html šŸ”’ SSO: Suporte de autenticaĆ§Ć£o federada | Nullcore
Pule para o conteĆŗdo principal

Suporte de autenticaĆ§Ć£o federado

O Nullcore suporta vĆ”rias formas de autenticaĆ§Ć£o federada:

  1. OAuth2
    1. Google
    2. Microsoft
    3. Github
    4. OIDC
  2. CabeƧalho confiƔvel
informaƧƵes

Para obter mais informaƧƵes sobre todas as variĆ”veis ā€‹ā€‹de ambiente, consulte oPĆ”gina de documentos da variĆ”vel de ambiente. Ɖ altamente recomendĆ”vel verificar a pĆ”gina da variĆ”vel de ambiente, para obter mais detalhes sobre como definir a variĆ”vel e quais valores sĆ£o esperados.

perigo

No momento, vocĆŖ sĆ³ pode configurar um provedor de OAuth por vez. VocĆŖ nĆ£o pode ter MicrosofteGoogle como provedores simultaneamente.

Oauth

Existem vĆ”rias opƧƵes de configuraĆ§Ć£o global para o OAuth em geral:

  1. ENABLE_OAUTH_SIGNUP- setrue, permite que as contas sejam criadas ao fazer login com o OAuth. Distinto deENABLE_SIGNUP
  2. OAUTH_MERGE_ACCOUNTS_BY_EMAIL- Permite fazer login em uma conta que corresponda ao endereƧo de email fornecido pelo provedor OAuth.
    • Isso Ć© considerado inseguro, pois nem todos os provedores de OAuth verificam endereƧos de email e podem permitir que as contas sejam seqĆ¼estradas.
  3. OAUTH_UPDATE_PICTURE_ON_LOGIN- setrue, os usuĆ”rios terĆ£o as imagens de perfil fornecidas pelo OAuth atualizadas no login.
    • Se a reivindicaĆ§Ć£o de imagem do OAuth estiver desativada, configurandoOAUTH_PICTURE_CLAIMPara a sequĆŖncia vazia, essa configuraĆ§Ć£o serĆ” ignorada.
  4. OAUTH_PICTURE_CLAIM- pode ser usado para personalizar ou desativar o armazenamento de imagens de perfil. O padrĆ£o,picture, funcionarĆ” para a maioria dos fornecedores; Se definido como a string vazia, todos os usuĆ”rios receberĆ£o a imagem de perfil da pessoa padrĆ£o.
  5. WEBUI_AUTH_SIGNOUT_REDIRECT_URI- pode ser definido como encaminhar opcionalmente o usuĆ”rio para um URI especĆ­fico apĆ³s o login.

Google

Para configurar um cliente do Google OAuth, consulteDocumentaĆ§Ć£o do Googlesobre como criar um cliente do Google OAuth para umAplicativo da Web. O URI de redirecionamento permitido deve incluir<open-webui>/oauth/google/callback

As seguintes variĆ”veis ā€‹ā€‹de ambiente sĆ£o necessĆ”rias:

  1. GOOGLE_CLIENT_ID- ID do cliente do Google OAuth
  2. GOOGLE_CLIENT_SECRET- Segredo do cliente do Google Oauth
  3. OPENID_PROVIDER_URL- Deve ser definido para que o logout funcione corretamente. (Geralmente parahttps://accounts.google.com/.well-known/openid-configuration

Microsoft

Para configurar um cliente da Microsoft OAuth, consulteDocumentaĆ§Ć£o da Microsoftsobre como criar um cliente da Microsoft Oauth para umAplicativo da Web. O URI de redirecionamento permitido deve incluir<open-webui>/oauth/microsoft/callback. Este valor deve ser usado para oMICROSOFT_REDIRECT_URIvariĆ”vel de ambiente.

Atualmente, o suporte Ć  Microsoft OAuth estĆ” limitado a um Ćŗnico inquilino, que Ć© uma Ćŗnica organizaĆ§Ć£o da ENTRA ou contas pessoais da Microsoft.

As seguintes variĆ”veis ā€‹ā€‹de ambiente sĆ£o necessĆ”rias:

  1. MICROSOFT_CLIENT_ID- ID do cliente da Microsoft OAuth
  2. MICROSOFT_CLIENT_SECRET- Microsoft Oauth Client Secret
  3. MICROSOFT_CLIENT_TENANT_ID- ID do inquilino da Microsoft - Use9188040d-6c67-4c5b-b112-36a304b66dadpara contas pessoais
  4. MICROSOFT_REDIRECT_URI- O URI de redirecionamento configurado no seu aplicativo Microsoft OAuth. Isso deve ser definido como<open-webui>/oauth/microsoft/callback
  5. OPENID_PROVIDER_URL- Deve ser definido para que o logout funcione corretamente.

Github

Para configurar um cliente Github Oauth, consulteDocumentaĆ§Ć£o do Githubsobre como criar um aplicativo OAuth ou aplicativo github para umAplicativo da Web. O URI de redirecionamento permitido deve incluir<open-webui>/oauth/github/callback

As seguintes variĆ”veis ā€‹ā€‹de ambiente sĆ£o necessĆ”rias:

  1. GITHUB_CLIENT_ID- ID do cliente do aplicativo Github OAuth
  2. GITHUB_CLIENT_SECRET- Github Oauth App Client Secret

OIDC

Qualquer provedor de autenticaĆ§Ć£o que suporta OIDC pode ser configurado. OemailA reivindicaĆ§Ć£o Ć© necessĆ”ria.nameepictureSĆ£o usadas reivindicaƧƵes se disponĆ­veis. O URI de redirecionamento permitido deve incluir<open-webui>/oauth/oidc/callback

As seguintes variĆ”veis ā€‹ā€‹de ambiente sĆ£o usadas:

  1. OAUTH_CLIENT_ID- ID do cliente OIDC
  2. OAUTH_CLIENT_SECRET- Oidc Client Secret
  3. OPENID_PROVIDER_URL- OIDC URL bem conhecido, por exemplohttps://accounts.google.com/.well-known/openid-configuration
  4. OAUTH_PROVIDER_NAME- Nome do provedor para mostrar na interface do usuĆ”rio, padrĆ£o para SSO
  5. OAUTH_SCOPES- Escopos a serem solicitados. PadrĆ£o paraopenid email profile
  6. OPENID_REDIRECT_URI- O URI de redirecionamento configurado no seu aplicativo OIDC. Isso deve ser definido como<open-webui>/oauth/oidc/callback

OAuth RunS Management

Qualquer provedor de OAuth que possa ser configurado para retornar funƧƵes no token de acesso pode ser usado para gerenciar funƧƵes no webui aberto. Para usar este conjunto de recursosENABLE_OAUTH_ROLE_MANAGEMENTparatrue. VocĆŖ pode configurar as seguintes variĆ”veis ā€‹ā€‹de ambiente para corresponder Ć s funƧƵes devolvidas pelo provedor OAuth:

  1. OAUTH_ROLES_CLAIM- A alegaĆ§Ć£o que contĆ©m os papĆ©is. PadrĆ£o pararoles. TambĆ©m pode ser aninhado, por exemplouser.roles
  2. OAUTH_ALLOWED_ROLES- Uma lista separada por vĆ­rgula de funƧƵes que podem fazer login (receba funĆ§Ć£o aberta da Webuiuser
  3. OAUTH_ADMIN_ROLES- Uma lista de funƧƵes separada por vĆ­rgula que pode fazer login como um administrador (receba funĆ§Ć£o aberta da webuiadmin
informaƧƵes

Se alterar a funĆ§Ć£o de um usuĆ”rio registrado, eles precisarĆ£o fazer logon e fazer o login para receber a nova funĆ§Ć£o.

OAuth Group Management

Qualquer provedor de OAuth que possa ser configurado para devolver grupos no token de acesso pode ser usado para gerenciar grupos de usuĆ”rios no webui aberto no login do usuĆ”rio. Para ativar essa sincronizaĆ§Ć£o, definaENABLE_OAUTH_GROUP_MANAGEMENTparatrue

VocĆŖ pode configurar as seguintes variĆ”veis ā€‹ā€‹de ambiente:

  1. OAUTH_GROUP_CLAIM- A reivindicaĆ§Ć£o no token de identificaĆ§Ć£o/acesso que contĆ©m as associaƧƵes de grupo do usuĆ”rio. PadrĆ£o paragroups. TambĆ©m pode ser aninhado, por exemplouser.memberOf. Exigido seENABLE_OAUTH_GROUP_MANAGEMENTĆ© verdade.
  2. ENABLE_OAUTH_GROUP_CREATION- Setrue(eENABLE_OAUTH_GROUP_MANAGEMENTĆ© tambĆ©mtrue), O Nullcore executarĆ”CriaĆ§Ć£o de grupo just-in-time (JIT). Isso significa que ele criarĆ” automaticamente grupos durante o login do OAuth se estiverem presentes nas reivindicaƧƵes do OAuth do usuĆ”rio, mas ainda nĆ£o existem no sistema. PadrĆ£o parafalse. Sefalse, apenas associaƧƵes emexistenteOs grupos abertos da Webui serĆ£o gerenciados.
SincronizaĆ§Ć£o estrita de grupo

QuandoENABLE_OAUTH_GROUP_MANAGEMENTestĆ” definido comotrue, associaƧƵes de grupo de um usuĆ”rio em webui aberto sĆ£oestritamente sincronizadocom os grupos recebidos em suas reivindicaƧƵes de OAuth em cada login.

  • Os usuĆ”rios serĆ£oadicionadoPara abrir os grupos da Webui que correspondem Ć s suas reivindicaƧƵes de Oauth.
  • Os usuĆ”rios serĆ£oremovidode qualquer grupo aberto da webui (incluindo aqueles criados ou atribuĆ­dos manualmente em webui aberto) se esses grupos foremnĆ£oPresente em suas reivindicaƧƵes de OAuth para essa sessĆ£o de login.

Verifique se todos os grupos necessĆ”rios estĆ£o configurados corretamente em seu provedor de OAuth e incluĆ­dos na reivindicaĆ§Ć£o do grupo (OAUTH_GROUP_CLAIM

UsuƔrios administrativos

As associaƧƵes de grupo de usuĆ”rios administrativos sĆ£onĆ£oAtualizado automaticamente via OAuth Group Management.

Login necessƔrio para atualizaƧƵes

Se os grupos de um usuĆ”rio mudarem no provedor do OAuth, eles precisarĆ£o sair do WebUI aberto e fazer o login para que as alteraƧƵes sejam refletidas.

CabeƧalho confiƔvel

O Nullcore Ć© capaz de delegar a autenticaĆ§Ć£o a um proxy reverso autenticando que passa nos detalhes do usuĆ”rio nos cabeƧalhos HTTP. Existem vĆ”rias configuraƧƵes de exemplo fornecidas nesta pĆ”gina.

perigo

A configuraĆ§Ć£o incorreta pode permitir que os usuĆ”rios se autentiquem como qualquer usuĆ”rio na sua instĆ¢ncia aberta do WebUI. Certifique -se de permitir apenas o acesso de proxy autenticando para abrir o webui, como a configuraĆ§Ć£oHOST=127.0.0.1para ouvir apenas na interface loopback.

ConfiguraĆ§Ć£o genĆ©rica

Quando oWEBUI_AUTH_TRUSTED_EMAIL_HEADERA variƔvel de ambiente estƔ definida, o Nullcore usarƔ o valor do cabeƧalho especificado como o endereƧo de email do usuƔrio, manipulando o registro automƔtico e o login.

Por exemplo, configuraĆ§Ć£oWEBUI_AUTH_TRUSTED_EMAIL_HEADER=X-User-Emaile passando um cabeƧalho HTTP deX-User-Email: example@example.comautenticaria o pedido com o emailexample@example.com

Opcionalmente, vocĆŖ tambĆ©m pode definir oWEBUI_AUTH_TRUSTED_NAME_HEADERPara determinar o nome de qualquer usuĆ”rio criado usando cabeƧalhos confiĆ”veis. Isso nĆ£o tem efeito se o usuĆ”rio jĆ” existir. SeWEBUI_AUTH_TRUSTED_NAME_HEADERnĆ£o estĆ” definido, o endereƧo de email Ć© usado como nome de usuĆ”rio.

Gerenciamento de grupo

VocĆŖ pode usar oWEBUI_AUTH_TRUSTED_GROUPS_HEADERVariĆ”vel de ambiente para sincronizar grupos de usuĆ”rios em webui aberto. Defina essa variĆ”vel como o nome do cabeƧalho HTTP que conterĆ” uma lista separada por vĆ­rgula de nomes de grupo para o usuĆ”rio autenticado.

Quando uma solicitaĆ§Ć£o Ć© autenticada viaWEBUI_AUTH_TRUSTED_EMAIL_HEADERE o cabeƧalho dos grupos confiĆ”veis ā€‹ā€‹estĆ” definido e presente, o Nullcore atualizarĆ” as associaƧƵes do grupo do usuĆ”rio para corresponder aos grupos listados no cabeƧalho.

  • O valor do cabeƧalho deve ser uma lista separada por vĆ­rgula de nomes de grupos (por exemplo,,X-User-Groups: admins,editors,users
  • Se o cabeƧalho nĆ£o estiver presente ou vazio, as associaƧƵes do grupo do usuĆ”rio nĆ£o serĆ£o atualizadas.
  • O usuĆ”rio nĆ£o serĆ” atribuĆ­do de grupos nĆ£o presentes no cabeƧalho.
  • A criaĆ§Ć£o de grupo via cabeƧalho confiĆ”vel nĆ£o Ć© automĆ”tica; Somente grupos existentes no webui aberto serĆ£o atribuĆ­dos.

SERVIƇO DE ESCRALA DE

SERVIƇO DE ESCRALA DEpermite que vocĆŖ compartilhe um serviƧo dentro do seu Tailnet, e a escala traseira definirĆ” o cabeƧalhoTailscale-User-Logincom o endereƧo de e -mail do solicitante.

Abaixo estĆ” um exemplo, sirva a configuraĆ§Ć£o de um arquivo de composiĆ§Ć£o do docker correspondente que inicia um sidecar de escala traseira, expondo o Nullcore ao Tailnet com a tagopen-webuie nome de hostopen-webui, e pode ser acessĆ­vel emhttps://open-webui.TAILNET_NAME.ts.net. VocĆŖ precisarĆ” criar um cliente OAuth com permissĆ£o de gravaĆ§Ć£o do dispositivo para passar para o contĆŖiner de escala traseira comoTS_AUTHKEY

escala traseira/serv.json
{
    "TCP" {
        "443" {
            "Https" verdadeiro
        
    , Assim,
    "Web" {
        "$ {Ts_cert_domain}: 443" {
            "Manipuladores" {
                 {
                    "Proxy" "http: // open-webui: 8080"


docker-compose.yaml
----
serviƧos
  Open-Webui
    imagemghcr.io/openwebui/abertowebuiprincipal
    volumes
      abrirwebui/app/back -end/dados
    ambiente
      Host = 127.0.0.1
      Webui_auth_trusted_email_header = TailScaleUsuƔrioConecte-se
      Webui_auth_trusted_name_header = TailScaleUsuƔrioNome
    reiniciara menos queparou
  escala traseira
    imagemEscala traseira/escala traseiramais recente
    ambiente
      Ts_auth_once = true
      Ts_authkey = ${Ts_authkey
      Ts_extra_args =anunciartags = tagabrirwebui
      Ts_serve_config =/config/serv.json
      TS_STATE_DIR =/VAR/LIB/TAILSCALE
      Ts_hostname = abertowebui
    volumes
      escala traseira/var/lib/trailcale
      ./tailscale/config
      /dev/net/tun/dev/net/tun
    cap_add
      net_admin
      sys_module
    reiniciara menos queparou

volumes
  Open-Webui {
  escala traseira {
aviso

Se vocĆŖ executar escala traseira no mesmo contexto de rede que o Nullcore, por padrĆ£o os usuĆ”rios poderĆ£o entrar em contato diretamente para abrir o Webui sem passar pelo proxy do saque. VocĆŖ precisarĆ” usar as ACLs da TailScale para restringir o acesso apenas Ć  porta 443.

Cloudflare Tunnel com acesso ao CloudFlare

TĆŗnel Cloudflarepode ser usado comCloudflare AcessoPara proteger o Nullcore com SSO. Isso quase nĆ£o Ć© documentado pelo Cloudflare, masCf-Access-Authenticated-User-EmailestĆ” definido com o endereƧo de email do usuĆ”rio autenticado.

Abaixo estĆ” um exemplo de arquivo de composiĆ§Ć£o do Docker que configura um Sidecar CloudFlare. A configuraĆ§Ć£o Ć© feita atravĆ©s do painel. No painel, pegue um token de tĆŗnel, defina o back -end do tĆŗnel parahttp://open-webui:8080e verifique se "Protect with Access" Ć© verificado e configurado.

docker-compose.yaml
----
serviƧos
  Open-Webui
    imagemghcr.io/openwebui/abertowebuiprincipal
    volumes
      abrirwebui/app/back -end/dados
    ambiente
      Host = 127.0.0.1
      Webui_auth_trusted_email_header = cf.AcessoAutenticadoUsuƔrioE-mail
    reiniciara menos queparou
  Cloudflued
    imagemCloudflare/CloudFlueedmais recente
    ambiente
      Tunnel_token = ${Tunnel_token
    comandoExecuĆ§Ć£o do tĆŗnel
    reiniciara menos queparou

volumes
  Open-Webui {

OAuth2-Proxy

OAuth2-ProxyĆ© um proxy reverso da autenticaĆ§Ć£o que implementa provedores sociais da OAuth e suporte do OIDC.

Dado o grande nĆŗmero de configuraƧƵes em potencial, abaixo estĆ” um exemplo de uma configuraĆ§Ć£o em potencial com o Google OAuth. Por favor, consulteoauth2-proxyA documentaĆ§Ć£o para configuraĆ§Ć£o detalhada e qualquer potencial seguranƧa de seguranƧa.

docker-compose.yaml
serviƧos
  Open-Webui
    imagemghcr.io/openwebui/abertowebuiprincipal
    volumes
      abrirwebui/app/back -end/dados
    ambiente
       'Host = 127.0.0.1'
       'Webui_auth_trusted_email_header = x-forwarded-email'
       'Webui_auth_trusted_name_header = X-forwarded-user'
    reiniciara menos queparou
  OAuth2-Proxy
    imagemquay.io/oauth2Proxy/oauth2Proxyv7.6.0
    ambiente
      OAuth2_Proxy_Http_address0.0.0.04180
      OAuth2_Proxy_Upstreamshttp//abrirwebui8080/
      OAuth2_Proxy_ProviderGoogle
      Oauth2_proxy_client_idReplaceme_oauth_client_id
      OAuth2_Proxy_Client_SecretReplaceme_oauth_client_id
      OAuth2_Proxy_Email_DomainsReplaceme_allowed_email_domains
      Oauth2_proxy_redirect_urlReplaceme_oauth_callback_url
      OAuth2_Proxy_Cookie_SecretReplaceme_cookie_secret
      OAuth2_Proxy_cookie_secure "falso"
    reiniciara menos queparou
    portas
      41804180/TCP

Authentik

Para configurar umAuthentikCliente OAuth, consultedocumentaĆ§Ć£osobre como criar um aplicativo eOAuth2/OpenID Provider. O URI de redirecionamento permitido deve incluir<open-webui>/oauth/oidc/callback

Ao criar provedor, observeApp-name, Assim,Client-IDeClient-Secrete use-o para variĆ”veis ā€‹ā€‹de ambiente de webui aberto:

- 'enable_oauth_signup = true'
- 'Oauth_Merge_Accounts_By_Email = true'
- 'Oauth_provider_name = autentik'
-'OpenId_Provider_Url = https: // <uthentik-url>/application/o/<pp-name> /.well-known/openid-configuration'
- 'OAuth_Client_Id = <Sward-Id>'
- 'OAuth_Client_Secret = <Sweon-secret>'
- 'OAuth_Scopes = OpenId Email Profile'
- 'Openid_redirect_uri = https: // <pear-webui>/oauth/oidc/retorno de chamada'

Authelia

Autheliapode ser configurado para retornar um cabeƧalho para uso com autenticaĆ§Ć£o de cabeƧalho confiĆ”vel. DocumentaĆ§Ć£o estĆ” disponĆ­velaqui

Nenhuma exemplo de configuraĆ§Ć£o Ć© fornecida devido Ć  complexidade da implantaĆ§Ć£o do Authelia.