From f9a916988b974c7aa064a0584626ae7fc3a522d4 Mon Sep 17 00:00:00 2001 From: ALI YESILKAYA Date: Tue, 7 Jul 2026 12:31:20 +0200 Subject: [PATCH] fix(grafana): login OIDC pour les users sans email (repli username) (#87) MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit bbarthe (et tout compte Authentik sans email) échouait au login SSO : Grafana, email vide, tentait l'endpoint /emails inexistant chez Authentik → 404 InternalError. email_attribute_path avec repli preferred_username + login_attribute_path évitent le fallback. Plus besoin d'email par user. Co-authored-by: Claude Fable 5 --- k8s/infra/monitoring/values.yaml | 4 ++++ 1 file changed, 4 insertions(+) diff --git a/k8s/infra/monitoring/values.yaml b/k8s/infra/monitoring/values.yaml index af6794f..630fa9c 100644 --- a/k8s/infra/monitoring/values.yaml +++ b/k8s/infra/monitoring/values.yaml @@ -26,6 +26,10 @@ grafana: auth_url: http://auth.lab.local/application/o/authorize/ token_url: http://authentik.auth.svc.cluster.local:9000/application/o/token/ api_url: http://authentik.auth.svc.cluster.local:9000/application/o/userinfo/ + # Repli si l'utilisateur Authentik n'a pas d'email : sans ça Grafana tente un + # endpoint /emails inexistant chez Authentik → 404 « InternalError » au login. + login_attribute_path: preferred_username + email_attribute_path: email || preferred_username # Membre du groupe lab-admins → Admin, sinon Viewer role_attribute_path: contains(groups[*], 'lab-admins') && 'Admin' || 'Viewer' role_attribute_strict: false