https://youtu.be/AOgUn2U8LmM?si=yKU1GKQONwwTMIpl

• vídeo local

Descripción

Se describe el proceso de delegar la autenticación en un reverse proxy (gestionado por NPM) que utiliza OAuth2‑Proxy para gestionar las cookies de sesión y redirecciones, mientras Keycloak se encarga de la autenticación y la provisión de información del usuario en las cabeceras HTTP. Este enfoque no solo simplifica la arquitectura de la aplicación, sino que también ofrece una mayor seguridad y una administración centralizada de las identidades, permitiendo que Grafana (y cualquier otra aplicación) se integre de forma transparente en un ecosistema IAM robusto y escalable.

Funcionalidad de los actores

Grafana y la función Auth Proxy

Grafana permite configurar un reverse proxy HTTP para que se encargue de la autenticación. Con la funcionalidad de Auth Proxy, Grafana confía en el proxy para autenticar a los usuarios. Esto significa que, en lugar de gestionar directamente el proceso de autenticación (login, logout, validación de tokens, etc.), Grafana espera que el proxy le entregue, mediante cabeceras HTTP, la información necesaria del usuario autenticado.

Rol del Nginx Proxy Manager (NPM)

El Nginx Proxy Manager actúa como el encargado de gestionar las configuraciones del proxy Nginx de forma centralizada y sencilla. En este escenario, NPM se sitúa en el frente del sistema y se encarga de:

• Redirigir las solicitudes: Filtra el tráfico y reenvía las peticiones a los componentes internos (como OAuth2‑Proxy y, finalmente, Grafana).
• Gestión de certificados y TLS: Proporciona la capa de seguridad necesaria para las conexiones HTTPS.
• Simplificar la configuración del proxy: Permite administrar visualmente las reglas de proxy, lo que facilita la integración y el mantenimiento de la solución.

Papel de Keycloak en la Gestión de Identidades

Keycloak es una solución de gestión de identidades y acceso (IAM) que proporciona mecanismos robustos de autenticación mediante el estándar OpenID Connect. En este contexto, Keycloak:

• Autentica a los usuarios: Se encarga de la verificación de credenciales y puede incluir mecanismos adicionales como 2FA.
• Emite tokens y proporciona información: Tras una autenticación exitosa, Keycloak devuelve tokens (access token, refresh token, etc.) y, de forma directa, puede incluir la información del usuario en las cabeceras HTTP mediante mapeos configurados.
• Facilita la integración con otros IdP: Permite la federación de identidades y la integración con otros proveedores, centralizando así la gestión de usuarios y accesos.

Gestión de Sesiones y Redirecciones con OAuth2‑Proxy