Ich habe 2 Prometheus-Server, beide mit Forward-Auth über den OAuth2-Proxy, die die gleichen Client-Anmeldeinformationen in einem einzigen Keycloak haben. Ich möchte, dass einer der Prometheus-Server den anderen föderiert. Dies ist mein Konfigurationsausschnitt für die Authentifizierung in prometheus.yml
oauth2:
client_id: "oauth-proxy"
client_secret: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
token_url: "https://keycloak.mydomain.tld/realms/master/protocol/openid-connect/token"
Ich bin nicht einmal sicher, ob sie die OAuth-Proxy-Client-ID oder eine andere verwenden sollten, aber ich denke, das ist nicht wirklich wichtig.
Wie Sie vielleicht sehen, verwende ich das neue, auf Quarkus basierende Keycloak, das eine etwas andere Benutzeroberfläche hat als das alte, auf Wildfly basierende Keycloak.
Zuerst bekam ich eine Fehlermeldung, dass der Keycloak-Client keine Service-Account-Token verwenden darf. Das habe ich behoben, indem ich die Einstellung „Service-Account-Rollen“ im Client aktiviert habe. Jetzt kann das Scraping Prometheus anscheinend das Token von Keycloak abrufen, aber das Ziel wird immer noch als „401 nicht autorisiert“ angezeigt. Was übersehe ich hier?