在我的服务代理商的目录端点中,我已经定义了dashboard_client,如下所示。
"dashboard_client":{
"id":"test-client-id",
"secret":"test-client-secret",
"redirect_uri":"https://dashboard.cf.myorg.com"
}
在我的服务信息中心应用程序中,我使用上面定义的客户端ID按CF Dashboard SSO documentation中的规定启动OAuth授权代码授予流程。
如果客户端请求最小范围authorization_endpoint和token_endpoint,那么一切正常(CF cloud_controller_service_permissions.read重定向到使用授权代码的仪表板,仪表板从openid获取访问令牌) 。 e.g。
https://login.cf.myorg.com/oauth/authorize?
response_type=code&
client_id=test-client-id&
scope=openid%20cloud_controller_service_permissions.read&
redirect_uri=https://dashboard.cf.myorg.com/auth
但是,如果客户端请求其他范围cloud_controller.read和/或cloud_controller.write(在仪表板SSO文档中也提到),authorization_endpoint会重定向到仪表板并显示错误{{ 1}}。
CF版本2.80.0。
知道出了什么问题吗?
答案 0 :(得分:1)
UAA中的this行是这里的显示停止点:
将cloud_controller.read,cloud_controller.write添加到客户端的权限(必须在权限和范围内),然后通过cf update-service-broker更新服务代理应该解决这个问题。