Wpis z mikrobloga

Skopiuj link

19.10.2023, 10:57:12

Potrzebuję zalogować się do aplikacji, do której to logowanie odbywa się z wykorzystaniem SAML. SAML jest już poprawnie skonfigurowany, logowanie działa, Azure AD jako IdP. No i teraz problem pojawia się taki - muszę zalogować się do tej aplikacji z poziomu terraform. Innymi słowy, SSO powinno odbyć się bez udziału przeglądarki. Czytałem już od rana czy da się to jakoś zrobić, ale szczerze mówiąc powoli godzę się z myślą, że nie. Może znajdę tutaj jakąś ostatnią nadzieję wśród Was?
#devops

Smonk_Da_Wead

19.10.2023, 11:01:33 via Android

@xmaniox jeśli wszystko jest poprawnie skonfigurowane no to trzeba coś poprawić w sposobie jaki się ten terraform próbuje komunikować ( ͡° ͜ʖ ͡°)

Verbatino

19.10.2023, 15:07:52 via Wykop

@xmaniox: Dlaczego nie wykorzystałeś REST API o którym była mowa już w poprzednim wpisie?

xmaniox

19.10.2023, 15:49:10 via Wykop

@Verbatino: zrobiłem po REST, Ale problem jest tego typu, że TAPem nie mogę zalogować się z poziomu CLI czy tam Terraform. A przynajmniej nie znalazłem takiej możliwości. Interaktywne logowanie nie wchodzi w grę.

Verbatino

19.10.2023, 16:17:02 via Wykop

@xmaniox: Zupełnie płyniesz w jakimś nieznanym kierunku z tym deployem.
Niby zrobiłeś logowanie po REST API... ale nie możesz się zalogować i nawet nie napiszesz gdzie niby tkwi problem xD
Nawet zwykły najprostszy curl -X (...) -h (...) -d (...) odpalony nawet z TF (bez znaczenia w tym przypadku) zgodnie z tym przykładem powinien zwrócić Ci token (albo jakikolwiek błąd/komunikat).

xmaniox

19.10.2023, 16:56:02 via Wykop

@Verbatino: już mówię jak to wygląda. Z wykorzystaniem skryptu napisanego w Pythonie loguje się poprzez zarejestrowana apke w azure do entra ID. Apka ma permisiony na ustawianie TAP dla usera, co też czyni. User ten wykorzystywany jest do logowania w aplikacji. Entra ID jest połączone z aplikacja w taki sposób, że do apki mogę zalogować się z wykorzystaniem passów z entra ID, ale tylko wtedy kiedy loguje się poprzez przeglądarkę (co

xmaniox

19.10.2023, 17:00:06 via Wykop

@Verbatino: token dostaje, ale on służy tylko do ustawienia TAP userowi, który ma logować się do aplikacji. Na początku każdego pipeline TAP jest resetowany dla tego usera, a problem polega na tym, że nie mam jak przekazać tych credsow do API aplikacji, bo logowanie odbywa się po SAML. Logowanie działa tylko z poziomu przeglądarki, na czym mi w ogóle nie zależy. Zależy mi tylko na logowaniu do aplikacji z poziomu terraforma.

Verbatino

19.10.2023, 19:55:02 via Wykop

@xmaniox: Trochę to wszystko chaotyczne co piszesz... Ale na pewno możesz sobie pociągnąć TAP-a dla danego usera po jego utworzeniu z wykorzystaniem New-MgUserAuthenticationTemporaryAccessPassMethod bo jest ono w polu TemporaryAccessPass.
Tutaj ktoś przykładowo sobie tak robił.
Wystarczy, że w sposób bezpieczny odpalisz sobie takiego cmdleta w środowisku i normalnie autentykujesz się w appce.

xmaniox

19.10.2023, 20:14:36 via Wykop

@Verbatino: i ja sobie tego tapa wyciągam, mam normalnie to hasło w CLI. Tylko nie ma metody, która pozwoli Ci się tym TAPem zalogować do Azure :)

Verbatino

19.10.2023, 20:29:57 via Wykop

@xmaniox: Ale zaraz, zaraz... Ty oczekujesz, że dostawca IAM sam z siebie zrobi Ci implementację po stronie aplikacji?
Do takich rzeczy można ewentualnie użyć MS Graph...

xmaniox

20.10.2023, 04:44:30 via Wykop

@Verbatino: nie, nie oczekuje, że dostawca zovi mi logowanie po stronie aplikacji. Ale TAPem nie da się nawet zautentykowac po CLI do Azure. Wygenerować TAP dla usera z CLI to jedno, ale zautentykowac to drugie.

Verbatino

20.10.2023, 12:33:25 via Wykop

@xmaniox: Mówiąc szczerze to nie chce mi się już płynąć w tym kierunku.
Niemniej. Do samego Azure jako "platformy" brak możliwości logowania przez TAP ma jak najbardziej sens. To nie usługobiorca zarządza całą platformą, konta są w domenie MS. Tu nawet byłby problem natury prawnej.
A jeśli chodzi o same usługi i konta je wykorzystujące to już inna strona medalu.
Niemniej naprawdę nie rozumiem co chcesz osiągnąć w tym pipeline więc

xmaniox

20.10.2023, 12:50:56 via Wykop

@Verbatino: Ok, już nie ciągnijmy tego tematu bo doszedłem do wniosku, że w tym modelu, jaki planowałem jest to niewykonalne. Ale żeby nie zostawić Ciebie z niedomówieniem - plan był taki:
1. Użytkownik, który nie powinien mieć dostępu do aplikacji ani do żadnych credsów pozwalających mu się tam zalogować odpala pipeline na Azure Dev/Ops
2. Pipeline w pierwszym kroku tworzy infrastrukturę z wykorzystaniem Terraform (między innymi stawia też aplikację, o której

Aktywne Wpisy

Yaszu

Yaszu +137

5 godz. temu

Jak widać Ania się nie pie***** w tańcu. Jeszcze chwilka i cycuchy będzie całe pokazywać. Robert na pewno będzie zadowolony #mecz #instagram

Yaszu - Jak widać Ania się nie pie***** w tańcu. Jeszcze chwilka i cycuchy będzie cał... — **źródło:** temp_file1600486307961802302
Pobierz

dom_perignon

dom_perignon +134

4 godz. i 44 min temu

Czyli CPK uwalone. Zamiast tego ma być rozbudowa Okęcia, która jest nierealna ze względu na bariery przestrzenne.
Czyli audyty CPK to ściema, dotychczasowe analizy i wydane 3 mld zł na projekty i grunty w piach, za to wydamy 2,4 mld zł na Chopina, który i tak nie zwiększy przepustowości, bo nie ma slotów.

XD

#cpk #ekonomia #bekazlewactwa

dom_perignon - Czyli CPK uwalone. Zamiast tego ma być rozbudowa Okęcia, która jest ni... — **źródło:** GMWvbInXYAA8A1H
Pobierz

Aktywne Wpisy

Aktywne Znaleziska

A to niespodzianka...

Pioruny nagrane ultraszybką kamerą

Rekordowa strata PKP! Śmierdzący zbuk po poprzedniej władzy?

Oszukani przez nowego pracodawcę. Zostali bez środków do życia.

Rolnik musi sprzedać 3 razy więcej zboża, by kupić ciągnik. Skala kryzysu poraża

Popularne tagi