使用多个 OAuth 2.0 服务器和/或受众

本指南介绍如何为 RabbitMQ 和多个 OAuth 资源设置 OAuth 2.0，使用以下流程：

• 应用程序身份验证和授权
• 访问 管理 UI

先决条件

• Docker
• 一个包含本示例中使用的所有配置文件和脚本的 GitHub 仓库 的本地克隆，分支为 next
• 将以下条目添加到 /etc/hosts

localhost keycloak devkeycloak prodkeycloak rabbitmq

单个 OAuth 2.0 与多个 OAuth 2.0 资源

到目前为止演示的所有示例（除本示例外）都配置了单个 resource_server_id，因此也就配置了单个 OAuth 2.0 服务器。

在某些场景下，一些管理用户和/或应用程序会注册在不同的 OAuth 2 服务器上，或者它们可能注册在同一个 OAuth 2 服务器上，但使用不同的受众值来引用 RabbitMQ。为了支持这种情况，必须声明尽可能多的 OAuth 2 资源作为受众和/或授权服务器。

以下三个场景演示了您可能遇到的各种配置：

• 场景 1：消息（AMQP）客户端和管理用户注册在同一个 OAuth 2.0 服务器 keycloak 中，但具有不同的受众，例如分别为 rabbit_prod 和 rabbit_dev。
• 场景 2：每个资源都在一个专用的领域（realm）中进行管理（例如，rabbit_prod 资源 -> https://keycloak:8443/realms/prod 领域，rabbit_dev 资源 -> https://keycloak:8443/realms/dev），这些领域都使用相同的 OAuth 2（IDP）服务器，在本示例中可通过 keycloak 访问。
• 场景 3：每个资源都在一个专用的 OAuth 2（IDP）服务器和领域中进行管理（例如，rabbit_dev -> https://devkeycloak:8443/realms/dev，rabbit_dev -> https://prodkeycloak:8442/realms/prod）。

场景 1：消息（AMQP）客户端和管理用户注册在同一个 OAuth 2.0 服务器，但受众不同

RabbitMQ 配置了两个 OAuth2 资源，一个名为 rabbit_prod，另一个名为 rabbit_dev。为了方便举例，假设生产团队使用 rabbit_prod 受众来引用 RabbitMQ。开发团队则使用 rabbit_dev 受众。由于两个团队都注册在同一个 OAuth2 服务器上，您将在根级别配置其设置，例如 issuer，以便两个资源共享相同的配置。

具有各自受众的应用程序访问 AMQP 协议的测试

这是配置的摘要，可在 rabbitmq.scenario1.conf 中找到。

Keycloak 中声明了两个 OAuth2 客户端（prod_producer 和 dev_producer），并配置它们访问各自的受众：rabbit_prod 和 rabbit_dev。RabbitMQ OAuth 2 插件的配置如下：

• 包含两个资源：rabbit_prod 和 rabbit_dev

auth_oauth2.resource_servers.1.id = rabbit_prod
auth_oauth2.resource_servers.2.id = rabbit_dev

• 包含上述两个资源共有的设置

auth_oauth2.preferred_username_claims.1 = preferred_username
auth_oauth2.preferred_username_claims.2 = user_name
auth_oauth2.preferred_username_claims.3 = email
auth_oauth2.issuer = https://keycloak:8443/realms/test
auth_oauth2.scope_prefix = rabbitmq.

• 包含一个 OAuth 提供程序

auth_oauth2.oauth_providers.keycloak.issuer = https://keycloak:8443/realms/test
auth_oauth2.oauth_providers.keycloak.https.cacertfile = /etc/rabbitmq/keycloak-ca_certificate.pem
auth_oauth2.oauth_providers.keycloak.https.verify = verify_peer
auth_oauth2.oauth_providers.keycloak.https.hostname_verification = wildcard
auth_oauth2.default_oauth_provider = keycloak

请按照以下步骤部署 Keycloak 和 RabbitMQ：

1. 启动 Keycloak。使用凭据 admin:admin 访问 管理员页面。

   make start-keycloak

   提示

   建议密切关注日志，直到 Keycloak 完全初始化：docker logs keycloak -f

2. 使用 rabbitmq.scenario1.conf 启动 RabbitMQ。

   MODE="multi-keycloak" CONF="rabbitmq.scenario1.conf" make start-rabbitmq

3. 启动在 Keycloak 中注册的 AMQP 生产者，其 client_id 为 prod_producer，并具有访问 rabbit_prod 资源的权限，以及范围 rabbitmq.read:*/* rabbitmq.write:*/* rabbitmq.configure:*/*。

   make start-perftest-producer-with-token PRODUCER=prod_producer TOKEN=$(bin/keycloak/token prod_producer PdLHb1w8RH1oD5bpppgy8OF9G6QeRpL9)

   这是为 prod_producer 生成的访问令牌。

   {
     "exp": 1690974839,
     "iat": 1690974539,
     "jti": "c8edec50-5f29-4bd0-b25b-d7a46dc3474e",
     "aud": "rabbit_prod",
     "sub": "826065e7-bb58-4b65-bbf7-8982d6cca6c8",
     "typ": "Bearer",
     "azp": "prod_producer",
     "acr": "1",
     "realm_access": {
       "roles": [
         "default-roles-test",
         "offline_access",
         "producer",
         "uma_authorization"
       ]
     },
     "resource_access": {
       "account": {
         "roles": [
           "manage-account",
           "manage-account-links",
           "view-profile"
         ]
       }
     },
     "scope": "profile email rabbitmq.read:*/* rabbitmq.write:*/* rabbitmq.configure:*/*",
     "clientId": "prod_producer",
     "clientHost": "172.18.0.1",
     "email_verified": false,
     "preferred_username": "service-account-prod_producer",
     "clientAddress": "172.18.0.1"
   }

4. 同样，启动 AMQP 生产者 dev_producer，它也注册在 Keycloak 中，但具有访问 rabbit_dev 资源的权限。

   make start-perftest-producer-with-token PRODUCER=dev_producer TOKEN=$(bin/keycloak/token dev_producer z1PNm47wfWyulTnAaDOf1AggTy3MxX2H)

通过两个独立资源访问的管理 UI 测试

这是启用管理 UI 中 OAuth 2.0 的配置摘要。

• Keycloak 中声明了两个用户：prod_user 和 dev_user。

• 在 RabbitMQ 管理插件中声明了两个资源 rabbit_prod 和 rabbit_dev，每个资源都有自己的 OAuth 2 客户端（rabbit_prod_mgt_ui 和 rabbit_dev_mgt_ui）范围，以及与每个资源关联的标签。

  management.oauth_resource_servers.1.id = rabbit_prod
  management.oauth_resource_servers.1.client_id = rabbit_prod_mgt_ui
  management.oauth_resource_servers.1.label = RabbitMQ Production
  management.oauth_resource_servers.1.scopes = openid profile rabbitmq.tag:administrator
  
  management.oauth_resource_servers.2.id = rabbit_dev
  management.oauth_resource_servers.2.client_id = rabbit_dev_mgt_ui
  management.oauth_resource_servers.2.label = RabbitMQ Development
  management.oauth_resource_servers.2.scopes = openid profile rabbitmq.tag:management

  注意

  由于只有一个 OAuth2 服务器，因此两个资源共享名为 keycloak 的 OAuth 提供程序。

• 每个 OAuth2 客户端 rabbit_prod_mgt_ui 和 rabbit_dev_mgt_ui 都在 Keycloak 中声明，以便它们只能发出针对各自受众（分别为 rabbit_prod 和 rabbit_dev）的令牌。

请按照步骤执行带有两个 OAuth 资源的管理 UI 流程。

1. 前往 RabbitMQ 管理 UI。
2. 选择 RabbitMQ Production 资源。
3. 以 prod_user:prod_user 身份登录。
4. Keycloak 会提示您授权 prod_user 的各种范围。
5. 现在您应该被重定向到管理 UI，用户为 prod_user。

现在，注销并为 dev_user 用户重复相同的步骤。对于此用户，RabbitMQ 配置为仅请求 rabbitmq.tag:management 范围。

警告

在步骤 3 中，如果您以 dev_user 身份登录，RabbitMQ 将不会授权 dev_user，因为 RabbitMQ 配置为请求 RabbitMQ Production 的范围：rabbitmq.tag:administrator。

dev_user 没有 rabbitmq.tag:administrator 范围，它拥有 rabbitmq.tag:management 范围。在此场景中，dev_user 获取的令牌不包含 RabbitMQ 支持的任何范围。

场景 2：在多个 OAuth 提供程序下的专用领域中的两个 OAuth 2 资源

本场景使用相同的 OAuth 2.0 提供程序 keycloak，但这次有两个领域：dev 和 prod。

• 在 dev 领域下，有已授予对 rabbit_dev 资源访问权限的用户和客户端：
  • dev_producer（密码：SBuw1L5a7Y2aQfWfbsgXlEKGTNaEHxO8）。
  • rabbit_dev_admin（密码：rabbit_dev_admin）。
  • rabbit_dev_mgt_api.
• 在 prod 领域下，有已授予对 rabbit_prod 资源访问权限的用户和客户端：
  • prod_producer，受众为 rabbit_prod（密码：PdLHb1w8RH1oD5bpppgy8OF9G6QeRpL9）。
  • rabbit_prod_admin（密码：rabbit_prod_admin）。

尽管只有一个物理 OAuth 提供程序，您仍需要使用两个 OAuth 2.0 提供程序配置 RabbitMQ。每个租户都有自己的 issuer URL。本场景使用的配置文件是 rabbitmq.scenario2.conf。为方便起见，这里是相关部分：

...
## Oauth providers
auth_oauth2.oauth_providers.devkeycloak.issuer = https://keycloak:8443/realms/dev
auth_oauth2.oauth_providers.devkeycloak.https.cacertfile = /etc/rabbitmq/keycloak-ca_certificate.pem
auth_oauth2.oauth_providers.devkeycloak.https.verify = verify_peer
auth_oauth2.oauth_providers.devkeycloak.https.hostname_verification = wildcard

auth_oauth2.oauth_providers.prodkeycloak.issuer = https://keycloak:8443/realms/prod
auth_oauth2.oauth_providers.prodkeycloak.https.cacertfile = /etc/rabbitmq/keycloak-ca_certificate.pem
auth_oauth2.oauth_providers.prodkeycloak.https.verify = verify_peer
auth_oauth2.oauth_providers.prodkeycloak.https.hostname_verification = wildcard

...

请按照以下步骤部署 Keycloak 和 RabbitMQ：

1. 启动 Keycloak。

make start-keycloak

提示

运行 docker ps | grep keycloak 来检查实例何时启动。建议密切关注日志，直到两个实例都完全初始化：docker logs keycloak -f

2. 启动 RabbitMQ。

MODE=multi-keycloak OAUTH_PROVIDER=keycloak CONF=rabbitmq.scenario2.conf make start-rabbitmq

3. 启动在 Keycloak 中注册的 AMQP 生产者，其 client_id 为 prod_producer，并具有访问 rabbit_prod 资源的权限，以及范围 rabbitmq.read:*/* rabbitmq.write:*/* rabbitmq.configure:*/*。

make start-perftest-producer-with-token PRODUCER=prod_producer TOKEN=$(bin/keycloak/token prod_producer sIqZ5flmSz3r6uKXMSz8CWGeScdTpqq0 prod)

4. 启动在 Keycloak 中注册的 AMQP 生产者，其 client_id 为 dev_producer，并具有访问 rabbit_dev 资源的权限，以及范围 rabbitmq.read:*/* rabbitmq.write:*/* rabbitmq.configure:*/*。

make start-perftest-producer-with-token PRODUCER=dev_producer TOKEN=$(bin/keycloak/token dev_producer SBuw1L5a7Y2aQfWfbsgXlEKGTNaEHxO8 dev)

5. 停止两个生产者。

make stop-perftest-producer PRODUCER=dev_producer
make stop-perftest-producer PRODUCER=prod_producer

6. 验证 rabbit_dev_mgt_api 可以访问管理 API，因为其令牌授予了对 rabbit_dev 的访问权限。

make curl-keycloak url=https://:15671/api/overview client_id=rabbit_dev_mgt_api secret=La1Mvj7Qvt8iAqHisZyAguEE8rUpg014 realm=dev

您应该在标准输出中看到与 RabbitMQ 管理 API 中的 /overview 端点对应的 JSON 块。

8. 验证 mgt_api_client 无法访问管理 API，因为其令牌未授予对 rabbit_dev 或 rabbit_prod 的访问权限。

make curl-keycloak url=https://:15671/api/overview client_id=mgt_api_client secret=La1Mvj7Qvt8iAqHisZyAguEE8rUpg014 realm=test

您应该在标准输出中看到以下内容：

{"error":"not_authorized","reason":"Not_Authorized"}

9. 验证管理 UI 访问。

   • 前往 https://:15671。
   • 选择“RabbitMQ Development”OAuth 2.0 资源。
   • 点击“Click here to login”。
   • 使用 rabbit_dev_admin / rabbit_dev_admin 凭据通过 Keycloak 进行身份验证。
   • 验证用户是否已重定向到管理 UI。
   • 点击“Logout”。
   • 使用“RabbitMQ Production”和用户 rabbit_prod_admin / rabbit_prod_admin 重复。

10. 关闭 RabbitMQ 和 Keycloak。

make stop-keycloak
make stop-rabbitmq

场景 3：在专用的 OAuth 2 提供程序中的两个 OAuth 2 资源

本场景使用两个独立的 OAuth 2.0 提供程序，名为 devkeycloak 和 prodkeycloak，设置如下：

• devkeycloak 在 dev 领域下的设置如下，并授予对 rabbit_dev 资源的访问权限：
  • dev_producer，受众为 rabbit_dev（密码：SBuw1L5a7Y2aQfWfbsgXlEKGTNaEHxO8）。
  • rabbit_dev_admin（密码：rabbit_dev_admin）。
  • rabbit_dev_mgt_api.
• prodkeycloak 在 prod 领域下的设置如下，并授予对 rabbit_prod 资源的访问权限：
  • prod_producer，受众为 rabbit_prod（密码：PdLHb1w8RH1oD5bpppgy8OF9G6QeRpL9）。
  • rabbit_prod_admin（密码：rabbit_prod_admin）。

查看本场景使用的配置文件 rabbitmq.scenario3.conf 中的 oauth_providers 部分。与场景 2 类似，这里也有两个 OAuth 提供程序，但这次 URL 指向不同的主机名。为方便起见，这里是相关部分：

...

## Oauth providers
auth_oauth2.oauth_providers.devkeycloak.issuer = https://devkeycloak:8443/realms/dev
auth_oauth2.oauth_providers.devkeycloak.https.cacertfile = /etc/rabbitmq/keycloak-ca_certificate.pem
auth_oauth2.oauth_providers.devkeycloak.https.verify = verify_peer
auth_oauth2.oauth_providers.devkeycloak.https.hostname_verification = wildcard

auth_oauth2.oauth_providers.prodkeycloak.issuer = https://prodkeycloak:8442/realms/prod
auth_oauth2.oauth_providers.prodkeycloak.https.cacertfile = /etc/rabbitmq/keycloak-ca_certificate.pem
auth_oauth2.oauth_providers.prodkeycloak.https.verify = verify_peer
auth_oauth2.oauth_providers.prodkeycloak.https.hostname_verification = wildcard

...

请按照以下步骤部署两个 Keycloak 和 RabbitMQ：

1. 启动 Keycloak。

make start-dev-keycloak
make start-prod-keycloak

提示

运行 docker ps | grep keycloak 以查看已启动的两个实例。

2. 启动 RabbitMQ。

MODE=multi-keycloak CONF=rabbitmq.scenario3.conf make start-rabbitmq

3. 启动在 Keycloak 中注册的 AMQP 生产者，其 client_id 为 prod_producer，并具有访问 rabbit_prod 资源的权限，以及范围 rabbitmq.read:*/* rabbitmq.write:*/* rabbitmq.configure:*/*。

make start-perftest-producer-with-token PRODUCER=prod_producer TOKEN=$(bin/prodkeycloak/token prod_producer PdLHb1w8RH1oD5bpppgy8OF9G6QeRpL9)

4. 启动在 Keycloak 中注册的 AMQP 生产者，其 client_id 为 dev_producer，并具有访问 rabbit_dev 资源的权限，以及范围 rabbitmq.read:*/* rabbitmq.write:*/* rabbitmq.configure:*/*。

make start-perftest-producer-with-token PRODUCER=dev_producer TOKEN=$(bin/devkeycloak/token dev_producer z1PNm47wfWyulTnAaDOf1AggTy3MxX2H)

5. 停止两个生产者。

make stop-perftest-producer PRODUCER=dev_producer
make stop-perftest-producer PRODUCER=prod_producer

6. 验证 rabbit_dev_mgt_api 可以访问管理 API，因为其令牌授予了对 rabbit_dev 的访问权限。

make curl-dev-keycloak url=https://:15671/api/overview client_id=rabbit_dev_mgt_api secret=p7v6DksWkcb6TUYK6payswovC0LqhU6A

您应该在标准输出中看到与 RabbitMQ 管理 API 中的 /overview 端点对应的 JSON 块。

8. 验证 mgt_api_client 无法访问管理 API，因为其令牌未授予对 rabbit_dev 或 rabbit_prod 的访问权限。

make curl-keycloak url=https://:15671/api/overview client_id=mgt_api_client secret=La1Mvj7Qvt8iAqHisZyAguEE8rUpg014 realm=test

您应该在标准输出中看到以下内容：

{"error":"not_authorized","reason":"Not_Authorized"}

9. 验证管理 UI 访问。

   • 前往 https://:15671。
   • 选择“RabbitMQ Development”OAuth 2.0 资源。
   • 点击“Click here to login”。
   • 使用 rabbit_dev_admin / rabbit_dev_admin 凭据通过 Keycloak 进行身份验证。
   • 验证用户是否已重定向到管理 UI。
   • 点击“Logout”。
   • 使用“RabbitMQ Production”和用户 rabbit_prod_admin / rabbit_prod_admin 重复。

10. 关闭 RabbitMQ 和两个 Keycloak。

make stop-dev-keycloak
make stop-prod-keycloak
make stop-rabbitmq