authentik开源身份认证与管理平台-与 Grafana 集成(12)

张开发

• 2026/5/30 3:02:06 • 15 分钟阅读

分享文章

文章目录什么是 Grafana准备authentik配置Grafana 配置DockerStandaloneHelm角色映射Grafana 配置注意事项什么是 GrafanaGrafana 是一个多平台开源分析和交互式可视化网络应用程序。当连接到支持的数据源时它可以提供网络图表、图形和警报。企业版 Grafana 也提供附加功能。它可以通过插件系统进行扩展。准备在本指南中使用了以下占位符grafana.company 是 Grafana 安装的 FQDN。authentik.company 是 authentik 安装的 FQDN。authentik配置为了支持将 Grafana 与 authentik 集成您需要在 authentik 中创建一个应用程序/提供程序对。作为管理员登录到 authentik 并打开 authentik 管理员界面。导航至应用程序应用程序然后单击使用提供程序创建以创建应用程序和提供程序对。或者您可以先单独创建提供程序然后创建应用程序并将其连接到提供程序。应用程序提供一个描述性名称、一个可选的应用程序类型组、策略引擎模式和可选的 UI 设置。应用名称Grafana, Slug会自动带出grafana选择提供者类型选择OAuth2/OpenID Connect作为提供者类型。配置提供者提供名称或接受自动提供的名称、用于此提供者的授权流程以及以下必需配置。注意客户端 ID、客户端密钥和 slug 值因为它们将在稍后需要。设置一个 Strict 重定向 URI 为 https://grafana.company/login/generic_oauth 。将注销 URI 设置为 https://grafana.company/logout 。将“注销方式”设置为“前端通道”。选择任何可用的签署密钥。确保禁用加密。配置绑定可选您可以创建一个绑定策略、组或用户来管理用户“我的应用程序”页面上应用程序的列表和访问权限。单击提交以保存新应用程序和提供程序。Grafana 配置Docker如果您的 Grafana 实例在 Docker 中运行请设置以下环境变量environment:GF_AUTH_GENERIC_OAUTH_ENABLED:trueGF_AUTH_GENERIC_OAUTH_NAME:authentikGF_AUTH_GENERIC_OAUTH_CLIENT_ID:Client ID from aboveGF_AUTH_GENERIC_OAUTH_CLIENT_SECRET:Client Secret from aboveGF_AUTH_GENERIC_OAUTH_SCOPES:openid profile emailGF_AUTH_GENERIC_OAUTH_AUTH_URL:https://authentik.company/application/o/authorize/GF_AUTH_GENERIC_OAUTH_TOKEN_URL:https://authentik.company/application/o/token/GF_AUTH_GENERIC_OAUTH_API_URL:https://authentik.company/application/o/userinfo/GF_AUTH_SIGNOUT_REDIRECT_URL:https://authentik.company/application/o/application_slug/end-session/# Optionally enable auto-login (bypasses Grafana login screen)GF_AUTH_OAUTH_AUTO_LOGIN:true# Optionally map user groups to Grafana rolesGF_AUTH_GENERIC_OAUTH_ROLE_ATTRIBUTE_PATH:contains(groups[*], Grafana Admins) Admin || contains(groups[*], Grafana Editors) Editor || Viewer# Required if Grafana is running behind a reverse proxyGF_SERVER_ROOT_URL:https://grafana.companyStandalone如果您使用配置文件必须设置以下选项[auth]signout_redirect_urlhttps://authentik.company/application/o/application_slug/end-session/# Optionally enable auto-loginoauth_auto_logintrue[auth.generic_oauth]nameauthentik enabledtrueclient_idClient ID from aboveclient_secretClient Secret from abovescopesopenid email profile auth_urlhttps://authentik.company/application/o/authorize/ token_urlhttps://authentik.company/application/o/token/ api_urlhttps://authentik.company/application/o/userinfo/# Optionally map user groups to Grafana rolesrole_attribute_pathcontains(groups,Grafana Admins)Admin||contains(groups,Grafana Editors)Editor||ViewerHelm如果您使用的是 Helm 的 values.yaml 文件您必须设置以下选项grafana.ini:auth:signout_redirect_url:https://authentik.company/application/o/application_slug/end-session/oauth_auto_login:trueauth.generic_oauth:name:authentikenabled:trueclient_id:Client ID from aboveclient_secret:Client Secret from abovescopes:openid profile emailauth_url:https://authentik.company/application/o/authorize/token_url:https://authentik.company/application/o/token/api_url:https://authentik.company/application/o/userinfo/# Optionally map user groups to Grafana rolesrole_attribute_path:contains(groups,Grafana Admins)Admin||contains(groups,Grafana Editors)Editor||Viewer角色映射在上面的配置中您可以看到一个角色映射示例。登录时此配置会查看当前用户所属的组。如果找到指定的组名称之一用户将被授予在 Grafana 中的相应角色。在上面的示例中指定的组名称之一是“Grafana Admins”。如果用户是该组的成员则在 Grafana 中授予“管理员”角色。如果用户不是“Grafana Admins”组的成员它会跳到查看用户是否是“Grafana 编辑器”组的成员。如果是它会授予“编辑器”角色。最后如果用户未被发现是这些组中的任何一个成员则会返回授予“查看者”角色。有关组/角色映射的更多信息请参见 grafana 的文档。Grafana 配置注意事项为了确保重定向在 Grafana 中正常工作请确保配置中的 root_url 正确地反映用户通过代理访问 Grafana 的方式。例如如果您的 Grafana 实例位于代理后面且通过代理访问的是 https://grafana.company则将 root_url 设置为 https://grafana.company。这可确保 OAuth 和其他重定向使用正确的 URL例如 https://grafana.company/login/generic_oauth 而不是默认使用诸如 localhost:3000。如果您在第一次使用 OAuth 登录到 grafana 时遇到“user does not belong to org” 错误请检查您是否有 ID 为“1”的组织如果没有请在 grafana 配置文件中添加以下内容[users]auto_assign_orgtrueauto_assign_org_idid-of-your-default-organization

authentik开源身份认证与管理平台-与 Grafana 集成(12)

最新文章

Java Loom响应式迁移全链路拆解（从线程模型颠覆到Project Loom生产就绪）

从开发到分发：手把手教你用Inno Setup为Qt应用制作专业安装包（附脚本自定义技巧）

告别‘Hello World’就卡住：保姆级Android Studio安装与环境变量配置（Win/Mac通用）

保姆级教程：用STM32CubeIDE搞定STM32F407的USB虚拟串口（CDC）通信与速度测试

从老式工控机到树莓派：一文理清RS-232、RS-485和TTL电平的‘前世今生’与适用场景

Vitis自定义IP编译过了，Debug却卡在QEMU文件缺失？一个手动创建空文件的“土办法”救了我

推荐文章

相关文章

分享文章

更多文章

极验滑动验证码自动化实战（ddddocr免费方案）：本地缺口识别与Playwright滑动模拟

避坑指南：R语言中Scheirer–Ray–Hare检验的常见错误及解决方法

手推离心式草坪播种机的设计【说明书+8张cad图+开题报告+中英文翻译】

让你的AI助手读写飞书云文档：OpenClaw + lark-cli 完整配置教程（含懒人方式）

2026年必看：高尔夫模拟系统如何选？这5点让你秒变专业玩家

柔性作业车间调度(FJSP)实战指南：如何应对多机器选择的挑战

3.1.贪心算法导论——为什么“局部最优“能推出“全局最优“？

储物革命与角色自由：PlugY如何重塑暗黑破坏神2单机体验

山东大学软件学院项目实训【个人2】

头歌 python 模拟飞机选座程序

股票相似K线匹配的Python实现：Tushare数据+皮尔逊相关系数全解析

C++ STL 核心：string 从入门到精通（面试+源码+OJ实战）