Grafana |授权代理-安全

我正在尝试实现Grafana身份验证代理，如中所述

根据它的工作方式，似乎

X-WEBAUTH-USER

是以纯文本形式设置的。所以任何一个可以欺骗它的人都可以登录

Grafana确实有一个IP白名单，但我不认为它的做法是维护Docker容器的IP地址（Django和Grafana在单独的Docker容器中运行）

问题：

是否有更好的实现来实现更安全的东西

白名单能有更简单的价值吗

---

这就是设计。AuthProxy将身份验证卸载到您自己的旧版“auth”服务器。当然，您需要保护auth server和Grafana之间的连接，这样就没有人能够欺骗它。例如，您可以创建专用的docker网络（相互TLS连接、VPN等），其中用户没有访问权限。最佳方法取决于所使用的基础设施。如果无法正确保护此通信，则AuthProxy不是适合您的最佳身份验证方法

---

Grafana也支持的最佳身份验证（和单点登录）协议是开放ID连接（或针对Grafana Enterprise的SAML）。但您需要支持这些标准的身份提供商。

我只想连接到企业中。我也在努力alternatives@SrinathGanesh为什么不使用keydape（或另一个支持AD的IdP），它将连接到Active Directory，因此您将拥有支持SAML/OIDC的非常可靠的身份提供程序。然后您只需通过OIDC连接Keyclope Grafana