Могу ли я войти в пользовательский интерфейс Vault, используя токен носителя JWT в заголовке авторизации?

Сейф поддерживает вход в систему с помощью JWT. У меня есть прокси-сервер перед моим экземпляром Vault, который управляет потоком OIDC и вводит JWT в качестве токена носителя в заголовке авторизации.

Вместо экрана входа в Vault было бы удобно, если бы Vault мог анализировать заголовок авторизации и автоматически входить в систему — возможно ли это?

Я знаю, что Сейф поддерживает токены Сейфа в заголовке авторизации, но, поскольку я получаю доступ к другим своим информационным панелям, используя этот JWT, для Vault было бы полезно также интерпретировать его.


jwt hashicorp-vault openid-connect
person dippynark    schedule 24.11.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Насколько я знаю: нет, не обычным способом с авторизацией по http-заголовку.
Vault примет jwt-токен от oidc для входа в систему, если jwt-токен приходит как тело/полезная нагрузка в json, например:

POST /v1/auth/jwt/login

{"jwt":"YOUR.JWT.TOKEN"}

Как написано в документах хранилища:

curl --request POST \
     --data '{"jwt": "YOUR.JWT.TOKEN", "role": "demo"}' \
     http://127.0.0.1:8200/v1/auth/jwt/login

В качестве заголовка хранилище принимает http-заголовок X-Vault-Token: s.XYZYXr3kuxR4, который является токеном хранилища, а не токеном oidc-jwt.

person roylicht    schedule 28.04.2021