Problème d'authentification Vault OIDC Azure AD
Membre depuis le 21/05/2024
Salut la gang j'ai un souci avec vault et l'authentification oidc via azure ad. ma config semble bonne j'ai créé l'application dans azure ad j'ai les bons client_id et client_secret. mais quand j'essaye de me co via la cli ou l'ui j'ai une erreur jwt validation failed
vault login -method=oidc
et là ça m'ouvre le navigateur puis après la validation azure j'ai ça dans le terminal
Error authenticating: Error making API request.
URL: PUT http://127.0.0.1:8200/v1/auth/oidc/callback
Code: 400. Errors:
* unable to parse ID Token: 'exp' claim is not an int64
quelqu'un a déjà vu ce truc d'expiration de token qui est pas int64 ? j'ai l'impression que vault attend un format différent ou un truc du genre c'est chiant
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
hoareau-emile
Membre depuis le 23/07/2024
yo ça sent le problème de clock skew entre ton serveur vault et azure ad. vérifie que ton serveur vault a bien son horloge synchronisée avec un ntp précis. un petit décalage et les jwt se retrouvent invalides direct
ça peut être suffisant à créer ce genre d'erreur d'expiration
maggie-didier
Membre depuis le 21/05/2024
ah merde tu as ptete raison je vais checker le ntp. on a eu des soucis de synchro récemment sur cette vm. je te dis ça après un resync
mmartins
Membre depuis le 26/12/2024
en plus du ntp vérifie aussi la config de ton oidc role dans vault. des fois on met des ttl ou max_ttl trop courts qui rentrent en conflit avec les tokens d'azure ad. ou même des allowed_redirect_uris qui foirent. regarde la sortie de vault read auth/oidc/role/ton_role
maggie-didier
Membre depuis le 21/05/2024
d'acc je regarde tout ça. le ntp était un peu à la ramasse d'une seconde ou deux donc je l'ai resync. mais j'ai toujours le même message. le rôle vault a l'air ok je vois rien de bizarre dans les ttl. le redirect uri est bon aussi c'est bien celui que vault me dit d'utiliser
hoareau-emile
Membre depuis le 23/07/2024
ok si le ntp est ok et les ttl vault aussi alors le problème de 'exp' claim pas int64 c'est super bizarre. t'as quelle version de vault ? j'ai vu des bugs similaires sur des vieilles versions parfois ou avec des configs oidc exotiques. sinon un truc tout bête t'as bien coché les permissions "id tokens" dans la registration app azure ad ?
maggie-didier
Membre depuis le 21/05/2024
merci les gars vous m'avez mis sur la bonne piste. c'était pas le ntp direct mais la version de vault (1.7.x). après upgrade en 1.11.x le problème a disparu. apparemment il y avait bien un bug de parsing jwt sur les claims 'exp' avec des tokens spécifiques d'azure ad sur les anciennes versions. thx !