У нас есть настройка кластера Vault, и мы пытаемся аутентифицировать Vault с помощью Okta. Включили авторизацию и настроили ее:
vault auth enable okta
vault write auth/okta/config base_url = "BASE_URL" organization = "ORG" token = "TOKEN"
Всякий раз, когда я пытаюсь пройти аутентификацию в Okta в пользовательском интерфейсе Vault, я получаю эту ошибку:
Authentication failed: Okta auth failed: HTTP Method: POST - URL: https://org.okta.com/api/v1/authn: - HTTP Status Code: 401, OKTA Error Code: E0000004, OKTA Error Summary: Authentication failed, OKTA Error Causes: []
Подвох в том, что мы используем Google в качестве IdP. Запросы на вход отправляются в Google. В Окте мы настроили Google как IDP.
Если я сохраняю учетные данные пользователя в самой Okta, то все работает. Итак, есть ли способ аутентификации через Okta, когда IDP — это Google?
Я не знаком с Vault, но мне кажется, что Vault выполняет простую аутентификацию AuthN, в основном просто сверяя имя пользователя и пароль с Okta.
Так что, к сожалению, из того, что я вижу с тем, что вы предоставили Okta для социальной аутентификации, вход в Vault может не поддерживаться Vault.
Теперь, если вы создаете локальную учетную запись в Okta и аутентификация работает, мы можем подтвердить, что Vault не поддерживает должным образом федерацию (единый вход) :(
К сожалению, Сейфу потребуется поддержка Федерации, чтобы вы могли войти в систему через Google, а затем войти в Сейф.
Вы используете Окта-метод авторизации в Vault. Это просто отправит ваши учетные данные в конечную точку AuthN Okta, чтобы проверить их и предоставить доступ на основе ответа.
Если Google используется в качестве IDP пользователя в Okta, вам потребуется настроить Метод аутентификации JWT/OIDC в Vault и настроить Vault в Okta. Когда пользователь аутентифицируется, его браузер перенаправляется на Okta для завершения входа, который перенаправляет их в Google для аутентификации, если у них еще нет сеанса.
Спасибо, Энди, я настроил точно так же, как вы упомянули выше.