OpenAM Docker镜像文档

1. 镜像概述和主要用途

概述

本镜像基于OpenAM 13版本构建，集成TLS（Transport Layer Security）支持，提供容器化的身份认证与访问管理解决方案。OpenAM是一款开源身份管理软件，支持单点登录（SSO）、身份认证、授权策略管理等核心功能。

主要用途

• 企业级用户身份集中管理
• 多应用系统单点登录（SSO）集成
• 访问控制策略定义与执行
• 身份认证流程定制（如多因素认证）

2. 核心功能和特性

• TLS加密通信：通过SSL keystore实现HTTPS安全传输，保障身份认证数据的机密性
• 配置持久化：支持挂载外部目录存储配置文件，避免容器重启后配置丢失
• 轻量级部署：基于Docker容器化，简化依赖管理与环境一致性维护
• 兼容OpenAM 13核心能力：包含身份认证、授权管理、会话管理、用户配置文件管理等原生功能

3. 使用场景和适用范围

• 企业IT环境：适用于需要集中管控用户身份与资源访问权限的中大型企业
• 多系统集成场景：为Web应用、移动应用、API服务等提供统一身份认证入口
• 开发测试环境：快速搭建OpenAM实例，验证身份认证与授权逻辑
• 生产环境部署：可配合容器编排工具（如Kubernetes）实现高可用集群部署

4. 使用方法和配置说明

4.1 准备SSL Keystore

OpenAM通过HTTPS提供服务，需预先使用证书和私钥生成Java Keystore文件：

1. 将证书和私钥打包为PKCS12格式（需替换server.crt为实际证书文件，server.key为私钥文件）：

   bash
   openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name tomcat
   

   • -export：导出PKCS12格式文件
   • -name tomcat：指定别名（需与后续keystore别名一致）

2. 将PKCS12文件转换为Java Keystore（替换[secret]为自定义密码，需牢记此密码）：

   bash
   keytool -importkeystore \
     -deststorepass [secret] \
     -destkeypass [secret] \
     -destkeystore server.keystore \
     -srckeystore server.p12 \
     -srcstoretype PKCS12 \
     -srcstorepass [secret] \
     -alias tomcat
   

   • deststorepass/destkeypass：keystore的存储密码和密钥密码（建议一致）
   • destkeystore：输出的keystore文件名（如server.keystore）

4.2 构建Docker镜像

在包含Dockerfile的目录中执行以下命令构建镜像：

bash
docker build -t openam .

4.3 运行Docker容器

使用以下命令启动OpenAM容器，需指定keystore密码、挂载必要的卷和端口映射：

bash
docker run \
  -e KEYSTORE_PASS=secret \  # Keystore密码（需与生成keystore时的[secret]一致）
  -v $PWD/config:/root \     # 挂载配置目录（持久化OpenAM配置文件）
  -v $PWD/server.keystore:/opt/server.keystore \  # 挂载keystore文件
  -v /dev/urandom:/dev/random \  # 使用urandom加速随机数生成（缩短启动时间）
  --name openam \  # 指定容器名称
  -p 8443:8443 \   # 映射HTTPS端口（容器内端口8443映射至主机8443）
  -d openam        # 后台运行容器

4.4 访问OpenAM配置向导

容器启动后，通过浏览器访问以下URL进入OpenAM初始化配置界面：

https://<主机IP地址>:8443/openam

根据向导完成管理员账户设置、领域配置等初始化操作。

5. 配置参数说明

5.1 环境变量

5.2 卷挂载

6. Docker部署示例

6.1 完整部署流程（含前置准备）

bash
# 1. 生成SSL Keystore（假设已有server.crt和server.key）
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name tomcat
keytool -importkeystore -deststorepass mysecret -destkeypass mysecret -destkeystore server.keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass mysecret -alias tomcat

# 2. 创建配置目录
mkdir -p config

# 3. 构建镜像
docker build -t openam .

# 4. 启动容器（使用生成的密码mysecret）
docker run -e KEYSTORE_PASS=mysecret -v $PWD/config:/root -v $PWD/server.keystore:/opt/server.keystore -v /dev/urandom:/dev/random --name openam -p 8443:8443 -d openam

6.2 验证部署

访问 https://<主机IP>:8443/openam，若显示OpenAM配置向导页面，则部署成功。