用 Pomerium 来实现基于身份的访问控制
这篇讲的是如何将 Google 提出的零信任安全架构 BeyondCorp 中的一个关键环节——基于用户身份的访问控制——通过开源项目 Pomerium 进行落地实施。作者从 BeyondCorp “内网不再等于安全”的核心理念出发,选择了 Pomerium 作为实现鉴权反向代理的方案。 文章没有停留在理论介绍,而是详细记录了在 FreeBSD 系统上的完整实践过程。从安装(甚至为系统制作了 port)、配置必要参数(如证书、随机密钥),到处理非特权用户使用 443 端口的系统限制,都给出了具体说明。核心部分聚焦于如何将 Pomerium 与 OAuth 2.0 认证流程、Google 或 Azure 等身份提供商集成,并根据系统规模选择 allowed_users、allowed_domains 或 allowed_groups 策略。 作者还特别指出了两个实践中的“坑”:一是身份提供商(如 G Suite)对服务账户权限的特殊要求,二是需防止后端服务器在重定向时陷入循环。整篇文章像是一份扎实的部署笔记,不仅分享了工具的使用,更传递了将一个安全理念转化为实际配置时需要注意的细节和经验。对于想尝试零信任方案或寻找身份感知代理工具的读者,这提供了可操作的参考路径。