企业级单点登录终极指南：listmonk OIDC认证完整配置教程

企业级单点登录终极指南：listmonk OIDC认证完整配置教程

【免费下载链接】listmonkHigh performance, self-hosted, newsletter and mailing list manager with a modern dashboard. Single binary app.项目地址: https://gitcode.com/gh_mirrors/li/listmonk

listmonk 是一款高性能、自托管的新闻通讯和邮件列表管理工具，提供现代化的仪表板界面，通过单一二进制文件即可部署。本文将详细介绍如何为 listmonk 配置 OIDC（OpenID Connect）认证，实现企业级单点登录，提升系统安全性与用户体验。

listmonk 仪表盘展示了邮件活动数据与系统状态，支持通过 OIDC 实现安全登录

为什么选择 OIDC 认证？

OIDC（OpenID Connect）作为基于 OAuth 2.0 的身份认证协议，已成为企业级单点登录的行业标准。通过 OIDC 认证，listmonk 可以与 Keycloak、Authentik、Google Workspace 等主流身份提供商无缝集成，带来以下核心优势：

• 集中身份管理：统一管控用户身份，减少密码管理负担
• 增强安全性：支持多因素认证，降低凭证泄露风险
• 无缝用户体验：一次登录即可访问多个关联系统
• 灵活权限控制：结合 roles-and-permissions.md 实现精细化权限管理

准备工作：OIDC 配置前提条件

在开始配置前，请确保满足以下条件：

1. listmonk v4.0.0 或更高版本（OIDC 功能最低支持版本）
2. 可访问的 OIDC 提供商（Keycloak/Authentik/Google Workspace 等）
3. listmonk 实例已配置 HTTPS（OIDC 强制要求安全连接）
4. 管理员权限的 listmonk 账户

listmonk 提供直观的管理界面，OIDC 配置可在安全设置中完成

通用配置步骤：OIDC 基础设置

无论使用哪种 OIDC 提供商，都需要完成以下基础配置步骤：

1. 获取重定向 URL

登录 listmonk 管理后台，导航至Settings → Security → OIDC，复制Redirect URL for oAuth provider，通常格式为：https://listmonk.yoursite.com/auth/oidc

2. 在 OIDC 提供商创建应用

在身份提供商管理界面创建新的 OIDC 应用，关键配置项包括：

• 客户端类型：选择OpenID Connect
• 重定向 URI：粘贴上一步获取的 URL
• 授权流程：启用标准流程（Authorization Code Flow）

3. 配置 listmonk OIDC 参数

在 listmonk 的 OIDC 设置页面填写以下信息：

• Enable OIDC SSO：开启开关
• Provider URL：身份提供商的 OIDC 元数据地址
• Provider name：登录按钮显示名称（如 "Login with Company SSO"）
• Client ID：从 OIDC 提供商获取的客户端 ID
• Client Secret：从 OIDC 提供商获取的客户端密钥

4. 用户自动创建（可选）

启用Auto-create users from SSO选项后：

• 系统将根据 OIDC 提供的邮箱自动创建新用户
• 需设置Default user role为新用户分配初始权限
• 推荐配合 roles-and-permissions.md 配置角色权限

主流 OIDC 提供商详细配置

Keycloak 集成步骤

1. 创建 Keycloak 客户端

在 Keycloak 管理界面：

• 进入目标 Realm →Clients → Create
• Client type：选择OpenID Connect
• Client ID：输入listmonk（或自定义名称）
• Valid redirect URIs：粘贴 listmonk 的重定向 URL
• 在Credentials标签页复制客户端密钥

2. 配置 listmonk

在 listmonk OIDC 设置中：

• Provider URL：https://keycloak.yoursite.com/realms/{realm}
• Client ID：填写 Keycloak 客户端 ID
• Client Secret：粘贴 Keycloak 客户端密钥

Google Workspace 集成步骤

1. 创建 Google Cloud 项目

在 Google Cloud 控制台：

• 创建新项目并设置名称（如 "Listmonk SSO"）
• 进入APIs & Services → Credentials
• 创建OAuth client ID，应用类型选择Web application
• 添加Authorised redirect URIs：listmonk 的重定向 URL

2. 配置 listmonk

在 listmonk OIDC 设置中：

• Provider URL：直接选择Google自动填充为https://accounts.google.com
• Client ID：粘贴 Google 客户端 ID
• Client Secret：粘贴 Google 客户端密钥

Authentik 集成步骤

1. 创建 Authentik 提供商

在 Authentik 管理界面：

• Providers → Create → OpenID Connect Provider
• Name：输入listmonk
• Client ID：自定义标识符
• Redirect URIs：粘贴 listmonk 的重定向 URL
• 创建后复制自动生成的Client Secret

2. 创建 Authentik 应用

• Applications → Create
• Name：输入listmonk
• Slug：输入唯一标识符（如listmonk-sso）
• Provider：选择上一步创建的 OIDC 提供商

3. 配置 listmonk

在 listmonk OIDC 设置中：

• Provider URL：https://authentik.yoursite.com/application/o/{slug}/
• 替换{slug}为 Authentik 应用的 Slug 值

故障排除与最佳实践

常见问题解决

1. 重定向 URI 不匹配

   • 确保 OIDC 提供商配置的 URI 与 listmonk 显示的完全一致
   • 注意区分http与https，生产环境必须使用 HTTPS

2. 用户创建失败

   • 检查 OIDC 提供商是否返回email声明
   • 确保 listmonk 中配置的默认角色存在

3. 权限不足

   • 参考 roles-and-permissions.md 检查角色配置
   • 手动为 OIDC 用户分配适当权限

安全最佳实践

• 禁用明文密码：配置 OIDC 后，可在 Security Settings 中禁用本地密码登录
• 定期轮换密钥：设置 OIDC 客户端密钥的定期更新机制
• 限制用户范围：在 OIDC 提供商中配置scope限制返回的用户信息
• 启用审计日志：通过 listmonk 的日志功能监控登录活动

总结

通过本文介绍的步骤，您可以轻松为 listmonk 配置 OIDC 认证，实现企业级单点登录。无论是 Keycloak、Google Workspace 还是 Authentik，listmonk 都提供了标准化的集成方式，帮助您构建更安全、更易管理的邮件营销系统。

如需了解更多高级配置选项，请参阅官方文档 docs/docs/content/oidc.md，其中包含完整的参数说明和高级用例。

【免费下载链接】listmonkHigh performance, self-hosted, newsletter and mailing list manager with a modern dashboard. Single binary app.项目地址: https://gitcode.com/gh_mirrors/li/listmonk