https://wenhan.blog/tags/openid/ Recent content in OpenID on Wenhan blog Hugo -- gohugo.io ja-JP Tue, 23 Jan 2024 22:55:37 +0900 https://wenhan.blog/posts/20240123_kong-oidc-plugin-extra-use-cases/ Tue, 23 Jan 2024 22:55:37 +0900 https://wenhan.blog/posts/20240123_kong-oidc-plugin-extra-use-cases/ (https://tech.aufomm.com/kong-oidc-plugin-extra-use-cases/ より翻訳) KongのOIDCプラグインはとてもパワフルで複雑なので（200近くのパラメーターがある…）、ユーザーがどのような設定の組み合わせが必要かを知っていれば、より多くのことができるようになる。今日の投稿では、このプラグインをよりうまく使うためのいくつかの使用例を紹介しよう。 なお、私はKong Gateway (Enterprise)の最新バージョン2.4.1.1を使用しています。 前提条件 Kong Gateway (Enterprise) OIDCサーバーが稼動していること。(私の例ではKeycloak) もしKeycloakの使い方がわからない場合は、以前の投稿をご覧ください IDPトークンからデータを抽出しヘッダへの追加 IDPトークンからアップストリームヘッダーに値をマッピングしたい場合は、config.upstream_headers_namesとconfig.upstream_headers_claimsを使用できます。 例えば、JWTトークンのペイロードに以下のようなclaimがあるとします。 1 2 3 4 5 { "payload": { "kong-test": "to-upstream" } } 目的は、ヘッダーkong-testにto-upstreamの値をマッピングし、アップストリームサーバーに送信することである。OIDCプラグインは以下のように設定できる。これはパスワードフローを使っている。 1 2 3 4 5 6 7 8 9 10 curl --request POST \ --url http://kong.li.lan:8001/plugins \ --header 'Content-Type: application/x-www-form-urlencoded' \ --data name=openid-connect \ --data config.issuer=https://<keycloak>/auth/realms/demo \ --data config.client_id=<client_id> \ --data config.client_secret=<client_secret> \ --data config.auth_methods=password \ --data config.upstream_headers_claims=kong-test \ --data config.upstream_headers_names=test_kong ユーザー名とパスワードを指定してapiエンドポイントを呼び出すと、アップストリームサーバーに送信されるリクエストに以下のヘッダーが表示されるはずです。