中测试运行用户流，测试 URL 也会指定“openid”，并且它会按预期运行。

我认为，如果我能找出如何监视来自 Azure 的 oauth2-proxy 请求(即通过观察它的 uri 找出我的配置错误的位置)，我就可以解决这个问题 - 否则，也许已经完成此操作的人可以告诉我配置哪里出错了。

我的配置如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: oauth2-proxy
  template:
    metadata:
      labels:
        k8s-app: oauth2-proxy
    spec:
      containers:
      - args:
        - -provider=oidc
        - -email-domain=*
        - -upstream=file:///dev/null
        - -http-address=0.0.0.0:4180
        - -redirect-url=https://jwt.ms/
        - -oidc-issuer-url=https://<tenant>.b2clogin.com/tfp/<app-guid>/b2c_1_manager_signup/
        - -cookie-secure=true
        - -scope="openid"

        # Register a new application
        # https://github.com/settings/applications/new
        env:
        - name: OAUTH2_PROXY_CLIENT_ID
          value: <app-guid>
        - name: OAUTH2_PROXY_CLIENT_SECRET
          value: <key-base64>
        - name: OAUTH2_PROXY_COOKIE_SECRET
          value: <random+base64>
        image: quay.io/pusher/oauth2_proxy:latest
        imagePullPolicy: Always
        name: oauth2-proxy
        ports:
        - containerPort: 4180
          protocol: TCP
---

apiVersion: v1
kind: Service
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: default
spec:
  ports:
  - name: http
    port: 4180
    protocol: TCP
    targetPort: 4180
  selector:
    k8s-app: oauth2-proxy
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: static1-oauth2-proxy
  namespace: default
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
spec:
  rules:
  - host: cloud.<mydomain>
    http:
      paths:
      - backend:
          serviceName: oauth2-proxy
          servicePort: 4180
        path: /oauth2
  tls:
  - hosts:
    - cloud.<mydomain>
    secretName: cloud-demo-crt

在我的静态站点入口中，我将以下内容添加到metadata.annotations:

    nginx.ingress.kubernetes.io/auth-url: "https://$host/oauth2/auth"
    nginx.ingress.kubernetes.io/auth-signin: "https://$host/oauth2/start?rd=$request_uri"

我不是 100% 确定这些注释是否应该始终如此设置，或者我是否应该为 B2C/OIDC 更改这些注释，但它们似乎会转到代理，这就是代理接下来要做的事情失败。

请注意，日志确实表明 oauth2-proxy 连接到了 B2C，实际上，如果颁发者 uri 发生更改，则会进入崩溃回退循环。

似乎有很多关于如何设置它的文章，所以我确信这是可能的，但我有点迷失了。如果有人可以帮助进行设置或调试想法，那就太好了。

谢谢。

<小时/>

现在我能够可靠地获取 ?state= 和 code= 显示在/oauth2/callback 页面上的浏览器窗口中，但该页面报告内部错误。 oauth2_proxy 正在记录，日志显示:

[2020/06/03 21:18:07] [oauthproxy.go:803] OAuth2 回调期间兑换代码时出错: token 交换:oauth2:服务器响应缺少 access_token

我的 Azure B2C 审核日志显示它正在颁发 id_tokens。

当我查看 oauth2_proxy 的源代码时，看起来好像问题发生在 oauth2.config.Exchange() 期间 - 它位于 goloang 库中 - 我不知道它的作用，但我不知道认为它可以与 Azure B2c 正常配合。有人知道我如何从这里进步吗？

谢谢。

标记

Answer 1

我求助于在 VSCode 中编译和调试代理应用程序。我运行了一个简单的 NGINX 代理来向代理提供 TLS 终止，以允许 Azure B2C 端运行。事实证明我做错了很多事情。以下是我解决的问题列表，希望其他人能够使用它通过 Azure B2C 运行自己的 oauth_proxy。

当附加到调试器时，很明显，oauth2_proxy 会读取 token 并期望依次找到 access_token，然后是 id_token，然后它需要(默认情况下)“电子邮件”声明。

要返回“access_token”，您必须请求访问某些资源。最初我没有这个。在我的 yaml 文件中，我有:

    - --scope=openid

注意:不要在 YAML 中的范围值两边加上引号，因为它们会被视为请求范围值的一部分!

我必须通过“应用程序注册”和“公开 API”在 Azure B2C 中设置“读取”范围。我最终有效的范围是这样的:

    - --scope=https://<myspacename>.onmicrosoft.com/<myapiname>/read openid

您必须确保两个范围(read 和 openid)一起通过，否则您不会获得 id_token。如果您收到一条错误消息，指出服务器响应中没有 id_token，请确保在使用 --scope 标志的单次使用中遍历这两个值。

一旦您拥有 access_token 和 id_token，oauth2_proxy 就会失败，因为没有“电子邮件”声明。 Azure B2C 有一个“电子邮件”声明，但我认为不能使用。为了解决这个问题，我使用了对象 id，我设置:

    - --user-id-claim=oid

我遇到的最后一个问题是浏览器中没有设置 cookie。我确实在 oauth2-proxy 输出中看到了一个错误，即 cookie 值本身太长，然后我删除了“offline_access”范围，该消息就消失了。但是浏览器中仍然没有 cookie。

但是，我的 NGinX 入口日志确实有一条消息，表明 header 超过 8K，因此 NGinX 报告 503 错误。

在 oauth2-proxy 文档中，有一个描述，如果您的 cookie 很长，则应使用 Redis 存储 - 它特别将 Azure AD cookie 标识为足够长以保证 Redis 解决方案。

我安装了一个单节点 Redis 来使用此答案中的 YAML 配置进行测试(未强化)https://stackoverflow.com/a/53052122/2048821 - 必须使用 --session-store-type=redis 和 --redis-connection-url 选项。

我的 oauth2_proxy 的最终服务/部署如下所示:

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: oauth2-proxy
  template:
    metadata:
      labels:
        k8s-app: oauth2-proxy
    spec:
      containers:
      - args:
        - --provider=oidc
        - --email-domain=*
        - --upstream=file:///dev/null
        - --http-address=0.0.0.0:4180
        - --redirect-url=https://<myhost>/oauth2/callback
        - --oidc-issuer-url=https://<mynamespane>.b2clogin.com/tfp/<my-tenant>/b2c_1_signin/v2.0/
        - --cookie-secure=true
        - --cookie-domain=<myhost>
        - --cookie-secret=<mycookiesecret>
        - --user-id-claim=oid
        - --scope=https://<mynamespace>.onmicrosoft.com/<myappname>/read openid
        - --reverse-proxy=true
        - --skip-provider-button=true
        - --client-id=<myappid>
        - --client-secret=<myclientsecret>
        - --session-store-type=redis
        - --redis-connection-url=redis://redis:6379

        # Register a new application
        image: quay.io/pusher/oauth2_proxy:latest
        imagePullPolicy: Always
        name: oauth2-proxy
        ports:
        - containerPort: 4180
          protocol: TCP

---

apiVersion: v1
kind: Service
metadata:
  labels:
    k8s-app: oauth2-proxy
  name: oauth2-proxy
  namespace: default
spec:
  ports:
  - name: http
    port: 4180
    protocol: TCP
    targetPort: 4180
  selector:
    k8s-app: oauth2-proxy

希望这可以节省人们很多时间。

标记