janssenproject/scim

概述

SCIM（系统用户身份管理）的Docker镜像打包，用于Janssen授权服务器的SCIM功能容器化部署。该镜像提供灵活的配置选项，支持多种后端存储和密钥管理方案，便于集成到现有身份认证架构中。

版本

有关稳定版本，请参见https://github.com/JanssenProject/docker-jans-scim/releases%E3%80%82%E5%AF%B9%E4%BA%8E%E5%89%8D%E6%B2%BF/%E4%B8%8D%E7%A8%B3%E5%AE%9A%E7%89%88%E6%9C%AC%EF%BC%8C%E8%AF%B7%E4%BD%BF%E7%94%A8 janssenproject/scim:1.0.0_dev。

环境变量

容器支持以下环境变量：

• CN_CONFIG_ADAPTER：配置后端适配器，可以是 consul（默认）或 kubernetes。
• CN_CONFIG_CONSUL_HOST：Consul的主机名或IP（默认值为 localhost）。
• CN_CONFIG_CONSUL_PORT：Consul的端口（默认值为 8500）。
• CN_CONFIG_CONSUL_CONSISTENCY：Consul一致性模式（可选 default、consistent 或 stale）。默认使用 stale 模式。
• CN_CONFIG_CONSUL_SCHEME：支持的Consul协议（http 或 https）。
• CN_CONFIG_CONSUL_VERIFY：是否验证证书（默认值为 false）。
• CN_CONFIG_CONSUL_CACERT_FILE：Consul CA证书文件路径（默认值为 /etc/certs/consul_ca.crt）。如果文件存在且 CN_CONFIG_CONSUL_VERIFY 设置为 true，将使用此文件。
• CN_CONFIG_CONSUL_CERT_FILE：Consul证书文件路径（默认值为 /etc/certs/consul_client.crt）。
• CN_CONFIG_CONSUL_KEY_FILE：Consul密钥文件路径（默认值为 /etc/certs/consul_client.key）。
• CN_CONFIG_CONSUL_TOKEN_FILE：包含ACL令牌的文件路径（默认值为 /etc/certs/consul_token）。
• CN_CONFIG_KUBERNETES_NAMESPACE：Kubernetes命名空间（默认值为 default）。
• CN_CONFIG_KUBERNETES_CONFIGMAP：Kubernetes配置映射名称（默认值为 jans）。
• CN_CONFIG_KUBERNETES_USE_KUBE_CONFIG：从 $HOME/.kube/config 加载凭据，仅在非容器环境中有用（默认值为 false）。
• CN_CONFIG_GOOGLE_SECRET_VERSION_ID：Google Secret Manager中Janssen配置密钥的版本ID。默认为 latest（推荐）。
• CN_CONFIG_GOOGLE_SECRET_NAME_PREFIX：Google Secret Manager中Janssen配置密钥的前缀。默认为 jans。若保持默认，将创建 jans-configuration 密钥。
• CN_SECRET_ADAPTER：密钥适配器，可以是 vault（默认）、kubernetes 或 google。
• CN_SECRET_VAULT_SCHEME：支持的Vault协议（http 或 https）。
• CN_SECRET_VAULT_HOST：Vault的主机名或IP（默认值为 localhost）。
• CN_SECRET_VAULT_PORT：Vault的端口（默认值为 8200）。
• CN_SECRET_VAULT_VERIFY：是否验证证书（默认值为 false）。
• CN_SECRET_VAULT_ROLE_ID_FILE：包含Vault AppRole角色ID的文件路径（默认值为 /etc/certs/vault_role_id）。
• CN_SECRET_VAULT_SECRET_ID_FILE：包含Vault AppRole密钥ID的文件路径（默认值为 /etc/certs/vault_secret_id）。
• CN_SECRET_VAULT_CERT_FILE：Vault证书文件路径（默认值为 /etc/certs/vault_client.crt）。
• CN_SECRET_VAULT_KEY_FILE：Vault密钥文件路径（默认值为 /etc/certs/vault_client.key）。
• CN_SECRET_VAULT_CACERT_FILE：Vault CA证书文件路径（默认值为 /etc/certs/vault_ca.crt）。如果文件存在且 CN_SECRET_VAULT_VERIFY 设置为 true，将使用此文件。
• CN_SECRET_KUBERNETES_NAMESPACE：Kubernetes命名空间（默认值为 default）。
• CN_SECRET_KUBERNETES_SECRET：Kubernetes密钥名称（默认值为 jans）。
• CN_SECRET_KUBERNETES_USE_KUBE_CONFIG：从 $HOME/.kube/config 加载凭据，仅在非容器环境中有用（默认值为 false）。
• CN_SECRET_GOOGLE_SECRET_VERSION_ID：Google Secret Manager中Janssen密钥的版本ID。默认为 latest（推荐）。
• CN_SECRET_GOOGLE_SECRET_MANAGER_PASSPHRASE：Google Secret Manager中Janssen密钥的密码。建议修改，默认为 secret。
• CN_SECRET_GOOGLE_SECRET_NAME_PREFIX：Google Secret Manager中Janssen密钥的前缀。默认为 jans。若保持默认，将创建 jans-secret 密钥。
• CN_WAIT_MAX_TIME：启动“健康检查”应运行的时间（默认值为 300 秒）。
• CN_WAIT_SLEEP_DURATION：启动“健康检查”之间的延迟（默认值为 10 秒）。
• CN_MAX_RAM_PERCENTAGE：传递给Java选项 -XX:MaxRAMPercentage 的值。
• CN_PERSISTENCE_TYPE：使用的持久化后端（可选 ldap、couchbase 或 hybrid；默认值为 ldap）。
• CN_PERSISTENCE_LDAP_MAPPING：指定应保存在LDAP中的数据（可选 default、user、cache、site 或 token；默认值为 default）。注意：仅当 CN_PERSISTENCE_TYPE 设置为 hybrid 时，此环境变量才生效。
• CN_LDAP_URL：LDAP服务器的地址和端口（默认值为 localhost:1636）；当 CN_PERSISTENCE_TYPE 设置为 ldap 或 hybrid 时为必填项。
• CN_LDAP_USE_SSL：是否使用SSL连接到LDAP服务器（默认值为 true）。
• CN_COUCHBASE_URL：Couchbase服务器的地址（默认值为 localhost）；当 CN_PERSISTENCE_TYPE 设置为 couchbase 或 hybrid 时为必填项。
• CN_COUCHBASE_USER：Couchbase服务器的用户名（默认值为 admin）；当 CN_PERSISTENCE_TYPE 设置为 couchbase 或 hybrid 时为必填项。
• CN_COUCHBASE_CERT_FILE：Couchbase根证书位置（默认值为 /etc/certs/couchbase.crt）；当 CN_PERSISTENCE_TYPE 设置为 couchbase 或 hybrid 时为必填项。
• CN_COUCHBASE_PASSWORD_FILE：包含Couchbase密码的文件路径（默认值为 /etc/jans/conf/couchbase_password）；当 CN_PERSISTENCE_TYPE 设置为 couchbase 或 hybrid 时为必填项。
• CN_COUCHBASE_CONN_TIMEOUT：打开桶时使用的连接超时（默认值为 10000 毫秒）。
• CN_COUCHBASE_CONN_MAX_WAIT：重试连接前的最大等待时间（默认值为 20000 毫秒）。
• CN_COUCHBASE_SCAN_CONSISTENCY：默认扫描一致性；可选 not_bounded、request_plus 或 statement_plus（默认值为 not_bounded）。
• CN_COUCHBASE_BUCKET_PREFIX：Couchbase桶的前缀（默认值为 jans）。
• CN_COUCHBASE_TRUSTSTORE_ENABLE：为加密的Couchbase连接启用信任存储（默认值为 true）。
• CN_COUCHBASE_KEEPALIVE_INTERVAL：Couchbase连接的保持活动间隔（默认值为 30000 毫秒）。
• CN_COUCHBASE_KEEPALIVE_TIMEOUT：Couchbase连接的保持活动超时（默认值为 2500 毫秒）。
• CN_JAVA_OPTIONS：传递给入口点的Java选项，例如 -Xmx1024m（默认值为空字符串）。
• GOOGLE_PROJECT_ID：Google项目ID（默认值为空字符串）。当 CN_CONFIG_ADAPTER 或 CN_SECRET_ADAPTER 设置为 google 时使用。
• GOOGLE_APPLICATION_CREDENTIALS：Google凭据JSON文件的路径（默认值为 /etc/jans/conf/google-credentials.json）。当 CN_CONFIG_ADAPTER 或 CN_SECRET_ADAPTER 设置为 google 时使用。

使用示例

Docker Run 命令

以下示例使用默认配置启动SCIM容器，连接到本地Consul和Vault：

bash
docker run -d \
  --name jans-scim \
  -e CN_CONFIG_ADAPTER=consul \
  -e CN_CONFIG_CONSUL_HOST=consul.example.com \
  -e CN_SECRET_ADAPTER=vault \
  -e CN_SECRET_VAULT_HOST=vault.example.com \
  -e CN_PERSISTENCE_TYPE=ldap \
  -e CN_LDAP_URL=ldap.example.com:1636 \
  janssenproject/scim:latest

Docker Compose 配置

yaml
version: '3.8'
services:
  jans-scim:
    image: janssenproject/scim:latest
    container_name: jans-scim
    environment:
      - CN_CONFIG_ADAPTER=consul
      - CN_CONFIG_CONSUL_HOST=consul
      - CN_CONFIG_CONSUL_PORT=8500
      - CN_SECRET_ADAPTER=vault
      - CN_SECRET_VAULT_HOST=vault
      - CN_SECRET_VAULT_PORT=8200
      - CN_PERSISTENCE_TYPE=ldap
      - CN_LDAP_URL=ldap:1636
    depends_on:
      - consul
      - vault
      - ldap

  consul:
    image: consul:latest
    container_name: consul
    ports:
      - "8500:8500"

  vault:
    image: vault:latest
    container_name: vault
    ports:
      - "8200:8200"
    environment:
      - VAULT_DEV_ROOT_TOKEN_ID=root

  ldap:
    image: osixia/openldap:latest
    container_name: ldap
    ports:
      - "1636:636"
    environment:
      - LDAP_ADMIN_PASSWORD=admin