一,简介
一般来说,公司有很多系统使用,为了实现统一的用户名管理和登录所有系统(如 GitLab、Harbor 等),并在员工离职时只需删除一个主账号即可实现权限清除,可以采用 单点登录 (SSO) 和 集中式身份认证 系统。以下工具都可使用。
Keycloak(开源,功能强大且易于部署)
Okta/Auth0(商业化解决方案,支持更多高级功能)
LDAP(轻量级目录访问协议,可搭配 FreeIPA)
Casdoor (轻量级的身份认证和授权平台)
上面试用了keycloak和casdoor,keycloak配置复杂,而且界面不是很友好,所以选择了Casdoor。
casdoor用他们的云需要付费,自己服务器搭建则免费,所以这里自建就行了。
Casdoor是一款轻量级的身份认证和授权平台,支持多种协议(OIDC、OAuth2、SAML、CAS 等),并提供了简单易用的界面和丰富的功能。主要有以下特点:
1,,多协议支持
支持 OIDC、OAuth2、SAML、CAS 等协议,可以适配不同的应用系统。
支持单点登录(SSO),登录一次即可访问多个系统。
2,集中用户管理
提供用户增删改查功能,支持直接管理用户账户。
支持与 LDAP 集成,实现统一的用户信息管理。
3,权限控制
支持角色权限管理,可以为用户分配不同的权限和角色。
删除用户后,其在其他系统中的访问权限也会被移除。
4,易集成
提供 SDK 和 API,可以轻松集成到 GitLab、Jenkins、Harbor 等支持标准协议的系统中。
5,支持多种登录方式
支持密码登录、短信/邮件验证码登录,以及社交登录(如 Google、GitHub 等)。
满足企业和用户对灵活认证方式的需求。
如果公司有现成的LDAP使用,或者比较老的系统,可以使用Casdoor+LDAP方式,可以同步至casdoor集中管理。
二,Casdoor搭建
casdoor支持多语言,界面语言支持都非常友好,看文档也不费力,这也是选择它的一个重要原因。
这里测试,用最简单的docker搭建即可。生成环境建议其他正式安装方式。
创建文件夹,将配置文件挂载到此文件夹,便于配置。
官方配置文件下载:https://github.com/casdoor/casdoor/blob/master/conf/app.conf
mkdir /casdoor
cd /casdoor
vim app.conf
最后启动
docker run -d -p 8000:8000 -v /root/casdoor:/conf casbin/casdoor-all-in-one
由于与gitlab集成,必须需要SSL证书,所以用nginx反代绑定域名操作,这里示例casdoor.ywbj.cc
登录网站,默认账号密码admin 123
三,Casdoor基本使用
1,组织用户管理
用户管理,只有一个默认系统组织 built-in,这里新建一个公司组织company,便于管理。
company下,创建一个开发群组develop。
群组下有一个用户zhangsan(组织下有应用时才可以创建)
2,应用管理
在‘身份认证’的‘应用’,里面,默认有一个应用app-built-in,主要功能是登录casdoor自己系统的。
目前此应用默认只有 默认组织 built-in 可以登录。其他不在此组织的用户登录都无法登录。
如果创建新组织新用户,需要登录casdoor,就还需要修改一下配置。
编辑默认应用,在组织选择模式,选择 “选择”或者“输入”,都可以。
再次打开页面,可以选择组织,如这里测试的zhangsan只有选择company后,才能登录。
四,创建应用集成gitlab
1,casdoor创建应用
官网有集成说明文档,也可以参考:https://casdoor.org/zh/docs/integration/ruby/gitlab
在应用里面创建一个新的应用,用于gitlab集成。我这里gitlab测试网址为:gitlab.ywbj.cc
填写主要的信息就2个,组织选择company
重定向url,根据自己gitlab网址来写,这里示例为:
https://gitlab.ywbj.cc/users/auth/openid_connect/callback
记下ID和密钥,在gitlab配置需要用到。
2,gitlab配置
在gitlab服务器,修改配置文件
vi /etc/gitlab/gitlab.rb
在OmniA添加配置,当然在可以任何地方都可以添加,我添加这里便于管理。
将casdoor的ID和密钥,url写入即可。
gitlab_rails['gitlab_username_changing_enabled'] = false
gitlab_rails['omniauth_auto_link_user'] = true
gitlab_rails['omniauth_allow_single_sign_on'] = ['openid_connect']
gitlab_rails['omniauth_block_auto_created_users'] = false gitlab_rails['omniauth_providers'] = [ { name: "openid_connect", label: "Casdoor", # 可选的登录按钮标签,默认为 "Openid Connect" args: { name: "openid_connect", scope: ["openid", "profile", "email"], response_type: "code", issuer: "https://casdoor.ywbj.cc", client_auth_method: "query", discovery: true, verify_ssl: false, uid_field: "preferred_username", client_options: { identifier: "8f14334a3bd68bf336a9", secret: "9dd1b27f0e1a30226d01385c73b5aabdfd4a91bd", redirect_uri: "https://gitlab.ywbj.cc/users/auth/openid_connect/callback"} } }
]
配置文件说明,官方说明没有以下配置,需要加上去,否则登录失败报错:Signing in using your Casdoor account without a pre-existing account in gitlab.example.com is not allowed.
原因GitLab 不允许通过 Casdoor 登录的用户自动创建 GitLab 账户。这是 GitLab 的默认行为,因为 OpenID Connect 登录要求用户账户在 GitLab 中事先存在。
#为了账号名称统一管理,禁止用户更改登录用户名。默认用户可以更改自己的用户名。
gitlab_rails['gitlab_username_changing_enabled'] = false#omniauth_auto_link_user: 自动链接现有 GitLab 账户(如果 email 匹配)。
gitlab_rails['omniauth_auto_link_user'] = true#omniauth_allow_single_sign_on: 允许通过 OpenID Connect 登录自动创建账户。
gitlab_rails['omniauth_allow_single_sign_on'] = ['openid_connect']#omniauth_block_auto_created_users: 设置为 false,允许自动创建的账户默认启用。
gitlab_rails['omniauth_block_auto_created_users'] = false
配置完成后,重新加载配置
gitlab-ctl reconfigure
3,登录测试
在casdoor 的用户管理,创建一个用户,组织company,应用选择刚才创建的gitlab。
然后登录,可以看到gitlab应用。
点击应用跳转,或者直接打开gitlab.ywbj.cc 登录界面,可以直接使用casdoor用户登录。
点击casdoor,可以直接点击登录,或者输入casdoor账号密码登录即可。
登录成功后,gitlab会自动创建同样的名称的账号,账号集成完成。
五,webhook自动删除锁定用户
上面集成了成功创建了gitlab账号,但是在casdoor删除用户时,gitlab是不会单独删除的,gitlab有自己的用户数据库。
所以这时需要搭建一个中间服务,用于检测casdoor操作并传送到gitlab执行。
casdoor支持webhook,可以检测并发送到其他api的执行。
这里检测两个动作,一个封锁或解封用户,一个删除用户。
1,创建中间服务
要实现真正的全自动化并且灵活、安全、可扩展,最佳选择仍然是使用一个中间服务器。
中间服务器的实现方式,可以参考以下实现方案:
技术选型:
语言:Python(Flask/FastAPI)、Node.js(Express)、Go 等都可以。
部署:可以运行在 Docker 容器中,方便与现有系统集成。
这里选用python的flask搭建。
首先在gitlab使用管理员创建一个访问令牌token,权限为api和sudo权限。
python安装flask,编辑中间服务。
pip install flask
vim wehook.py
最后完整代码如下:
from flask import Flask, request, jsonify
import requests
import json
import loggingapp = Flask(__name__)# 设置日志
logging.basicConfig(filename='webhook.log',level=logging.INFO,format='%(asctime)s %(levelname)s: %(message)s'
)GITLAB_API_URL = "https://gitlab.ywbj.cc/api/v4"
GITLAB_ACCESS_TOKEN = "glpat-CQk9oDfm-Dcz3f9NHojw"@app.route('/casdoor-webhook', methods=['POST'])
def handle_webhook():# 记录请求内容logging.info("Headers: %s", request.headers)# Step 1: 解析 Webhook 数据data = request.data.decode('utf-8')try:json_data = json.loads(data)except json.JSONDecodeError:logging.error("Invalid JSON payload")return jsonify({"error": "Invalid JSON payload"}), 400#logging.info("Parsed JSON: %s", json_data)if json_data.get("action") == "update-user":object_data = json.loads(json_data["object"])name = object_data.get('name')email = object_data.get("email")is_forbidden = object_data.get("isForbidden", False)logging.info('Processing update-user for name: %s, email: %s, isForbidden: %s', name, email, is_forbidden)# Step 3: 在 GitLab 中查找用户 IDresponse = requests.get(f"{GITLAB_API_URL}/users?search={name}",headers={"Authorization": f"Bearer {GITLAB_ACCESS_TOKEN}"})users = response.json()if not users or len(users) == 0:logging.warning("User not found in GitLab: %s", name)return jsonify({"error": "User not found"}), 404user_id = users[0]["id"]# Step 4: 根据 isForbidden 状态封锁或解封用户if is_forbidden:block_response = requests.post(f"{GITLAB_API_URL}/users/{user_id}/block",headers={"Authorization": f"Bearer {GITLAB_ACCESS_TOKEN}"})logger.info("Block user response: %s", block_response.status_code)if block_response.status_code == 201:logger.info("User blocked successfully: %s", name)return jsonify({"message": "User blocked successfully"}), 200else:logger.error("Failed to block user: %s", name)return jsonify({"error": "Failed to block user"}), 500else:unblock_response = requests.post(f"{GITLAB_API_URL}/users/{user_id}/unblock",headers={"Authorization": f"Bearer {GITLAB_ACCESS_TOKEN}"})logger.info("Unblock user response: %s", unblock_response.status_code)if unblock_response.status_code == 201:logger.info("User unblocked successfully: %s", name)return jsonify({"message": "User unblocked successfully"}), 200else:logger.error("Failed to unblock user: %s", name)return jsonify({"error": "Failed to unblock user"}), 500if json_data.get("action") == "delete-user":object_data = json.loads(json_data["object"])name = object_data.get('name')email = object_data.get("email")logging.info('Processing delete-user for name: %s, email: %s', name, email)# Step 3: 在 GitLab 中查找用户 IDresponse = requests.get(f"{GITLAB_API_URL}/users?search={name}",headers={"Authorization": f"Bearer {GITLAB_ACCESS_TOKEN}"})#logging.info("GitLab search response: %s", response.json())users = response.json()if not users or len(users) == 0:logging.warning("User not found in GitLab: %s", name)return jsonify({"error": "User not found"}), 404user_id = users[0]["id"]# Step 4: 删除用户delete_response = requests.delete(f"{GITLAB_API_URL}/users/{user_id}",headers={"Authorization": f"Bearer {GITLAB_ACCESS_TOKEN}"})if delete_response.status_code == 204:logging.info("User deleted successfully: %s", name)return jsonify({"message": "User deleted successfully"}), 200else:logging.error("Failed to delete user: %s", name)return jsonify({"error": "Failed to delete user"}), 500logging.warning("Invalid action: %s", json_data.get("action"))return jsonify({"error": "Invalid action"}), 400if __name__ == '__main__':app.run(host='0.0.0.0', port=5000)
最后运行即可测试。
python wehook.py
2,创建webhook
组织同样使用company。
链接:需要传给中间服务api的链接。
我这里用了nginx反代监听5000端口,使用域名https://webhook.ywbj.cc/casdoor-webhook作为api链接。
事件:检测update-user,delete-user两个动作,用于检测封锁还是删除用户。
3,casdoor封锁删除用户测试
在casdoor用户管理,编辑,打开被禁用,保存退出。
在gitlab管理员查看用户
同样,直接删除casdoor的用户,gitlab也直接删除。
在日志文件查看日志,也可以看到相关信息。
root@ht2024061430711:~/webhook# cat webhook.log 2024-12-19 12:59:27,133 INFO: Processing update-user for name: zhangsan, email: 1i88kf@example.com, isForbidden: True
2024-12-19 12:59:28,059 INFO: Block user response: 201
2024-12-19 12:59:28,060 INFO: User blocked successfully: zhangsan
2024-12-19 12:59:28,062 INFO: 127.0.0.1 - - [19/Dec/2024 12:59:28] "POST /casdoor-webhook HTTP/1.0" 200 -
2024-12-19 13:01:42,837 INFO: Headers: Host: webhook.ywbj.cc2024-12-19 13:01:42,839 INFO: Processing delete-user for name: zhangsan, email: 1i88kf@example.com
2024-12-19 13:01:43,328 INFO: User deleted successfully: zhangsan
2024-12-19 13:01:43,330 INFO: 127.0.0.1 - - [19/Dec/2024 13:01:43] "POST /casdoor-webhook HTTP/1.0" 200 -
六,构建docker持续运行(扩展)
以上已经实现基本功能,测试也可以直接用nohup 命令一直在后台运行。
但是便于稳定与管理,这里使用打包成docker镜像运行。
在运行flask应用时,经常看到警告
INFO: WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
表明 Flask 当前正在使用其内置开发服务器,这种服务器仅适合开发和调试环境,不推荐在生产环境中使用。要优化并适用于生产环境,可以采用 WSGI 服务器,如 Gunicorn 或 uWSGI。
所以生产环境,这里采用Gunicorn。
1,在文件夹中创建必要的文件
创建Dockerfile构建文件
# 使用官方 Python 基础镜像
FROM python:3.9-slim# 设置工作目录
WORKDIR /app# 复制当前目录到容器中
COPY . .# 安装依赖
RUN pip install --no-cache-dir -r requirements.txt# 暴露 Flask 默认端口
EXPOSE 5000# 使用 Gunicorn 启动 Flask 应用
CMD ["gunicorn", "--bind", "0.0.0.0:5000", "webhook:app"]
Gunicorn 是一种高性能的 WSGI HTTP 服务器,适合生产环境,性能更稳定,支持多线程和多进程。
如果需要更高的性能,还可以调整 Gunicorn 参数,例如指定工作进程数和线程数:
CMD ["gunicorn", "--bind", "0.0.0.0:5000", "--workers", "3", "--threads", "2", "webhook:app"]
创建一个 requirements.txt 文件,用于存放 Python 依赖。内容如下:
flask
requests
gunicorn
创建一个 .dockerignore 文件,避免将不必要的文件复制到镜像中:
__pycache__/
*.pyc
*.log
*.txt~
*.git
2,重新配置日志持久化
修改代码,确保日志写入到特定路径,例如 ./logs/webhook.log:
用于挂载日志文件到宿主机。
# 确保日志路径
log_file_path = "./logs/webhook.log"# 创建日志记录器
logger = logging.getLogger(__name__)
logger.setLevel(logging.INFO)
logger.propagate = False# 添加文件日志
file_handler = logging.FileHandler(log_file_path)
file_handler.setLevel(logging.INFO)
file_formatter = logging.Formatter("%(asctime)s %(levelname)s: %(message)s")
file_handler.setFormatter(file_formatter)# 添加控制台日志
stream_handler = logging.StreamHandler()
stream_handler.setLevel(logging.INFO)
stream_formatter = logging.Formatter("%(asctime)s %(levelname)s: %(message)s")
stream_handler.setFormatter(stream_formatter)# 将日志处理器添加到记录器
logger.addHandler(file_handler)
logger.addHandler(stream_handler)logger.info("Webhook server started. Logging initialized.")
后面loggin.info全部修改为logger.info即可
3,构建和运行 Docker 容器
#构建镜像
docker build -t flask-webhook .
#运行服务
docker run -d --restart unless-stopped --name flask-webhook -p 5000:5000 -v ./logs:/app/logs flask-webhook
查看服务并测试
root@ht2024061430711:~/webhook# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
0ffe0b07f6f7 flask-webhook "gunicorn --bind 0.0…" 3 minutes ago Up 3 minutes 0.0.0.0:5000->5000/tcp, :::5000->5000/tcp flask-webhook
运行后查看日志
root@ht2024061430711:~/webhook# cat logs/webhook.log
2024-12-19 15:36:38,991 INFO: Webhook server started. Logging initialized.
2024-12-19 15:36:38,991 INFO: Webhook server started. Logging initialized.
2024-12-19 07:53:26,415 INFO: Processing update-user for name: laowang, email: 1ul3ev@example.com, isForbidden: False
2024-12-19 07:53:27,171 INFO: Unblock user response: 201
2024-12-19 07:53:27,171 INFO: User unblocked successfully: laowang
2024-12-19 07:53:48,163 INFO: Headers: Host: webhook.ywbj.cc2024-12-19 07:53:48,166 INFO: Processing delete-user for name: laowang, email: 1ul3ev@example.com
2024-12-19 07:53:48,583 INFO: User deleted successfully: laowang
运行正常。
下一步集成其他系统账号,有时间在更新。
