Grafana |身份验证代理-安全性

Question

我正在尝试实现

中记录的Grafana身份验证代理

• https://grafana.com/docs/grafana/latest/auth/auth-proxy/
• https://community.grafana.com/t/django-auth-valid-session-on-grafana-behind-nginx/2793/6

根据其工作原理，似乎X-WEBAUTH-USER是用纯文本设置的。因此，任何可以欺骗它的人都可以登录。

Grafana确实有一个IP白名单，但是我不认为维护Docker容器IP地址的做法（Django和Grafana在单独的Docker容器中运行）。

问题：

1. 是否有更好的实现方案来实现某些更安全的事情？
2. 白名单是否可以提供更简单的价值？

Answer 1

那是设计。 AuthProxy将身份验证卸载到您自己的旧式“ auth”服务器。当然，您将需要确保身份验证服务器和Grafana之间的连接安全，因此没有人能够欺骗它。例如，您可以创建用户没有访问权限的专用docker网络（相互TLS连接，VPN等）。最佳方法取决于使用的基础架构。如果您不能正确保护此通信，则AuthProxy不是适合您的最佳身份验证方法。

IMHO也是Grafana支持的最佳身份验证（和单点登录）协议是Open ID Connect（对于Grafana Enteprise，是SAML）。但是您将需要支持这些标准的身份提供者。