B.42.6. superUsers
被视为超级用户的用户主体列表,以便始终允许他们而无需查询 open Policy Agent 策略。如需更多信息,请参阅 Kafka 授权。
Open Policy Agent 授权器配置示例
authorization:
type: opa
url: http://opa:8181/v1/data/kafka/allow
allowOnError: false
initialCacheCapacity: 1000
maximumCacheSize: 10000
expireAfterMs: 60000
superUsers:
- CN=fred
- sam
- CN=edward
type 属性是一个光盘,它区分使用 KafkaAuthorizationOpa 和 KafkaAuthorizationSimple, KafkaAuthorizationKeycloak。它必须具有类型 KafkaAuthorizationOpa 的值 opa。
| 属性 | 描述 |
|---|---|
| type |
必须是 |
| 字符串 | |
| url | 用于连接到开放策略代理服务器的 URL。URL 必须包含授权者将查询的策略。这个选项是必需的。 |
| 字符串 | |
| allowOnError |
定义当授权者无法查询 Open Policy Agent 时(例如,当暂时不可用时),是否应允许或拒绝 Kafka 客户端。默认为 |
| 布尔值 | |
| initialCacheCapacity |
授权者用于避免查询开放策略代理的本地缓存的初始容量,每个请求默认值为 |
| 整数 | |
| maximumCacheSize |
授权者用于避免针对每个请求查询 Open Policy 代理的本地缓存的最大容量。默认值为 |
| 整数 | |
| expireAfterMs |
本地缓存中保留的记录的过期时间,以避免针对每个请求查询 Open Policy 代理。定义从 Open Policy Agent 服务器重新加载缓存的授权决策的频率。以毫秒为单位.默认值为 |
| 整数 | |
| superUsers | 超级用户列表,特别是具有无限访问权限的用户主体列表。 |
| 字符串数组 |
