6 commentaires
ouais j'ai checké j'ai mis "user.read" et "groupmember.read.all" pour les permissions d'api. c'est ce qui est recommandé par hashicorp non ?
attention avec les groupes azure ad. par défaut l'oidc ne renvoie pas les groupes si l'app est configurée pour ça. il faut ptete modifier le manifeste de ton app dans azure ad pour inclure le claim "groups" explicite. cherche "groupMembershipClaims" dans la doc microsoft
ah ok je vois pas mal. je vais regarder ça de plus près. j'avais mis le group filter dans la config vault mais si le claim arrive pas en amont ça sert à rien
une autre piste c le token payload lui-même. utilise un outil comme jwt.io pour décoder le token idc que vault reçoit d'azure ad. tu verras exactement quels claims sont dedans et si tes groupes y figurent
merci le token est nickel les claims de groupe sont bien là c'était le groupMembershipClaims dans le manifeste de l'app azure ad. bien vu les gars ! ça marche maintenant
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la team
on est en train de basculer nos secrets d'aws secrets manager vers hashicorp vault. l'idée c'est d'utiliser l'auth method azure ad pour nos applications histoire de simplifier la gestion des tokens
j'ai configuré vault avec le plugin oidc pour azure ad, j'ai mes roles qui mappent les groupes ad vers des politiques vault. le souci c'est que quand mes apps essaient de s'authentifier elles se prennent un 403 "permission denied" même avec des rôles qui ont l'air bons.
vous avez déjà eu ce genre de soucis avec azure ad et vault ? j'ai l'impression que le claim de groupe est pas bien parsé ou un truc du genre