本文为您介绍如何在 IDaaS 中配置 Argo CD 单点登录。
应用简介
Argo CD是用于Kubernetes的声明性GitOps连续交付工具。
一、创建应用
请管理员前往【应用】【应用市场】,搜索到“Argo CD”应用模板。点击“添加应用”按钮,确认应用名后,即可完成应用创建。
创建应用成功后,会自动来到 SSO 单点登录配置页。
二、在 IDaaS 中配置 SSO
复制Argo CD服务访问地址,例如:【https://argocd.example.com】。
将【https://argocd.example.com】填写到表单中。
为了便于测试,【授权范围】可暂时选择【全员可访问】。
其他选项保持默认,点击保存即可完成 IDaaS 侧全部 SSO 配置。
提示应用账户:默认使用 IDaaS 邮箱作为应用登录标识。 IDaaS 邮箱必须包含,才能完成 SSO。 若希望灵活配置,请参考单点配置通用说明 - 应用账户进行配置。 授权范围:若希望指定可访问应用的 IDaaS 账户,请参考单点配置通用说明 - 应用账户进行配置。
在页面下方的【应用配置信息】中,即包含了Argo CD完成 SSO 配置所需要的参数。
三、配置 Argo CD
1. SAML 配置字段
将 IDaaS 【应用配置信息】中的参数全部填写到配置argocd-cm中。
字段 | 别称 | 说明 |
ssoURL | IdP 发起 SSO 地址 | 从 IDaaS SSO 配置页【应用配置信息】中获取。 Argo CD将向该地址发送 SAML Request 请求,发起单点登录请求。 |
ssoIssuer | IdP 唯一标识 IdP Entity ID | 从 IDaaS SSO 配置页【应用配置信息】中获取。 |
caData | 公钥证书 Certificate | 从 IDaaS SSO 配置页【应用配置信息】中复制出来,然后Base64之后使用。 |
2. 前往单点登录设置
编辑argocd-cm和配置data.dex.config部分:
kubectl edit configmap argocd-cm -n argocd
# Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
dex.config: |
connectors:
- type: saml
id: saml
name: 阿里云IDaaS
config:
ssoURL: 阿里云IDaaS SAML 应用IdP发起SSO地址
entityIssuer: https://argocd.example.com/api/dex/callback
caData: 阿里云IDaaS SAML 应用证书Base64之后的值
redirectURI: https://argocd.example.com/api/dex/callback
usernameAttr: email
emailAttr: email
# optional
ssoIssuer: 阿里云IDaaS SAML 应用IdP唯一标识
url: https://argocd.example.com
kind: ConfigMap
metadata:
annotations:
kubectl.kubernetes.io/last-applied-configuration: |
{"apiVersion":"v1","kind":"ConfigMap","metadata":{"annotations":{},"labels":{"app.kubernetes.io/name":"argocd-cm","app.kubernetes.io/part-of":"argocd"},"name":"argocd-cm","namespace":"argocd"}}
creationTimestamp: "2022-03-23T02:43:34Z"
labels:
app.kubernetes.io/name: argocd-cm
app.kubernetes.io/part-of: argocd
name: argocd-cm
namespace: argocd
resourceVersion: "124561"
uid: 9e161ab5-807e-449a-8488-7e764b4ed349
保存配置,重启服务吗,开启单点登录。
四、尝试 SSO
您已经可以尝试 Argo CD SSO。
IDP 发起
请用已授权使用 Argo CD 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 Argo CD 图标,发起 SSO,检查配置结果。
SP 发起
请在匿名浏览器中,打开 Argo CD 登录页,点击【单点登录】页签下的“登录”按钮,则会跳转到 IDaaS 进行登录。如果用户尚未登录 IDaaS ,则 IDaaS 会引导用户进行登录 。
验证通过后,将直接登录到 Argo CD 中。
- 本页导读 (0)