当前位置: 首页 > news >正文

ArgoCD 接入 SSO 配置指南

news 2026/5/11 20:18:56
> ArgoCD 使用 **SAML** 协议接入 SSO

---

## 一、飞连应用配置

在飞连(Feilian/SealSuite)应用中进行如下配置:

| 配置项 | 值 |
|--------|-----|
| **实体 ID** | `https://argocd.example.com/api/dex` |
| **单点登录 URL** | `https://argocd.example.com/api/dex/callback` |
| **单点登录 Binding** | `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST` |
| **Name ID Format** | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` |

---

## 二、ArgoCD Dex 服务配置

### 2.1 编辑 ConfigMap

```bash
kubectl edit configmap argocd-cm -n argocd
```

### 2.2 完整配置示例

```yaml
apiVersion: v1
kind: ConfigMap
data:
url: https://argocd.example.com
dex.config: |
connectors:
- type: saml
id: saml
name: Feilian
config:
ssoURL: https://ltp.sealsuite.com/api/idp/sso
ssoIssuer: https://ltp.sealsuite.com/api/idp/metadata
entityIssuer: https://argocd.example.com/api/dex
redirectURI: https://argocd.example.com/api/dex/callback
caData: |
LS0tLS1CRUdJTi...(Base64 编码的 CA 证书)...
usernameAttr: email
emailAttr: email
```

### 2.3 关键参数说明

| 参数 | 说明 |
|------|------|
| `ssoURL` | IdP 单点登录 URL |
| `ssoIssuer` | IdP 元数据 URL |
| `entityIssuer` | ArgoCD 实体 ID |
| `redirectURI` | 回调地址 |
| `caData` | IdP CA 证书(Base64 编码) |
| `usernameAttr` | 用户名属性 |
| `emailAttr` | 邮箱属性 |

---

## 三、验证配置

### 3.1 检查 Dex 服务状态

```bash
kubectl -n argocd logs deploy/argocd-dex-server
```

### 3.2 正常日志输出示例

```json
{"level":"info","msg":"ArgoCD Dex Server is starting","namespace":"argocd","time":"2025-05-14T02:48:27Z","version":"v3.0.0+e98f483"}
{"level":"info","msg":"Generating self-signed TLS certificate for this session","time":"2025-05-14T02:48:27Z"}
{"level":"info","msg":"Starting configmap/secret informers","time":"2025-05-14T02:48:27Z"}
{"level":"INFO","msg":"config connector","connector_id":"saml"}
{"level":"INFO","msg":"listening on","server":"https","address":"0.0.0.0:5556"}
{"level":"INFO","msg":"listening on","server":"grpc","address":"0.0.0.0:5557"}
```

### 3.3 验证点检查

- `config connector","connector_id":"saml"` - 确认 SAML 连接器已加载
- `listening on","server":"https"` - 确认 HTTPS 服务已启动

---

## 四、RBAC 配置(可选)

### 4.1 配置用户角色映射

编辑 `argocd-rbac-cm` ConfigMap:

```yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: argocd-rbac-cm
namespace: argocd
data:
policy.csv: |
g, admin@example.com, role:admin
g, dev@example.com, role:readonly
policy.default: role:readonly
```

---

## 五、常见问题

### 5.1 SAML 认证失败

1. 检查 CA 证书是否正确
2. 确认 `entityIssuer` 与飞连配置的实体 ID 一致
3. 检查时间同步(NTP)

### 5.2 用户登录后没有权限

配置 RBAC 角色映射,将用户邮箱映射到相应角色。

### 5.3 回调地址错误

确保 `redirectURI` 与飞连应用配置的单点登录 URL 一致。

---

*文档整理日期:2025-05*
http://www.jsqmd.com/news/412440/

相关文章:

  • 【每日一题】LeetCode 1356. 根据数字二进制下 1 的数目排序
  • HTML 布局
  • 信用卡债务协商最佳解决方案,信用卡债务协商真的能帮我摆脱困境吗? - 代码非世界
  • 文件夹监控文件变动通知器
  • 【eclipse 升级】
  • 像素蛋糕专用
  • 信用卡逾期后,如何才能成功申请60期分期?这样协商还款,压力瞬间减半 - 代码非世界
  • 大气电场监测仪:实时测量大气中的电场强度变化
  • 信用卡债务协商:探寻最佳解决方案,信用卡债务协商的最佳解决方案到底是什么? - 代码非世界
  • 11.3 监控与可观测性:指标体系、日志追踪、drift检测
  • LuxTTS语音克隆
  • 青木川古镇酒店排名哪家好?2026最新榜单,青云客栈稳居首选! - 一个呆呆
  • 11.2 模型路由与网关:多模型调度、流量切分、故障转移
  • 青木川酒店排名哪家好?2026最新榜单,青云客栈稳居首选! - 一个呆呆
  • 11.1 AI工程五步构建法:增强上下文、护栏、路由、缓存、智能体
  • 小白也能轻松做GEO优化了,立省万元
  • 每天登录10个自媒体后台太累了试试这个一键发布工具
  • 10.3 服务优化:连续批处理、动态批处理、负载均衡实战
  • 10.4 AI加速器选型:GPU、TPU、NPU架构与算力对比
  • 软件专业毕设中HTML技术与Python技术如何结合用
  • LeetCode 1356.根据数字二进制下 1 的数目排序:自定义排序模拟
  • django基于python文化旅游信息公开管理平台的设计与实现
  • 信用卡与贷款协商分期 委托律师处理的全流程实操指南,信用卡和贷款协商分期,到底该怎么委托律师处理? - 代码非世界
  • 最高补 1000 万!2026 福建省级 AI 项目申报全攻略,AI企业必看的申报要点与实操指南
  • 律师协助下信用卡与贷款分期协商全攻略,委托律师处理信用卡分期协商到底有多靠谱? - 代码非世界
  • AI原生应用:重塑视频生成格局
  • 信用卡逾期找律师协商分期还款靠谱吗?选择和律掌柜,选择专业、可靠、有效的债务解决方案 - 代码非世界
  • 网络安全】网络安全设备,你知道哪些呢?防火墙?IDS?
  • P6620 [省选联考 2020 A 卷] 组合数问题
  • 微分方程学习笔记