migration secretsmanager vers vault pb d'auth azure ad
Commentaires
Membre depuis le 20/08/2023
yo tu as bien vérifié la config de ton application d'entreprise dans azure ad ? des fois les scopes ou les permissions déléguées sont pas bons ce qui fait que vault reçoit pas tous les claims qu'il attend
Membre depuis le 16/12/2020
ouais j'ai checké j'ai mis "user.read" et "groupmember.read.all" pour les permissions d'api. c'est ce qui est recommandé par hashicorp non ?
Membre depuis le 28/09/2024
attention avec les groupes azure ad. par défaut l'oidc ne renvoie pas les groupes si l'app est configurée pour ça. il faut ptete modifier le manifeste de ton app dans azure ad pour inclure le claim "groups" explicite. cherche "groupMembershipClaims" dans la doc microsoft
Membre depuis le 16/12/2020
ah ok je vois pas mal. je vais regarder ça de plus près. j'avais mis le group filter dans la config vault mais si le claim arrive pas en amont ça sert à rien
Membre depuis le 28/05/2024
une autre piste c le token payload lui-même. utilise un outil comme jwt.io pour décoder le token idc que vault reçoit d'azure ad. tu verras exactement quels claims sont dedans et si tes groupes y figurent
Membre depuis le 16/12/2020
merci le token est nickel les claims de groupe sont bien là c'était le groupMembershipClaims dans le manifeste de l'app azure ad. bien vu les gars ! ça marche maintenant
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
antoine-guerin
Membre depuis le 16/12/2020
salut la team
on est en train de basculer nos secrets d'aws secrets manager vers hashicorp vault. l'idée c'est d'utiliser l'auth method azure ad pour nos applications histoire de simplifier la gestion des tokens
j'ai configuré vault avec le plugin oidc pour azure ad, j'ai mes roles qui mappent les groupes ad vers des politiques vault. le souci c'est que quand mes apps essaient de s'authentifier elles se prennent un 403 "permission denied" même avec des rôles qui ont l'air bons.
vous avez déjà eu ce genre de soucis avec azure ad et vault ? j'ai l'impression que le claim de groupe est pas bien parsé ou un truc du genre