keycloak+gogatekeeper в кубере
Доброго времени суток! Воюю с gogatekeeper в качестве oauth прокси для keycloak. Прикрываю логином через keycloak тестовый ингресс с приложением (пустышка nginx). Схема: haproxy=>ingress в кластере=>namespace (app+gatekeeper) Кластер кубера свой на своём железе. Настройка gogatekeeper:
keycloak-gatekeeper.conf: |+
discovery-url: Адрес keycloak с правильным realm
enable-default-deny: false
secure-cookie: false
client-id: test
skip-openid-provider-tls-verify: true
client-secret: test_client_secret
listen: :3000
encryption-key: superencryption-key
upstream-url: http://app_service.app_namespace
redirection-url: https://my_app_ingress_url
resources:
- uri: /*
groups:
- test-group
Ингресс ссылается на сервис гейткипера. Попытка открыть https://my_app_ingress_url честно сваливает на keycloak, там вводишь логин/пасс от юзера, в keycloak в админке появляется сессия на клиенте, т.е. авторизация прошла успешно.
Но в браузере появляется строка https://my_app_ingress_url/oauth/callback?state= и т.д. И пустой экран.
Я так понял что приложение должно бы этот callback обработать и отдать содержимое. Но весь смысл то был прикрыть логином приложение которе не умеет в keycloak.
Попытка всунуть контейнер с gogatekeeper прямо в под с приложением приводит к идентичному результату. Впервые настраиваю keycloak+gogatekeeper, подскажите где я дурак.