Spinnaker&Okta集成失败

问题描述 投票:0回答:2

Scenerio:将Spinnaker升级到1.12.0。没有其他配置更改会影响此集成(我们必须修改s3 IAM,因为它退出工作)。 Okta集成停止工作。公钥在安装过程中重新发布入口,可能相关吗?

SAML-TRACE显示有效载荷到达okta并返回

Spinnaker会根据浏览器以及我如何到达那里引发两个不同的错误。

直接链接到甲板URL:(500)没有配置IDP,请更新包含至少一个IDP的元数据(在浏览器和门中看到)

okta仪表板中的Okta“chicklet”:(401)身份验证失败:传入的SAML消息无效

配置详细信息(同样没有改变):直接下载元数据JKS正在被利用,并且有效的服务URL被确认为JKS的别名被确认

okta spinnaker
2个回答
0
投票

从1.10.13升级到1.12.2时,我也遇到了这个问题。我在Gate的日志中发现了很多这些错误消息:

2019-02-19 05:31:30.421 ERROR 1 --- [.0-8084-exec-10] o.a.c.c.C.[.[.[/].[dispatcherServlet]    : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw e
xception [org.opensaml.saml2.metadata.provider.MetadataProviderException: No IDP was configured, please update included metadata with at least one IDP] with root cause

org.opensaml.saml2.metadata.provider.MetadataProviderException: No IDP was configured, please update included metadata with at least one IDP
        at org.springframework.security.saml.metadata.MetadataManager.getDefaultIDP(MetadataManager.java:795) ~[spring-security-saml2-core-1.0.2.RELEASE.jar:1.0.2.RELEASE]
        at org.springframework.security.saml.context.SAMLContextProviderImpl.populatePeerEntityId(SAMLContextProviderImpl.java:157) ~[spring-security-saml2-core-1.0.2.RELEASE.jar
:1.0.2.RELEASE]
        at org.springframework.security.saml.context.SAMLContextProviderImpl.getLocalAndPeerEntity(SAMLContextProviderImpl.java:127) ~[spring-security-saml2-core-1.0.2.RELEASE.ja
r:1.0.2.RELEASE]
        at org.springframework.security.saml.SAMLEntryPoint.commence(SAMLEntryPoint.java:146) ~[spring-security-saml2-core-1.0.2.RELEASE.jar:1.0.2.RELEASE]
        at org.springframework.security.web.access.ExceptionTranslationFilter.sendStartAuthentication(ExceptionTranslationFilter.java:203) ~[spring-security-web-4.2.9.RELEASE.jar
:4.2.9.RELEASE]
...

在降级回1.10.13之后,我升级到了下一个版本1.11.0,并发现问题何时开始。最后,我从Container的发布中查看了Gate的日志,发现:

2019-02-20 22:31:40.132 ERROR 1 --- [0.0-8084-exec-3] o.o.s.m.provider.HTTPMetadataProvider    : Error retrieving metadata from https://000000000000.okta.com/app/00000000000000000/sso/saml/metadata

javax.net.ssl.SSLException: Error in hostname verification
        at org.opensaml.ws.soap.client.http.TLSProtocolSocketFactory.verifyHostname(TLSProtocolSocketFactory.java:241) ~[openws-1.5.4.jar:na]
        at org.opensaml.ws.soap.client.http.TLSProtocolSocketFactory.createSocket(TLSProtocolSocketFactory.java:186) ~[openws-1.5.4.jar:na]
        at org.apache.commons.httpclient.HttpConnection.open(HttpConnection.java:707) ~[commons-httpclient-3.1.jar:na]
        at org.apache.commons.httpclient.HttpMethodDirector.executeWithRetry(HttpMethodDirector.java:387) ~[commons-httpclient-3.1.jar:na]
...

这让我意识到TLS证书被Gate拒绝了。不知道为什么它突然开始失败检查。到目前为止,我已将其配置为:

$ hal config security authn saml edit --metadata https://000000000000.okta.com/app/00000000000000000/sso/saml/metadata

我最终下载了元数据文件并使用halyard重新部署。

$ wget https://000000000000.okta.com/app/00000000000000000/sso/saml/metadata
$ hal config security authn saml edit --metadata "${PWD}/metadata"
$ hal config version edit --version 1.12.2
$ hal deploy apply

按照Spinnaker文档的建议打开一个私人浏览器窗口,Gate再次正确地重定向到Okta。

问题提交,https://github.com/spinnaker/spinnaker/issues/4017

0
投票

所以我最终找到了答案。在后续版本中,tomcat配置在大三角帆中明显改变了。

我在〜/ .hal / default / profiles / gate-local.yml中创建了这个片段

server:
  tomcat:
    protocolHeader: X-Forwarded-Proto
    remoteIpHeader: X-Forwarded-For
    internalProxies: .*

部署了大三角帆,它重新开始工作。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.