如何在IDaaS中配置ArgoCD单点登录_应用身份服务 (IDaaS)(IDaaS)-阿里云帮助中心

本文为您介绍如何在 IDaaS 中配置 Argo CD 单点登录。

应用简介

Argo CD是用于Kubernetes的声明性GitOps连续交付工具。

一、创建应用

请管理员前往【应用】【应用市场】，搜索到“Argo CD”应用模板。点击“添加应用”按钮，确认应用名后，即可完成应用创建。

创建应用成功后，会自动来到 SSO 单点登录配置页。

二、在 IDaaS 中配置 SSO

复制Argo CD服务访问地址，例如：【https://argocd.example.com】。

将【https://argocd.example.com】填写到表单中。

为了便于测试，【授权范围】可暂时选择【全员可访问】。

其他选项保持默认，点击保存即可完成 IDaaS 侧全部 SSO 配置。

说明

提示应用账户：默认使用 IDaaS 邮箱作为应用登录标识。 IDaaS 邮箱必须包含，才能完成 SSO。若希望灵活配置，请参考单点配置通用说明 - 应用账户进行配置。授权范围：若希望指定可访问应用的 IDaaS 账户，请参考单点配置通用说明 - 应用账户进行配置。

在页面下方的【应用配置信息】中，即包含了Argo CD完成 SSO 配置所需要的参数。

三、配置 Argo CD

1. SAML 配置字段

将 IDaaS 【应用配置信息】中的参数全部填写到配置argocd-cm中。

字段	别称	说明
ssoURL	IdP 发起 SSO 地址	从 IDaaS SSO 配置页【应用配置信息】中获取。 Argo CD将向该地址发送 SAML Request 请求，发起单点登录请求。
ssoIssuer	IdP 唯一标识 IdP Entity ID	从 IDaaS SSO 配置页【应用配置信息】中获取。
caData	公钥证书 Certificate	从 IDaaS SSO 配置页【应用配置信息】中复制出来，然后Base64之后使用。

2. 前往单点登录设置

编辑argocd-cm和配置data.dex.config部分：

kubectl edit configmap argocd-cm -n argocd

# Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
  dex.config: |
    connectors:
    - type: saml
      id: saml
      name: 阿里云IDaaS
      config:
        ssoURL: 阿里云IDaaS SAML 应用IdP发起SSO地址
        entityIssuer: https://argocd.example.com/api/dex/callback
        caData: 阿里云IDaaS SAML 应用证书Base64之后的值
        redirectURI: https://argocd.example.com/api/dex/callback
        usernameAttr: email
        emailAttr: email
        # optional
        ssoIssuer: 阿里云IDaaS SAML 应用IdP唯一标识
  url: https://argocd.example.com
kind: ConfigMap
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"ConfigMap","metadata":{"annotations":{},"labels":{"app.kubernetes.io/name":"argocd-cm","app.kubernetes.io/part-of":"argocd"},"name":"argocd-cm","namespace":"argocd"}}
  creationTimestamp: "2022-03-23T02:43:34Z"
  labels:
    app.kubernetes.io/name: argocd-cm
    app.kubernetes.io/part-of: argocd
  name: argocd-cm
  namespace: argocd
  resourceVersion: "124561"
  uid: 9e161ab5-807e-449a-8488-7e764b4ed349

保存配置，重启服务吗，开启单点登录。

四、尝试 SSO

您已经可以尝试 Argo CD SSO。

IDP 发起

请用已授权使用 Argo CD 的 IDaaS 账户，登录到 IDaaS 门户页，点击页面上 Argo CD 图标，发起 SSO，检查配置结果。

SP 发起

请在匿名浏览器中，打开 Argo CD 登录页，点击【单点登录】页签下的“登录”按钮，则会跳转到 IDaaS 进行登录。如果用户尚未登录 IDaaS ，则 IDaaS 会引导用户进行登录。

验证通过后，将直接登录到 Argo CD 中。