Red Hat Summit第9章 KafkaListenerAuthenticationOAuth スキーマリファレンス
type プロパティーは、KafkaListenerAuthenticationOAuth タイプと、KafkaListenerAuthenticationTls、KafkaListenerAuthenticationScramSha512、KafkaListenerAuthenticationCustom とを区別して使用するための識別子です。KafkaListenerAuthenticationOAuth タイプには oauth の値が必要です。
| プロパティー | プロパティータイプ | 説明 |
|---|---|---|
| accessTokenIsJwt | boolean |
アクセストークンを JWT として処理するかどうかを設定します。認可サーバーが不透明なトークンを返す場合は、 |
| checkAccessTokenType | boolean |
アクセストークンタイプのチェックを行うかどうかを設定します。認可サーバーの JWT トークンに 'typ' 要求が含まれない場合は、 |
| checkAudience | boolean |
オーディエンスのチェックを有効または無効にします。オーディエンスのチェックによって、トークンの受信者が特定されます。オーディエンスチェックが有効な場合、OAuth クライアント ID も |
| checkIssuer | boolean |
発行元のチェックを有効または無効にします。デフォルトでは、 |
| clientAudience | string |
認可サーバーのトークンエンドポイントにリクエストを送信するときに使用するオーディエンス。ブローカー間の認証や、 |
| clientId | string | Kafka ブローカーは、OAuth クライアント ID を使用して認可サーバーに対して認証し、イントロスペクションエンドポイント URI を使用することができます。 |
| clientScope | string |
認可サーバーのトークンエンドポイントにリクエストを送信するときに使用するスコープ。ブローカー間の認証や、 |
| clientSecret | OAuth クライアントシークレットが含まれる OpenShift シークレットへのリンク。Kafka ブローカーは、OAuth クライアントシークレットを使用して認可サーバーに対して認証し、イントロスペクションエンドポイント URI を使用することができます。 | |
| connectTimeoutSeconds | integer | 認可サーバーへの接続時のタイムアウト (秒単位)。設定しない場合は、実際の接続タイムアウトは 60 秒になります。 |
| customClaimCheck | string | JWT トークンに適用される JsonPath フィルタークエリー、または追加のトークン検証のイントロスペクションエンドポイントの応答に適用される JsonPath フィルタークエリー。デフォルトでは設定されません。 |
| disableTlsHostnameVerification | boolean |
TLS ホスト名の検証を有効または無効にします。デフォルト値は |
| enableECDSA | boolean |
|
| enableMetrics | boolean |
OAuth メトリックを有効または無効にします。デフォルト値は |
| enableOauthBearer | boolean |
SASL_OAUTHBEARER での OAuth 認証を有効または無効にします。デフォルト値は |
| enablePlain | boolean |
SASL_PLAIN で OAuth 認証を有効または無効にします。このメカニズムが使用される場合、再認証はサポートされません。デフォルト値は |
| failFast | boolean |
起動時に回復可能な実行時エラーが発生する可能性があるため、Kafka ブローカープロセスの終了を有効または無効にします。デフォルト値は |
| fallbackUserNameClaim | string |
|
| fallbackUserNamePrefix | string |
ユーザー ID を設定するために |
| groupsClaim | string | 認証中にユーザーのグループ抽出に使用される JsonPath クエリー。抽出したグループは、カスタムオーソライザーで使用できます。デフォルトでは、グループは抽出されません。 |
| groupsClaimDelimiter | string | グループの解析時に JSON 配列ではなく単一の文字列の値として抽出された場合に使用される区切り文字。デフォルト値は ',' (コンマ) です。 |
| httpRetries | integer | 最初の HTTP リクエストが失敗した場合に試行する最大再試行回数。設定されていない場合、デフォルトでは再試行は行われません。 |
| httpRetryPauseMs | integer | 失敗した HTTP リクエストを再試行するまでの一時停止。設定されていない場合、デフォルトでは一時停止せず、ただちにリクエストを繰り返します。 |
| includeAcceptHeader | boolean |
認可サーバーへのリクエストに Accept ヘッダーを設定するかどうか。デフォルト値は |
| introspectionEndpointUri | string | 不透明な JWT 以外のトークンの検証に使用できるトークンイントロスペクションエンドポイントの URI。 |
| jwksEndpointUri | string | ローカルの JWT 検証に使用できる JWKS 証明書エンドポイントの URI。 |
| jwksExpirySeconds | integer |
JWKS 証明書が有効とみなされる頻度を設定します。期限切れの間隔は、 |
| jwksIgnoreKeyUse | boolean |
JWKS エンドポイント応答の |
| jwksMinRefreshPauseSeconds | integer | 連続する 2 回の更新の間に適用される最小の一時停止期間。不明な署名鍵が検出されると、更新は即座にスケジュールされますが、この最小一時停止の期間は待機します。デフォルトは 1 秒です。 |
| jwksRefreshSeconds | integer |
JWKS 証明書が更新される頻度を設定します。更新間隔は、 |
| maxSecondsWithoutReauthentication | integer |
再認証せずに認証されたセッションが有効な状態でいられる最大期間 (秒単位)。これにより、Apache Kafka の再認証機能が有効になり、アクセストークンの有効期限が切れるとセッションが期限切れになります。最大期間の前または最大期間の到達時にアクセストークンが期限切れになると、クライアントは再認証する必要があります。そうでないと、サーバーは接続を切断します。デフォルトでは設定されません。アクセストークンが期限切れになっても認証されたセッションは期限切れになりません。このオプションは、SASL_OAUTHBEARER 認証メカニズムにのみ適用されます ( |
| readTimeoutSeconds | integer | 認可サーバーへの接続時の読み取りタイムアウト (秒単位)。設定しない場合は、実際の読み取りタイムアウトは 60 秒になります。 |
| tlsTrustedCertificates |
| OAuth サーバーへの TLS 接続の信頼済み証明書。 |
| tokenEndpointUri | string |
クライアントが |
| type | string |
|
| userInfoEndpointUri | string | Introspection Endpoint がユーザー ID に使用できる情報を返さない場合に、ユーザー ID 取得のフォールバックとして使用する User Info Endpoint の URL。 |
| userNameClaim | string |
ユーザー ID の取得に使用される JWT 認証トークン、Introspection Endpoint の応答、または User Info Endpoint の応答からの要求の名前。デフォルトは |
| validIssuerUri | string | 認証に使用されるトークン発行者の URI。 |
| validTokenType | string |
Introspection Endpoint によって返される |
