Eu tenho 2 prometheuses, ambos com autenticação direta por meio do proxy oauth2, que possuem as mesmas credenciais de cliente em um único keycloak. Eu gostaria que um Prometeu federasse o outro. Este é meu snippet de configuração para autenticação em prometheus.yml
oauth2:
client_id: "oauth-proxy"
client_secret: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
token_url: "https://keycloak.mydomain.tld/realms/master/protocol/openid-connect/token"
Eu nem tenho certeza se eles deveriam usar o ID do cliente oauth-proxy ou um distinto, mas acho que isso realmente não importa.
Como você pode ver, estou usando o novo keycloak baseado em quarkus, que tem uma interface de usuário ligeiramente diferente do antigo keycloak baseado em wildfly.
A princípio, recebi um erro informando que o cliente keycloak não tem permissão para usar tokens de conta de serviço. Corrigi isso ativando a configuração "Funções de contas de serviço" no cliente. Agora, aparentemente, o scraping prometheus é capaz de obter o token do keycloak, mas o alvo ainda aparece como "401 não autorizado". O que estou perdendo aqui?