在我的服务代理的目录端点中,我已经定义了如下的dashboard_client
。服务仪表板OAuth客户端无效范围
"dashboard_client":{
"id":"test-client-id",
"secret":"test-client-secret",
"redirect_uri":"https://dashboard.cf.myorg.com"
}
在我服务仪表盘应用我使用上面定义的客户端ID发起在CF Dashboard SSO documentation规定的OAuth的授权码格兰特流。
一切工作正常(CF authorization_endpoint
重定向与授权码和仪表板到仪表板,从token_endpoint
获得访问令牌),如果为最小范围cloud_controller_service_permissions.read
和openid
客户端的请求。例如
https://login.cf.myorg.com/oauth/authorize?
response_type=code&
client_id=test-client-id&
scope=openid%20cloud_controller_service_permissions.read&
redirect_uri=https://dashboard.cf.myorg.com/auth
然而,如果附加的范围cloud_controller.read
和/或cloud_controller.write
的客户端请求(也控制板SSO文档中提到的),重定向authorization_endpoint
带有错误cloud_controller.read is invalid. Please use a valid scope name in the request
到仪表板。
CF版本2.80.0。
任何想法是什么问题?
谢谢,是的。云控制器默认情况下仅创建“openid”和“cloud_controller_service_permissions.read”范围的OAuth客户端。我不得不随后请求UAA管理员将cloud_controller.read作用域添加到由Cloud Controller创建的OAuth客户端。 – Somu