opensciencegrid/oidc-agent
opensciencegrid
oidc-agent的容器镜像,用于安全管理OpenID Connect (OIDC) 凭证,支持自动刷新和跨应用共享,适用于需要OIDC认证的应用环境。
下载次数: 0状态:社区镜像维护者:opensciencegrid仓库类型:镜像最近更新:23 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
oidc-agent 容器镜像文档
概述
本镜像为oidc-agent的容器化版本,oidc-agent是一款轻量级工具,用于安全管理OpenID Connect (OIDC) 凭证(如访问令牌、刷新令牌)。该镜像解决了传统环境中凭证明文存储、手动刷新及跨应用共享困难等问题,提供加密存储、自动更新及标准化共享机制,适用于各类需要OIDC认证的应用场景。
核心功能
- 安全凭证存储:采用加密方式存储OIDC凭证,避免明文暴露,支持用户自定义加密密码。
- 自动令牌刷新:监控凭证有效期,自动向OIDC提供商发起刷新请求,维持凭证有效性。
- 跨应用共享:通过Unix域套接字实现凭证跨进程/容器共享,支持多个应用使用同一套凭证。
- 多提供商支持:兼容主流OIDC提供商(如Keycloak、Google、Microsoft Azure AD等),支持自定义提供商配置。
- 完整命令行工具:内置
oidc-add(添加凭证)、oidc-token(获取令牌)、oidc-remove(删除凭证)等命令,满足凭证全生命周期管理需求。
使用场景
- 开发环境:本地开发时管理OIDC凭证,避免硬编码或手动复制令牌。
- 多应用服务器:同一主机/容器集群内多个应用共享OIDC凭证,减少重复认证流程。
- 长时间运行服务:后台服务、定时任务等需持续使用OIDC凭证的场景,依赖自动刷新功能维持服务连续性。
- CI/CD流水线:在构建或部署阶段临时注入OIDC凭证,完成需认证的资源访问(如拉取私有镜像、调用API)。
使用方法
基本运行
启动容器并持久化存储凭证数据(推荐挂载宿主机目录以保留配置和凭证):
bashdocker run -d \ --name oidc-agent \ -v /host/path/oidc-agent-data:/var/lib/oidc-agent \ # 持久化凭证数据 -v /host/path/oidc-agent-config:/root/.oidc-agent \ # 持久化配置文件 --restart unless-stopped \ oidc-agent:latest
进入容器操作
通过docker exec进入容器,使用oidc-agent命令管理凭证:
bash# 进入容器 docker exec -it oidc-agent bash # 添加OIDC提供商凭证(示例:添加名为"my-provider"的凭证) oidc-add my-provider --issuer https://my-oidc-provider.com/auth/realms/my-realm # 获取凭证(供其他应用使用) oidc-token my-provider
跨容器共享凭证
其他容器可通过挂载/host/path/oidc-agent-config目录(包含Unix套接字)访问凭证:
bash# 示例:启动应用容器并共享oidc-agent凭证 docker run -d \ --name my-app \ -v /host/path/oidc-agent-config:/root/.oidc-agent \ # 共享套接字目录 my-app-image:latest
配置参数
环境变量
| 变量名 | 描述 | 默认值 |
|---|---|---|
OIDC_AGENT_LOG_LEVEL | 日志级别,可选值:debug、info、warn、error | info |
OIDC_AGENT_STORAGE_PATH | 凭证数据存储路径(容器内) | /var/lib/oidc-agent |
OIDC_AGENT_SOCKET_PATH | Unix域套接字路径(用于跨应用通信) | /root/.oidc-agent/agent.sock |
OIDC_AGENT_ENCRYPT_PASSWORD | 凭证加密密码(建议通过环境变量或外部文件传入,避免硬编码) | 无(首次运行时需手动输入) |
数据卷挂载
| 宿主机路径 | 容器内路径 | 用途 |
|---|---|---|
/host/path/oidc-agent-data | /var/lib/oidc-agent | 持久化存储加密后的凭证数据 |
/host/path/oidc-agent-config | /root/.oidc-agent | 持久化配置文件及Unix域套接字(共享用) |
示例配置
docker-compose.yml
yamlversion: '3.8' services: oidc-agent: image: oidc-agent:latest container_name: oidc-agent volumes: - ./oidc-agent-data:/var/lib/oidc-agent - ./oidc-agent-config:/root/.oidc-agent environment: - OIDC_AGENT_LOG_LEVEL=info - OIDC_AGENT_ENCRYPT_PASSWORD=${OIDC_ENCRYPT_PASSWORD} # 从环境变量注入加密密码 restart: unless-stopped app: image: my-app:latest volumes: - ./oidc-agent-config:/root/.oidc-agent # 共享凭证套接字 depends_on: - oidc-agent
注意事项
- 数据持久化:必须挂载数据卷(
/var/lib/oidc-agent和/root/.oidc-agent),否则容器重启后凭证和配置将丢失。 - 加密密码安全:
OIDC_AGENT_ENCRYPT_PASSWORD建议通过容器编排工具的secret管理功能(如Docker Swarm Secrets、Kubernetes Secrets)注入,避免明文暴露。 - 网络隔离:限制容器网络访问,仅允许信任的应用容器挂载套接字目录,防止未授权访问凭证。
- 版本更新:定期更新镜像至最新版本,以获取安全补丁和功能优化。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 oidc-agent 镜像标签
docker pull docker.xuanyuan.run/opensciencegrid/oidc-agent:<标签>
DockerHub 原生拉取命令
docker pull opensciencegrid/oidc-agent:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"