3.8.2. OAuth 2.0 承認サポートの設定

手順

1. Red Hat Single Sign-On の Admin Console にアクセスするか、Red Hat Single Sign-On の Admin CLI を使用して、OAuth 2.0 認証の設定時に作成した Kafka ブローカークライアントの Authorization Services を有効にします。
2. 承認サービスを使用して、クライアントのリソース、承認スコープ、ポリシー、およびパーミッションを定義します。
3. ロールとグループをユーザーとクライアントに割り当てて、パーミッションをユーザーとクライアントにバインドします。

4. エディターで Kafka リソースの Kafka ブローカー設定 (Kafka.spec.kafka) を更新して、Kafka ブローカーで Red Hat Single Sign-On による承認が使用されるように設定します。

   oc edit kafka my-cluster

5. Kafka ブローカーの kafka 設定を指定して、keycloak による承認を使用し、承認サーバーと Red Hat Single Sign-On の Authorization Services にアクセスできるようにします。

   以下に例を示します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: Kafka
   metadata:
     name: my-cluster
   spec:
     kafka
     # ...
     authorization:
       type: keycloak 1
       tokenEndpointUri: <https://<auth-server-address>/auth/realms/external/protocol/openid-connect/token> 2
       clientId: kafka 3
       delegateToKafkaAcls: false 4
       disableTlsHostnameVerification: false 5
       superUsers: 6
         - CN=fred
         - sam
         - CN=edward
       tlsTrustedCertificates: 7
       - secretName: oauth-server-cert
         certificate: ca.crt
     #...

   1

   タイプ keycloak によって Red Hat Single Sign-On の承認が有効になります。

   2

   Red Hat Single Sign-On トークンエンドポイントの URI。本番環境では常に HTTP を使用してください。

   3

   承認サービスが有効になっている Red Hat Single Sign-On の OAuth 2.0 クライアント定義のクライアント ID。通常、kafka が ID として使用されます。

   4

   (任意設定): Red Hat Single Sign-On の Authorization Services のポリシーによってアクセスが拒否されている場合は、Kafka SimpleACLAuthorizer に承認を委譲します。デフォルトは false です。

   5

   (任意設定): TLS ホスト名の検証を無効にします。デフォルトは false です。

   6

   (任意設定): 指定の スーパーユーザー。

   7

   (任意設定): 承認サーバーへの TLS 接続用の信用できる証明書。

6. エディターを保存して終了し、ローリング更新の完了を待ちます。

7. 更新をログで確認するか、または Pod 状態の遷移を監視して確認します。

   oc logs -f ${POD_NAME} -c kafka
   oc get po -w

   ローリング更新によって、ブローカーが OAuth 2.0 承認を使用するように設定されます。

8. クライアントまたは特定のロールを持つユーザーとして Kafka ブローカーにアクセスして、設定したパーミッションを検証し、必要なアクセス権限があり、付与されるべきでないアクセス権限がないことを確認します。