# Grafana 接入 SSO 配置指南
> Grafana 不支持 SAML 协议接入,本教程采用 **OAuth2** 接入
---
## 一、前置准备
### 1.1 配置飞连应用回调地址
在飞连(Feilian/SealSuite)应用中配置回调地址:
```
http://grafana.example.com/login/generic_oauth
```
---
## 二、Grafana 配置
### 2.1 grafana.ini 配置文件
```ini
[server]
root_url = http://grafana.example.com
[auth]
oauth_allow_insecure_email_lookup = true
[auth.generic_oauth]
enabled = true
name = OAuth
allow_sign_up = true
client_id = xxxxx
client_secret = xxxxxxx
scopes = openid profile email
auth_url = https://ltp.sealsuite.com/api/oauth2/authorize
token_url = https://ltp.sealsuite.com/api/oauth2/token
api_url = https://ltp.sealsuite.com/api/oauth2/userinfo
email_attribute_path = data.email
name_attribute_path = data.fullname
login_attribute_path = data.email
```
### 2.2 关键参数说明
| 参数 | 说明 |
|------|------|
| `enabled` | 启用 OAuth 认证 |
| `allow_sign_up` | 允许新用户自动注册 |
| `client_id` | OAuth 应用 ID |
| `client_secret` | OAuth 应用密钥 |
| `scopes` | 请求的权限范围 |
| `auth_url` | 授权 URL |
| `token_url` | Token 获取 URL |
| `api_url` | 用户信息 API URL |
| `email_attribute_path` | 邮箱字段路径 |
| `name_attribute_path` | 用户名字段路径 |
---
## 三、Docker Compose 部署
### 3.1 docker-compose.yml
```yaml
version: '3.3'
services:
grafana:
image: grafana/grafana-oss
container_name: grafana
ports:
- "3001:3000"
volumes:
- ./grafana.ini:/etc/grafana/grafana.ini
environment:
# 这两条环境变量需要配置
- GF_AUTH_GENERIC_OAUTH_ENABLED=true
- GF_AUTH_DISABLE_LOGIN_FORM=false
restart: unless-stopped
```
### 3.2 关键环境变量
| 环境变量 | 说明 |
|---------|------|
| `GF_AUTH_GENERIC_OAUTH_ENABLED` | 启用 OAuth 认证 |
| `GF_AUTH_DISABLE_LOGIN_FORM` | 是否禁用密码登录表单 |
---
## 四、验证配置
1. 访问 Grafana 登录页面
2. 应该能看到 "Sign in with OAuth" 按钮
3. 点击后跳转到飞连进行认证
4. 认证成功后自动跳转回 Grafana
---
## 五、常见问题
### 5.1 登录后用户没有权限
需要在 Grafana 中配置角色映射或手动分配权限。
### 5.2 回调地址不匹配
确保 `root_url` 配置正确,与飞连应用中配置的回调地址一致。
### 5.3 无法获取用户信息
检查 `email_attribute_path`、`name_attribute_path` 是否与 OAuth 返回的 JSON 结构匹配。
---
*文档整理日期:2025-05*