热门搜索:

tykio/tyk-identity-broker

自动构建

tykio

Tyk Identity Broker (TIB) 支持单点登录(SSO)及与其他认证服务的身份集成，为Tyk组件（如仪表板、开发者门户和网关）提供委托身份授权和认证访问。

下载次数: 0状态：自动构建维护者：tykio仓库类型：镜像最近更新：26 天前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

使用轩辕镜像，把时间还给真正重要的事。点击查看

中文简介

标签下载

镜像标签列表与下载命令

使用轩辕镜像，把时间还给真正重要的事。点击查看

Tyk Identity Broker (TIB)

镜像概述和主要用途

Tyk Identity Broker (TIB) 是一个服务级组件，提供委托身份授权功能，支持对Tyk相关组件（如Tyk仪表板、Tyk开发者门户和Tyk网关API流程）的认证访问。它通过身份提供者验证用户身份，并通过身份处理器为Tyk组件授予访问权限，实现单点登录(SSO)和多认证服务集成。

!TIB架构图

核心功能和特性

核心功能

多身份提供者支持：集成Social（OAuth/OpenID Connect）、LDAP、Proxy和SAML等身份验证服务
多样化身份处理：支持生成/登录开发者/用户配置文件、生成OAuth令牌、生成临时访问令牌等操作
灵活配置：通过配置文件和API管理认证策略（配置文件）
高可扩展性：支持Redis集群用于令牌缓存，可横向扩展

主要特性

支持Tyk生态系统全组件集成（网关、仪表板、开发者门户）
模块化设计，可扩展自定义身份提供者和处理器
支持SSL加密和安全配置
提供REST API管理配置文件

要求和依赖

TIB运行需满足以下依赖：

Tyk Gateway v1.9.1+
Redis（用于令牌缓存，可选集群模式）
Tyk Dashboard v0.9.7.1+（如需SSO到仪表板UI或开发者门户）

安装与部署

Docker安装

TIB Docker镜像可从Docker Hub获取：tykio/tyk-identity-broker

基本运行命令

bash
docker run -p 3010:3010 \
  -v $(pwd)/tib.conf:/opt/tyk-identity-broker/tib.conf \
  -v $(pwd)/profiles.json:/opt/tyk-identity-broker/profiles.json \
  tykio/tyk-identity-broker

注意：运行前需根据配置说明编辑tib.conf和profiles.json文件

使用方法

启动参数

TIB可通过命令行参数指定配置文件路径：

bash
# 指定配置文件和配置文件路径
./tyk-auth-proxy -c /path/to/tib.conf -p /path/to/profiles.json

日志级别设置

通过环境变量TYK_LOGLEVEL设置日志级别，可选值：

debug：调试级别
info：信息级别（默认）
warn：警告级别
error：错误级别

示例：

bash
export TYK_LOGLEVEL=debug
docker run ... tykio/tyk-identity-broker

工作原理

TIB通过以下流程实现身份认证与授权：

接收请求并匹配到预定义的配置文件（Profile）
通过身份提供者（Identity Provider）验证用户身份
通过身份处理器（Identity Handler）执行授权操作（如生成令牌、创建会话）
返回结果（重定向或直接响应）

身份提供者

TIB内置以下身份提供者：

Social：支持OAuth/OpenID Connect的社交登录（Google、GitHub、Bitbucket等）
LDAP：通过LDAP协议验证用户名密码（支持OpenLDAP）
Proxy：转发请求至第三方服务，通过响应状态码/内容验证身份
SAML：与SAML身份提供者集成

身份处理器

身份处理器在验证身份后执行预定义操作，支持以下类型：

用户相关操作：
- GenerateOrLoginDeveloperProfile：创建/登录开发者门户用户
- GenerateOrLoginUserProfile：登录仪表板（创建临时会话）
- GenerateOAuthTokenForClient：生成Tyk OAuth令牌（标准OAuth流程）
令牌生成操作：
- GenerateTemporaryAuthToken：生成Tyk标准访问令牌（支持重定向或JSON响应）

如何配置TIB

TIB通过两个配置文件进行设置：

tib.conf：主配置文件（服务设置、后端存储、Tyk API连接等）
profiles.json：配置文件（定义身份提供者、处理器及操作规则）

tib.conf文件

主配置文件示例：

json
{
  "Secret": "test-secret",
  "HttpServerOptions": {
    "UseSSL": true,
    "CertFile": "./certs/server.pem",
    "KeyFile": "./certs/server.key"
  },
  "SSLInsecureSkipVerify": true,
  "BackEnd": {
    "Name": "in_memory",
    "IdentityBackendSettings": {
      "Hosts": {
        "localhost": "6379"
      },
      "Password": "",
      "Database": 0,
      "EnableCluster": false,
      "MaxIdle": 1000,
      "MaxActive": 2000
    }
  },
  "TykAPISettings": {
    "GatewayConfig": {
      "Endpoint": "http://{GATEWAY-DOMAIN}",
      "Port": "80",
      "AdminSecret": "{GATEWAY-SECRET}"
    },
    "DashboardConfig": {
      "Endpoint": "http://{DASHBOARD-DOMAIN}",
      "Port": "3000",
      "AdminSecret": "{ADMIN-DASHBOARD-SECRET}"
    }
  }
}

关键配置项说明

配置项	说明
`Secret`	TIB API密钥，用于远程配置
`HttpServerOptions.UseSSL`	是否启用SSL（推荐生产环境启用）
`HttpServerOptions.CertFile`/`KeyFile`	SSL证书和密钥文件路径
`SSLInsecureSkipVerify`	是否跳过SSL证书验证（测试环境使用）
`BackEnd`	后端存储配置（`in_memory`或`redis`）
`BackEnd.Hosts`	Redis主机（格式：`"hostname:port"`）
`BackEnd.EnableCluster`	是否启用Redis集群
`TykAPISettings.GatewayConfig`	Tyk网关连接配置（端点、端口、管理员密钥）
`TykAPISettings.DashboardConfig`	Tyk仪表板连接配置

profiles.json文件

配置文件定义身份验证规则，示例：

json
[{
  "ActionType": "GenerateOrLoginDeveloperProfile",
  "ID": "1",
  "OrgID": "53ac07777cbb8c2d53000002",
  "ProviderConfig": {
    "CallbackBaseURL": "http://tib.domain.com:3010",
    "FailureRedirect": "http://portal.domain.com/login",
    "UseProviders": [{
      "Key": "GOOGLE-CLIENT-ID",
      "Name": "gplus",
      "Secret": "GOOGLE-CLIENT-SECRET"
    }]
  },
  "ProviderConstraints": {
    "Domain": "tyk.io"
  },
  "ProviderName": "SocialProvider",
  "ReturnURL": "http://portal.domain.com/portal/sso",
  "Type": "redirect"
}]

配置文件关键字段

字段	说明
`ActionType`	身份处理器操作类型（如`GenerateOrLoginDeveloperProfile`）
`ID`	唯一配置文件ID
`OrgID`	Tyk组织ID
`ProviderName`	身份提供者名称（`SocialProvider`/`LDAPProvider`等）
`ProviderConfig`	身份提供者配置（回调URL、密钥等）
`ReturnURL`	验证成功后的重定向URL
`Type`	响应类型（`redirect`或`passthrough`）

使用身份提供者

Social

Social提供者支持OAuth/OpenID Connect的身份验证，以下是常见场景配置示例。

Google登录（开发者门户SSO）

步骤1：配置Google OAuth客户端

在Google开发者控制台创建OAuth客户端
添加重定向URL：http://{TIB_HOST}:{TIB_PORT}/auth/{PROFILE_ID}/gplus/callback
获取客户端ID（Key）和密钥（Secret）

步骤2：配置profiles.json

json
[{
  "ActionType": "GenerateOrLoginDeveloperProfile",
  "ID": "1",
  "OrgID": "YOUR-ORG-ID",
  "IdentityHandlerConfig": {
    "DashboardCredential": "DASHBOARD-USER-API-TOKEN"
  },
  "ProviderConfig": {
    "CallbackBaseURL": "http://tib.domain.com:3010",
    "FailureRedirect": "http://portal.domain.com/login",
    "UseProviders": [{
      "Name": "gplus",
      "Key": "GOOGLE-CLIENT-ID",
      "Secret": "GOOGLE-CLIENT_SECRET",
      "SkipUserInfoRequest": false
    }]
  },
  "ProviderConstraints": {
    "Domain": "yourdomain.com" // 限制域名
  },
  "ProviderName": "SocialProvider",
  "ReturnURL": "http://portal.domain.com/portal/sso",
  "Type": "redirect"
}]

步骤3：访问TIB端点 在浏览器访问：http://tib.domain.com:3010/auth/1/gplus，完成登录后重定向至开发者门户。

OpenID Connect配置（Okta示例）

json
{
  "ProviderConfig": {
    "CallbackBaseURL": "http://tib.domain.com:3010",
    "FailureRedirect": "http://portal.domain.com/login",
    "UseProviders": [{
      "Name": "openid-connect",
      "Key": "OKTA-CLIENT-ID",
      "Secret": "OKTA-CLIENT-SECRET",
      "Scopes": ["openid", "email"],
      "DiscoverURL": "https://your-okta-domain/.well-known/openid-configuration",
      "SkipUserInfoRequest": false
    }]
  },
  "CustomUserIDField": "email" // 使用邮箱作为用户ID
}

Salesforce配置

json
{
  "ProviderConfig": {
    "UseProviders": [{
      "Name": "salesforce",
      "Key": "SF-CLIENT-ID",
      "Secret": "SF-CLIENT-SECRET"
    }]
  },
  "ProviderName": "SocialProvider"
}

LDAP

LDAP提供者通过LDAP协议验证用户身份，以下是仪表板登录配置示例：

json
{
  "ActionType": "GenerateOrLoginUserProfile",
  "ID": "3",
  "OrgID": "YOUR-ORG-ID",
  "ProviderConfig": {
    "LDAPBaseDN": "cn=users,dc=example,dc=com",
    "LDAPEmailAttribute": "mail",
    "LDAPFilter": "((objectClass=user)(cn=*USERNAME*))",
    "LDAPPort": "389",
    "LDAPServer": "ldap.example.com",
    "LDAPUserDN": "cn=*USERNAME*,cn=users,dc=example,dc=com"
  },
  "ProviderName": "LDAPProvider",
  "ReturnURL": "http://dashboard.domain.com/tap",
  "Type": "redirect"
}

SAML

SAML提供者与SAML身份提供者集成，配置示例：

json
{
  "ActionType": "GenerateOrLoginUserProfile",
  "ID": "4",
  "ProviderName": "SAMLProvider",
  "ProviderConfig": {
    "SAML": {
      "IDPMetaDataURL": "https://idp.example.com/metadata",
      "SPEntityID": "http://tib.domain.com/saml",
      "ACSURL": "http://tib.domain.com/auth/4/saml/callback"
    }
  },
  "ReturnURL": "http://dashboard.domain.com/tap",
  "Type": "redirect"
}

Broker API

TIB提供REST API管理配置文件，默认监听端口3010。

列出配置文件

请求：

方法：GET
URL：http://{TIB_HOST}:3010/api/profiles
头部：Authorization: {TIB_SECRET}（tib.conf中的Secret）

响应：

json
{
  "profiles": [/* 配置文件列表 */]
}

添加配置文件

请求：

方法：POST
URL：http://{TIB_HOST}:3010/api/profiles
头部：Authorization: {TIB_SECRET}
体：配置文件JSON

响应：

json
{
  "status": "ok",
  "message": "Profile added"
}

更新配置文件

请求：

方法：PUT
URL：http://{TIB_HOST}:3010/api/profiles/{PROFILE_ID}
头部：Authorization: {TIB_SECRET}
体：更新后的配置文件JSON

响应：

json
{
  "status": "ok",
  "message": "Profile updated"
}

删除配置文件

请求：

方法：DELETE
URL：http://{TIB_HOST}:3010/api/profiles/{PROFILE_ID}
头部：Authorization: {TIB_SECRET}

响应：

json
{
  "status": "ok",
  "message": "Profile deleted"
}

保存配置文件到磁盘

请求：

方法：POST
URL：http://{TIB_HOST}:3010/api/profiles/save
头部：Authorization: {TIB_SECRET}

响应：

json
{
  "status": "ok",
  "message": "Profiles saved to disk"
}

结果：配置文件将保存到profiles.json文件中。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 tyk-identity-broker 镜像标签

docker pull docker.xuanyuan.run/tykio/tyk-identity-broker:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull tykio/tyk-identity-broker:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题 Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"