红帽全球峰会5.4. Apicurio Registry 身份验证和授权配置选项
Apicurio Registry 为 OpenID Connect 提供带有 Red Hat Single Sign-On 和 HTTP 基本身份验证的身份验证选项。
Apicurio Registry 为基于角色的方法和基于内容的方法提供授权选项:
- 基于角色的默认授权,用于默认 admin、write 和 read-only 用户角色。
- 对于 schema 或 API 工件,基于内容的授权,只有工件或工件组的所有者才能更新或删除工件。
Apicurio Registry 中的所有身份验证和授权选项都默认禁用。在启用任何这些选项前,您必须首先将 AUTH_ENABLED 选项设置为 true。
本章详细介绍了以下配置选项:
在红帽单点登录中使用 OpenID Connect 进行 Apicurio Registry 身份验证
您可以设置以下环境变量,以使用 Red Hat Single Sign-On 为 Apicurio Registry web 控制台和 API 配置身份验证:
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
|
为 Apicurio Registry 启用身份验证。当设置为 | 字符串 |
|
|
|
Red Hat Single Sign-On 身份验证服务器的 URL。例如: | 字符串 | - |
|
|
用于身份验证的 Red Hat Single Sign-On 域。例如, | 字符串 | - |
|
| Apicurio Registry REST API 的客户端 ID。 | 字符串 |
|
|
| Apicurio Registry web 控制台的客户端 ID。 | 字符串 |
|
使用 HTTP 基本的 Apicurio Registry 身份验证
默认情况下,Apicurio Registry 支持使用 OpenID Connect 进行身份验证。用户或 API 客户端必须获取访问令牌,才能对 Apicurio Registry REST API 进行经过身份验证的调用。但是,由于一些工具不支持 OpenID Connect,因此您也可以将 Apicurio Registry 配置为支持 HTTP 基本身份验证,方法是将以下配置选项设置为 true :
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
Apicurio Registry HTTP 基本客户端凭证缓存过期
您还可以配置 HTTP 基本客户端凭证缓存到期时间。默认情况下,在使用 HTTP 基本身份验证时,Apicurio Registry 会缓存 JWT 令牌,并在不需要时不会发布新令牌。您可以为 JWT 令牌配置缓存到期时间,该令牌默认设置为 10 分钟。
使用 Red Hat Single Sign-On 时,最好将此配置设置为 Red Hat Single Sign-On JWT 到期时间减一分钟。例如,如果您在 Red Hat Single Sign-On 中将到期时间设置为 5 分钟,您应该将以下配置选项设置为 4 分钟:
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 整数 |
|
Apicurio Registry 基于角色的授权
您可以将以下选项设置为 true,以便在 Apicurio Registry 中启用基于角色的授权:
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
然后,您可以将基于角色的授权配置为使用用户身份验证令牌中包含的角色(例如,在使用 Red Hat Single Sign-On 进行身份验证时授予),或者使用 Apicurio Registry 内部管理的角色映射。
使用 Red Hat Single Sign-On 中分配的角色
要使用 Red Hat Single Sign-On 分配的角色启用,请设置以下环境变量:
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
|
当设置为 | 字符串 |
|
|
| 指明用户的角色名称是管理员。 | 字符串 |
|
|
| 指明用户的角色名称是开发人员。 | 字符串 |
|
|
| 指明用户具有只读访问权限的角色名称。 | 字符串 |
|
当 Apicurio Registry 配置为使用 Red Hat Single Sign-On 中的角色时,您必须将 Apicurio Registry 用户至少分配给 Red Hat Single Sign-On 中的以下用户角色之一。但是,您可以使用 表 5.12 “使用红帽单点登录配置 Apicurio Registry 基于角色的授权” 中的环境变量配置不同的用户角色名称。
| 角色名称 | 读取工件 | 写入工件 | 全局规则 | 描述 |
|---|---|---|---|---|
|
| 是 | 是 | 是 | 所有创建、读取、更新和删除操作的完整访问权限。 |
|
| 是 | 是 | 否 | 除配置全局规则和导入/导出外,创建、读取、更新和删除操作的访问权限。此角色只能配置特定于工件的规则。 |
|
| 是 | 否 | 否 | 仅访问读和搜索操作。此角色无法配置任何规则。 |
在 Apicurio Registry 中直接管理角色
要使用由 Apicurio Registry 内部管理的角色启用,请设置以下环境变量:
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
|
当设置为 | 字符串 |
|
在使用内部管理的角色映射时,可以使用 Apicurio Registry REST API 中的 /admin/roleMappings 端点来为用户分配角色。如需了解更多详细信息,请参阅 Apicurio Registry REST API 文档。
用户可以精确授予一个角色: ADMIN、DEVELOPER 或 READ_ONLY。只有具有 admin 特权的用户才能向其他用户授予访问权限。
Apicurio Registry admin-override 配置
因为 Apicurio Registry 中没有默认 admin 用户,因此通常会为用户配置另一种将识别为 admins 的方法。您可以使用以下环境变量配置此 admin-override 功能:
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
| 启用 admin-override 功能。 | 字符串 |
|
|
|
在哪里查找 admin-override 信息。目前只支持 | 字符串 |
|
|
|
用于确定用户是否是管理员的信息类型。值取决于 FROM 变量的值,例如当 FROM 为令牌时 | 字符串 |
|
|
| 指明用户的角色名称是管理员。 | 字符串 |
|
|
| 用于确定 admin-override 的 JWT 令牌声明的名称。 | 字符串 |
|
|
| CLAIM 变量指示的 JWT 令牌声明值必须是被授予 admin-override 的用户。 | 字符串 |
|
例如,您可以使用此 admin-override 功能将 sr-admin 角色分配给 Red Hat Single Sign-On 中的单个用户,这将为该用户授予 admin 角色。然后,用户可以使用 /admin/roleMappings REST API (或关联的 UI)向其他用户授予角色(包括其他管理员)。
Apicurio Registry 只读授权
您可以将以下选项设置为 true,为 Apicurio Registry 中的工件或工件组启用仅限所有者的授权:
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
当启用了仅限所有者授权时,只有创建工件的用户才能修改或删除该工件。
当同时启用了所有者授权和组所有者授权时,只有创建工件组的用户才能对该工件组具有写入访问权限,例如要在该组中添加或删除工件。
Apicurio Registry 验证的读访问权限
启用经过身份验证的用户读取访问权限后,Apicurio Registry 会至少授予来自同一机构中任何经过身份验证的用户的只读访问权限,而不考虑其用户角色。
要启用经过身份验证的读访问权限,您必须首先启用基于角色的授权,然后确保将以下选项设置为 true :
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
如需了解更多详细信息,请参阅 “Apicurio Registry 基于角色的授权”一节。
Apicurio Registry 匿名只读访问
除了两种类型的授权(基于角色和基于所有者的授权),Apicurio Registry 还支持匿名只读访问选项。
要允许匿名用户(如没有身份验证凭证的 REST API 调用)对 REST API 进行只读调用,请将以下选项设置为 true :
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}