4.4. AMQ 管理コンソールの設定

手順

1. Red Hat Single Sign-On の設定

   1. AMQ 管理コンソールを保護するために使用する Red Hat Single Sign-On のレルムに移動します。Red Hat Single Sign-On の各レルムには、Broker という名前のクライアントが含まれます。このクライアントは AMQ とは関係ありません。
   2. Red Hat Single Sign-On で、artemis-console のような新しいクライアントを作成します。

   3. クライアント設定ページに移動し、次を設定します。

      • AMQ 管理コンソール URL への 有効なリダイレクト URI の後に * が続きます。例を以下に示します。

        https://broker.example.com:8161/console/*

        Copy to Clipboard Toggle word wrap
      • Web Origins を Valid Redirect URIs と同じ値にします。Red Hat Single Sign-On では、+ を入力できます。これは、許可される CORS オリジンに Valid Redirect URIs の値が含まれていることを示します。
   4. クライアントのロールを作成します (例:guest)。
   5. AMQ Management Console へのアクセスが必要なすべてのユーザーに上記のロールが割り当てられていることを確認します (たとえば、Red Hat Single Sign-On グループを使用)。

2. AMQ Broker インスタンスを設定します。

   1. <broker-instance-dir>/instances/broker0/etc/login.config ファイルに以下を追加して、AMQ Management Console が Red Hat Single Sign-On を使用するように設定します。

      console {
          org.keycloak.adapters.jaas.BearerTokenLoginModule required
              keycloak-config-file="${artemis.instance}/etc/keycloak-bearer-token.json"
              role-principal-class=org.apache.activemq.artemis.spi.core.security.jaas.RolePrincipal
          ;
      };

      Copy to Clipboard Toggle word wrap

      この設定を追加すると、JAAS プリンシパルと、Red Hat Single Sign-On からのベアラートークンの要件が設定されます。次のステップで説明するように、Red Hat Single Sign-On への接続は keycloak-bearer-token.json ファイルで定義されます。

   2. 以下の内容で <broker-instance-dir>/etc/keycloak-bearer-token.json ファイルを作成し、ベアラートークンの交換に使用する Red Hat Single Sign-On への接続を指定します。

      {
        "realm": "<realm-name>",
        "resource": "<client-name>",
        "auth-server-url": "<RHSSO-URL>/auth",
        "principal-attribute": "preferred_username",
        "use-resource-role-mappings": true,
        "ssl-required": "external",
        "confidential-port": 0
      }

      Copy to Clipboard Toggle word wrap

      <realm-name>

      Red Hat Single Sign-On のレルムの名前

      <client-name>

      Red Hat Single Sign-On でのクライアントの名前

      <RHSSO-URL>

      Red Hat Single Sign-On の URL

   3. 以下の内容で <broker-instance-dir>/etc/keycloak-js-token.json ファイルを作成し、Red Hat Single Sign-On 認証エンドポイントを指定します。

      {
        "realm": "<realm-name>",
        "clientId": "<client-name>",
        "url": "<RHSSO-URL>/auth"
      }

      Copy to Clipboard Toggle word wrap

   4. <broker-instance-dir>/etc/bootstrap.xml ファイルを編集して、セキュリティー設定を行います。

      たとえば、amq ロールを持つユーザーがメッセージを消費できるようにし、guest ロールを持つユーザーがメッセージを送信できるようにするには、以下を追加します。

               <security-setting match="Info">
                  <permission roles="amq" type="createDurableQueue"/>
                  <permission roles="amq" type="deleteDurableQueue"/>
                  <permission roles="amq" type="createNonDurableQueue"/>
                  <permission roles="amq" type="deleteNonDurableQueue"/>
                  <permission roles="guest" type="send"/>
                  <permission roles="amq" type="consume"/>
               </security-setting>

      Copy to Clipboard Toggle word wrap
3. AMQ Broker インスタンスを実行し、AMQ 管理コンソールの設定を検証します。

手順

1. <broker_instance_dir>/etc/bootstrap.xml ファイルを開きます。

2. <web> 要素に以下の属性を追加します。

   <web bind="https://0.0.0.0:8161"
       path="web"
       keyStorePath="<path_to_keystore>"
       keyStorePassword="<password>"
       clientAuth="<true/false>"
       trustStorePath="<path_to_truststore>"
       trustStorePassword="<password>">
       ...
   </web>

   Copy to Clipboard Toggle word wrap

   bind

   コンソールへのセキュアな接続では、URI スキームを https に変更します。

   keyStorePath

   キーストアファイルのパス。以下に例を示します。

   keyStorePath="<broker_instance_dir>/etc/keystore.jks"

   Copy to Clipboard Toggle word wrap

   keyStorePassword

   キーストアのパスワード。このパスワードは暗号化できます。

   clientAuth

   クライアント認証が必要であるかどうかを指定します。デフォルト値は false です。

   trustStorePath

   トラストストアファイルのパス。clientAuth が true に設定されている場合のみ、この属性を定義する必要があります。

   trustStorePassword

   トラストストアのパスワード。このパスワードは暗号化できます。