uaa

スラック#uaa

UAA はマルチテナント ID 管理サービスであり、Cloud Foundry で使用されますが、スタンドアロン OAuth2 サーバーとしても使用できます。その主な役割は、OAuth2 プロバイダーとして、クライアント アプリケーションが Cloud Foundry ユーザーに代わって動作するときに使用するトークンを発行することです。また、Cloud Foundry 資格情報を使用してユーザーを認証し、それらの資格情報 (またはその他) を使用して SSO サービスとして機能することもできます。ユーザー アカウントを管理し、OAuth2 クライアントを登録するためのエンドポイントや、その他のさまざまな管理機能があります。

認証サービスはuaaです。これはプレーンな Spring MVC Web アプリです。 Tomcat または選択したコンテナーで通常どおりデプロイするか、 ./gradlew runを実行してソース ツリーのuaaディレクトリから直接実行します。 Gradle で実行している場合、ポート 8080 でリッスンし、URL はhttp://localhost:8080/uaaです。

UAA サーバーは、UAA-API ドキュメントで定義されている API をサポートします。要約すると:

1. OAuth2 /oauth/authorize および /oauth/token エンドポイント

2. 必要なログイン プロンプトのクエリを許可する /login_info エンドポイント

3. /check_token エンドポイント。リソース サーバーが OAuth2 クライアントによって送信されたアクセス トークンに関する情報を取得できるようにします。

4. /token_key エンドポイント。リソース サーバーがトークン署名を検証するための検証キーを取得できるようにします。

5. SCIM ユーザー プロビジョニング エンドポイント

6. OpenID 接続エンドポイントは認証 /userinfo をサポートします。部分的な OpenID サポート。

認証は、資格情報を/oauth/authorizeエンドポイントに直接送信することにより、コマンド ライン クライアントで実行できます (UAA-API ドキュメントで説明されています)。 Spring Security OAuth には、クライアントが Java の場合に面倒な作業を実行できるImplicitAccessTokenProviderがあります。

1. 認証する

    GET /login
   

   基本的なフォームのログイン インターフェイス。

2. OAuth2トークン付与を承認する

    GET /oauth/authorize?client_id=app&response_type=code...
   

   標準の OAuth2 認証エンドポイント。

3. アクセストークンを取得する

    POST /oauth/token
   

   標準の OAuth2 認証エンドポイント。

• トークン: トークン、スコープ、権限に関するメモ
• 技術フォーラム: cf-dev メーリング リスト
• ドキュメント: docs/
• API ドキュメント: http://docs.cloudfoundry.org/api/uaa/
• 仕様: Oauth 2 認証フレームワークを含む OpenID Connect コア フレームワーク
• LDAP: UAA LDAP の統合

要件：

• Java 17

これがうまくいけば、ビジネスは成功です:

 $ git clone git://github.com/cloudfoundry/uaa.git
$ cd uaa
$ ./gradlew run

これらのアプリはすべて、 /uaa 、 /app 、 /apiと同じポート (8080) で実行されているアプリと連携して動作します。

UAA は、 uaa.logというファイルにログを記録します。このファイルは、次のコマンドを使用して見つけることができます。

 $ sudo lsof | grep uaa.log

これは次のような場所にあるはずです:-

 $TMPDIR/cargo/conf/logs/

まず、上記のように UAA サーバーを実行します。

 $ ./gradlew run

別の端末からは、curl を使用してシステム情報を要求することで、UAA が開始されたことを確認できます。

 $ curl --silent --show-error --head localhost:8080/uaa/login | head -1
HTTP/1.1 200

複雑なリクエストの場合は、UAA コマンド ライン クライアントであるuaac使用して UAA と対話する方が便利です。

UAA jvm デバッグ用に JDWP エージェントをロードするには、次のようにサーバーを起動します。

./gradlew run -Dxdebug=true

または

./gradlew -Dspring.profiles.active=default,hsqldb,debug run

その後、デバッガを jvm プロセスのポート 5005 に接続できます。

デバッガーが接続されるまでサーバーの起動を一時停止するには (起動コードのデバッグに役立ちます)、次のようにサーバーを起動します。

./gradlew run -Dxdebugs=true

または

./gradlew -Dspring.profiles.active=default,hsqldb,debugs run

./gradlew run 、デフォルトで hsqldb データベースを使用して UAA サーバーを実行します。

1. mysqlサーバー(mysql dockerコンテナなど)を起動します。

% docker run --name mysql1 -e MYSQL_ROOT_PASSWORD=changeme -d -p3306:3306 mysql

2. uaaデータベースを作成します (例: mysql インタラクティブ セッション内)

% mysql -h 127.0.0.1 -u root -p
...
mysql > create database uaa ;

3. mysql プロファイルを使用して UAA サーバーを実行する

% ./gradlew -Dspring.profiles.active=mysql,default run

1. postgresqlサーバー（postgres dockerコンテナなど）を起動します。

docker run --name postgres1 -p 5432:5432 -e POSTGRES_PASSWORD=mysecretpassword -d postgres

2. uaaデータベースを作成します (例: psql インタラクティブ セッション内)

% psql -h 127.0.0.1 -U postgres

 create database uaa;
create user root with superuser password 'changeme';

3. postgresql プロファイルを使用して UAA サーバーを実行する

% ./gradlew -Dspring.profiles.active=postgresql,default run

4. UAA サーバーが起動すると、uaa データベース (psql インタラクティブ セッションなど) に作成されたテーブルが表示されます。

 c uaa
psql (14.5 (Homebrew), server 15.0 (Debian 15.0-1.pgdg110+1))
WARNING: psql major version 14, server major version 15.
         Some psql features might not work.
You are now connected to database "uaa" as user "postgres".
d
List of relations
 Schema |             Name              |   Type   | Owner
--------+-------------------------------+----------+-------
 public | authz_approvals               | table    | root
 public | expiring_code_store           | table    | root
 public | external_group_mapping        | table    | root
 public | external_group_mapping_id_seq | sequence | root
 public | group_membership              | table    | root
 public | group_membership_id_seq       | sequence | root
 public | groups                        | table    | root
 public | identity_provider             | table    | root
 public | identity_zone                 | table    | root
 public | oauth_client_details          | table    | root
 public | oauth_code                    | table    | root
 public | oauth_code_id_seq             | sequence | root
 public | revocable_tokens              | table    | root
 public | schema_version                | table    | root
 public | sec_audit                     | table    | root
 public | sec_audit_id_seq              | sequence | root
 public | spring_session                | table    | root
 public | spring_session_attributes     | table    | root
 public | user_info                     | table    | root
 public | users                         | table    | root
(23 rows)

docker を使用して統合テストを実行できます

 $ run-integration-tests.sh <dbtype>

uaa + ldap + データベースを実行する Docker コンテナーが作成され、それに対して統合テストが実行されます。

デフォルトの UAA 単体テスト (./gradlew test integrationTest) は hsqldb を使用します。

docker を使用して単体テストを実行するには:

 $ run-unit-tests.sh <dbtype>

デフォルトの uaa 単体テスト ( ./gradlew test ) は hsqldb を使用します。

まず、テストがどの Gradle プロジェクトに属しているかを確認します。実行するとすべてのプロジェクトを見つけることができます

 $ ./gradlew projects

特定のテスト クラスを実行するには、モジュールとテスト クラスを指定できます。

 $ ./gradlew :<project name>:test --tests <TestClass>.<MethodName>

この例では、cloudfoundry-identity-server モジュールで JdbcScimGroupMembershipManagerTests テストのみを実行しています。

 $ ./gradlew :cloudfoundry-identity-server:test 
--tests "org.cloudfoundry.identity.uaa.scim.jdbc.JdbcScimGroupMembershipManagerTests"

または、クラス内のすべてのテストを実行します

 $ ./gradlew :<project name>:test --tests <TestClass>

scripts/unit-tests.shスクリプトの最後にある完全な Gradle コマンドを使用するには、 testコマンドの前にプロジェクト名を追加し、 --testsオプションを追加します。

 $ ./gradlew :clean :assemble -Pversion=${UAA_VERSION}

実際には、ここにはメインのuaaサーバー アプリケーション、クライアント ライブラリ、およびいくつかのサンプルなど、いくつかのプロジェクトがあります。

1. uaa簡単にデプロイできる WAR プロジェクトです

2. UAA の REST API (SCIM を含む) と UI の実装を含む JAR プロジェクトserver

3. クライアント ライブラリとサーバーの両方で使用される JAR プロジェクトmodel

4. api (サンプル) は、デプロイされたアプリの模擬リストを返す OAuth2 リソース サービスです。

5. app (サンプル) は上記の両方を使用するユーザー アプリケーションです

CloudFoundry 用語で言うと

• uaa 、(OAuth2 アクセス トークンを発行することにより) 認証サービスとバックエンド サービスおよびアプリの承認された委任を提供します。

• api 、リソース所有者 (エンド ユーザー) に代わって、他のアプリケーションがアクセスする可能性のあるリソースを提供するサービスです。

• appユーザーに代わってシングル サインオンとapiサービスへのアクセスを必要とする Web アプリです。

前提条件

• ytt、0.24.0 でテスト済み
• クベクトル

Kubernetes デプロイメントは現在開発中です。頻繁な (場合によっては破壊的な) 変更が発生することが予想されます。この機能セットの進捗に応じて、このセクションは更新されます。現時点では:

K8s ディレクトリには、レンダリングして K8s クラスターに適用できるyttテンプレートが含まれています。

開発では、この Makefile を一般的なレンダリングおよび展開アクティビティに使用できます。

本番環境では、ytt を直接使用することになるでしょう。次のような内容で作業が進められるはずです。

$ ytt -f templates -f values/default-values.yml | kubectl apply -f -

これらの値の一部をオーバーライドしたい場合は、YTT のオーバーレイ機能を利用してオーバーライドできます。

$ ytt -f templates -f values/default-values.yml -f your-dir/production-values.yml | kubectl apply -f -

もちろん、いつでもデフォルト値を完全に放棄して、独自の値ファイルを提供することができます。

コミュニティに参加する方法は次のとおりです。

• Slack #uaa で uaa に参加する
• バグや新機能に関する Github チケットを作成し、興味のあるものにコメントして投票します。
• Github はソーシャル コーディング用です。コードを書きたい場合は、このリポジトリのフォークからのプル リクエストを通じて貢献することをお勧めします。この方法でコードを提供したい場合は、対処している特定の問題をカバーしている既存の問題がある場合は、それを参照してください。プル リクエストは常に「開発」ブランチに送信してください。私たちはテスト駆動開発を徹底しています。プル リクエストとは別に実行すると失敗する可能性があるテスト ケースをプル リクエストに添付していただくようお願いいたします。
• プル リクエストを作成した後、コード メトリクスを自分で確認できます
  Github Actions と Sonar で。新しいコードの目標は、100% に近いテスト済みのクリーンなコードである必要があります。

要件：

• ドッカー
• Docker Compose

UAA と LDAP の統合をデバッグするには、VMWare の Bitnami プロジェクトの OpenLdap Docker イメージを使用します。

1. ファイルuaa/src/main/resources/uaa.ymlを変更し、行 7 のspring_profiles: ldap,default,hsqldbのコメントを解除して LDAP を有効にします。
2. scripts/ldapディレクトリからdocker-compose up実行します
3. scripts/ldapからdocker-confirm-ldapquery.shを実行して、実行中の OpenLdap コンテナへの接続を確認します。
4. ./gradlew runで UAA を開始する
5. /uaaに移動し、LDAP ユーザーuser01とパスワードpassword1を使用してログインします。

以下のコマンドを使用して、コンテナーとボリュームをクリーンアップします。

• docker-compose down --volumes