可觀測可視化 Grafana 版支援使用OAuth 2.0協議進行使用者認證和應用授權。本文以阿里雲系統類比第三方應用為例介紹對接Grafana實現第三方應用登入的操作。
背景資訊
OAuth(Open Authorization,開放授權)是一種開放協議,支援以簡單和標準的方法為Web、移動或傳統型應用程式進行安全授權,被授權的應用不需要使用使用者名稱和密碼即可訪問受保護的資訊。更多資訊,請參見OAuth官方文檔。
使用者自建系統在授權的前提下可以訪問託管Grafana儲存的各種資訊。此處以阿里雲系統授權登入託管Grafana為例,為您示範OAuth接入,其他產品帳號授權的操作,請參見Grafana官方文檔。
基本流程
接下來將為您示範如何使用阿里雲系統類比上圖的授權系統。下述步驟涉及的配置僅供參考,具體的系統配置屬性在符合OAuth2.0標準下,以您的實際設定為準。
步驟一:建立應用
使用阿里雲帳號登入RAM控制台。
在左側導覽列選擇。
在公司專屬應用程式頁簽,單擊建立應用。
在建立應用面板,設定應用參數。
輸入應用程式名稱和顯示名稱。
按照下表說明選擇應用類型。
應用類型
類型說明
WebApp
指基於瀏覽器互動的網路應用。
NativeApp
指作業系統中啟動並執行本地應用,主要為運行在案頭作業系統或移動作業系統中的應用。
ServerApp
指直接存取阿里雲服務,而無需依賴使用者登入的應用,目前僅支援基於SCIM協議的使用者同步應用。
設定存取權杖有效期間時間長度。
存取權杖有效期間範圍:900秒(15分鐘)~10,800秒(3小時)。預設值為3,600秒。
對於WebApp和NativeApp,設定重新整理權杖有效期間和回調地址。
重新整理權杖有效期間範圍:7,200秒(2小時)~31,536,000秒(1年)。預設值為2,592,000秒。
回調地址為Grafana工作區的串連地址加
/login/generic_oauth尾碼,例如http://[Grafana串連地:連接埠號碼]/login/generic_oauth。您可以在工作區資訊頁面查看Grafana工作區的串連地址和連接埠號碼,更多資訊,請參見建立Grafana工作區。
單擊儲存。
步驟二:添加範圍
在公司專屬應用程式頁簽,單擊目標應用程式名稱。
說明在應用詳情頁面的基本資料地區可以查看應用ID,應用ID在步驟四設定參數時需要使用。
在應用OAuth範圍頁簽,單擊添加OAuth範圍。
在添加OAuth範圍面板,選擇添加profile範圍。
單擊確定。
步驟三:建立密鑰
在目標應用詳情頁面,單擊應用密鑰頁簽,然後單擊建立密鑰。
在建立應用密鑰對話方塊,查看並複製建立成功的應用密鑰,然後單擊關閉。
重要應用金鑰產製原料僅在建立時可見,不支援查詢,請及時儲存。
每個應用最多允許建立2個應用密鑰。
步驟四:修改工作區參數
登入可觀測可視化 Grafana 版控制台,在左側導覽列單擊工作區管理。
在工作區管理頁面,單擊目標工作區ID。
在左側導覽列單擊參數設定。
在左側參數列表選擇auth.generic_oauth,然後單擊修改參數。
參考以下配置,修改運行參數列,然後單擊儲存並生效。
name = Alibaba enabled = true allow_sign_up = true client_id = {應用ID} //您可以在RAM控制台的應用基本資料頁面查看應用ID。 client_secret = {步驟三中建立的應用密鑰} scopes = openid profile auth_url = https://signin.aliyun.com/oauth2/v1/auth token_url = https://oauth.aliyun.com/v1/token api_url = https://oauth.aliyun.com/v1/userinfo email_attribute_path=login_name在左側參數列表選擇server,然後單擊修改參數。
參考以下配置,修改運行參數列,然後單擊儲存並生效。
root_url = http://[Grafana串連地址:連接埠號碼]說明您可以在工作區資訊頁面查看Grafana工作區的串連地址和連接埠號碼。