Percona Database Performance Blog
·
PostgreSQL OIDC认证与pg_oidc_validator
💡
原文英文,约3200词,阅读约需12分钟。
📝
内容提要
PostgreSQL 18引入了OAuth认证支持,实现单点登录(SSO)。由于第三方系统的差异,认证流程由外部库处理。可使用Percona的pg_oidc_validator验证OpenID Connect兼容系统。文章介绍了如何通过Keycloak和Docker测试PostgreSQL的OAuth认证,并提供配置步骤和示例。
🎯
关键要点
- PostgreSQL 18引入了OAuth认证支持,实现单点登录(SSO)。
- 认证流程由外部库处理,以适应不同第三方系统的差异。
- Percona的pg_oidc_validator用于验证OpenID Connect兼容系统。
- 文章介绍了如何通过Keycloak和Docker测试PostgreSQL的OAuth认证。
- Keycloak是一个开源身份和访问管理系统,支持SSO。
- 创建用户和客户端以进行OAuth认证测试。
- 需要获取Keycloak容器的IP地址以配置PostgreSQL的OAuth认证。
- 部署PostgreSQL 18测试服务器,并安装pg_oidc_validator。
- 创建测试数据库和表,以便员工通过SSO访问数据。
- 配置OAuth访问,编辑PostgreSQL的身份映射和认证配置文件。
- 启用Percona OIDC验证器,并重启PostgreSQL以应用更改。
- 使用OAuth连接到数据库,并进行简单的连接测试。
- 如果使用Microsoft Entra作为认证提供者,需创建应用并配置相关权限。
- Entra的配置与Keycloak不同,需使用unique_name作为身份字段。
- 重启PostgreSQL以使Entra配置生效,并测试连接。
- 如遇问题,可在社区论坛寻求帮助。
❓
延伸问答
PostgreSQL 18如何支持OAuth认证?
PostgreSQL 18引入了OAuth认证支持,实现单点登录(SSO),通过外部库处理认证流程,以适应不同第三方系统的差异。
如何使用pg_oidc_validator验证OpenID Connect系统?
可以使用Percona的pg_oidc_validator来验证兼容OpenID Connect的系统,尽管该验证器尚未准备好用于生产环境。
如何通过Keycloak和Docker测试PostgreSQL的OAuth认证?
可以通过创建Keycloak容器、配置用户和客户端、获取容器IP地址,并在PostgreSQL中配置OAuth认证来测试。
在PostgreSQL中如何配置OAuth访问?
需要编辑身份映射和认证配置文件,添加相应的映射和认证方法,并重启PostgreSQL以应用更改。
如何使用Microsoft Entra作为PostgreSQL的认证提供者?
在Entra中创建应用并配置相关权限,调整PostgreSQL的配置文件以使用Entra的unique_name作为身份字段。
在PostgreSQL中如何创建测试数据库和表?
可以通过连接到PostgreSQL并使用SQL命令创建数据库和表,例如创建名为promo的数据库和dcode表。
➡️
