Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

5.4. Apicurio Registry 身份验证和授权配置选项

Apicurio Registry 为带有红帽单点登录和 HTTP 基本身份验证的 OpenID Connect 提供身份验证选项。

Apicurio Registry 为基于角色的和基于内容的方法提供授权选项:

  • 默认 admin、write 和 read-only 用户角色基于角色的授权。
  • 基于内容或 API 工件的授权,只有工件或工件组的所有者才能更新或删除工件。
重要

Apicurio Registry 中的所有身份验证和授权选项都默认禁用。在启用任何这些选项前,您必须首先将 AUTH_ENABLED 选项设置为 true

本章详细介绍了以下配置选项:

在 Red Hat Single Sign-On 中使用 OpenID Connect 进行 Apicurio Registry 身份验证

您可以设置以下环境变量,以使用 Red Hat Single Sign-On 为 Apicurio Registry web 控制台和 API 配置身份验证:

Expand
表 5.8. 使用红帽单点登录配置 Apicurio Registry 身份验证
环境变量描述类型默认

AUTH_ENABLED

为 Apicurio Registry 启用身份验证。当设置为 true 时,使用 Red Hat Single Sign-On 进行身份验证需要遵循的环境变量。

字符串

false

KEYCLOAK_URL

Red Hat Single Sign-On 身份验证服务器的 URL。例如: http://localhost:8080

字符串

-

KEYCLOAK_REALM

Red Hat Single Sign-On 域用于身份验证。例如,registry。

字符串

-

KEYCLOAK_API_CLIENT_ID

Apicurio Registry REST API 的客户端 ID。

字符串

registry-api

KEYCLOAK_UI_CLIENT_ID

Apicurio Registry web 控制台的客户端 ID。

字符串

apicurio-registry

使用 HTTP 基本身份验证的 Apicurio Registry 身份验证

默认情况下,Apicurio Registry 支持使用 OpenID Connect 进行身份验证。用户或 API 客户端必须获取访问令牌,才能向 Apicurio Registry REST API 发出经过身份验证的调用。但是,由于某些工具不支持 OpenID Connect,您也可以将 Apicurio Registry 配置为支持 HTTP 基本身份验证,方法是将以下配置选项设置为 true

Expand
表 5.9. 配置 Apicurio Registry HTTP 基本身份验证
环境变量Java 系统属性类型默认值

AUTH_ENABLED

registry.auth.enabled

布尔值

false

CLIENT_CREDENTIALS_BASIC_AUTH_ENABLED

registry.auth.basic-auth-client-credentials.enabled

布尔值

false

Apicurio Registry HTTP 基本客户端凭证缓存到期

您还可以配置 HTTP 基本客户端凭证缓存过期时间。默认情况下,在使用 HTTP 基本身份验证时,Apicurio Registry 会缓存 JWT 令牌,且不需要时不会发出新令牌。您可以为 JWT 令牌配置缓存到期时间,该令牌默认设置为 10 分钟。

使用红帽单点登录时,最好将此配置设置为您的 Red Hat Single Sign-On JWT 到期时间减一分钟。例如,如果您在 Red Hat Single Sign-On 中将过期时间设置为 5 分钟,您应该将以下配置选项设置为 4 分钟:

Expand
表 5.10. 配置 HTTP 基本客户端凭证缓存到期
环境变量Java 系统属性类型默认值

CLIENT_CREDENTIALS_BASIC_CACHE_EXPIRATION

registry.auth.basic-auth-client-credentials.cache-expiration

整数

10

Apicurio Registry 基于角色的授权

您可以将以下选项设置为 true,以便在 Apicurio Registry 中启用基于角色的访问控制:

Expand
表 5.11. 配置 Apicurio Registry 基于角色的授权
环境变量Java 系统属性类型默认值

AUTH_ENABLED

registry.auth.enabled

布尔值

false

ROLE_BASED_AUTHZ_ENABLED

registry.auth.role-based-authorization

布尔值

false

然后,您可以将基于角色的访问控制配置为使用用户身份验证令牌中包含的角色(例如,使用 Red Hat Single Sign-On 进行身份验证时),或者使用 Apicurio Registry 内部管理的角色映射。

使用在 Red Hat Single Sign-On 中分配的角色

要启用使用由 Red Hat Single Sign-On 分配的角色,请设置以下环境变量:

Expand
表 5.12. 使用红帽单点登录配置 Apicurio Registry 基于角色的授权
环境变量描述类型默认

ROLE_BASED_AUTHZ_SOURCE

当设置为 token 时,用户角色会从身份验证令牌获取。

字符串

token

REGISTRY_AUTH_ROLES_ADMIN

指明用户的角色名称是管理员。

字符串

sr-admin

REGISTRY_AUTH_ROLES_DEVELOPER

指明用户的角色的名称是开发人员。

字符串

sr-developer

REGISTRY_AUTH_ROLES_READONLY

表示用户具有只读访问权限的角色名称。

字符串

sr-readonly

当 Apicurio Registry 配置为使用 Red Hat Single Sign-On 中的角色时,您必须将 Apicurio Registry 用户分配给 Red Hat Single Sign-On 中至少以下用户角色之一。但是,您可以使用 表 5.12 “使用红帽单点登录配置 Apicurio Registry 基于角色的授权” 中的环境变量配置不同的用户角色名称。

Expand
表 5.13. 用于身份验证和授权的 Apicurio Registry 角色
角色名称读取工件编写工件全局规则描述

sr-admin

完全访问所有创建、读取、更新和删除操作。

sr-developer

除了配置全局规则和导入/导出外,访问创建、读取、更新和删除操作。此角色只能配置特定于工件的规则。

sr-readonly

只能访问读取和搜索操作。此角色无法配置任何规则。

直接管理 Apicurio Registry 中的角色

要使用 Apicurio Registry 内部管理的角色启用,请设置以下环境变量:

Expand
表 5.14. 使用内部角色映射配置 Apicurio Registry 基于角色的授权
环境变量描述类型默认

ROLE_BASED_AUTHZ_SOURCE

当设置为 application 时,用户角色由 Apicurio Registry 在内部管理。

字符串

token

使用内部管理的角色映射时,可以使用 Apicurio Registry REST API 中的 /admin/roleMappings 端点来为用户分配角色。如需了解更多详细信息,请参阅 Apicurio Registry REST API 文档

用户可以精确授予一个角色: ADMINDEVELOPERREAD_ONLY。只有具有管理特权的用户才能授予其他用户的访问权限。

Apicurio Registry admin-override 配置

因为 Apicurio Registry 中没有默认的 admin 用户,因此用户通常有助于将用户识别为 admins。您可以使用以下环境变量配置此 admin-override 功能:

Expand
表 5.15. 配置 Apicurio Registry admin-override
环境变量描述类型默认

REGISTRY_AUTH_ADMIN_OVERRIDE_ENABLED

启用 admin-override 功能。

字符串

false

REGISTRY_AUTH_ADMIN_OVERRIDE_FROM

在何处查找 admin-override 信息。目前只支持 令牌

字符串

token

REGISTRY_AUTH_ADMIN_OVERRIDE_TYPE

用于确定用户是否为管理员的信息类型。值取决于 FROM 变量的值,如 roleclaim (当 FROM 为 令牌 )。

字符串

role

REGISTRY_AUTH_ADMIN_OVERRIDE_ROLE

指明用户的角色名称是管理员。

字符串

sr-admin

REGISTRY_AUTH_ADMIN_OVERRIDE_CLAIM

用于确定 admin-override 的 JWT 令牌声明的名称。

字符串

org-admin

REGISTRY_AUTH_ADMIN_OVERRIDE_CLAIM_VALUE

CLAIM 变量指示的 JWT 令牌声明的值必须是该用户被授予 admin-override。

字符串

true

例如,您可以使用此 admin-override 功能将 sr-admin 角色分配给 Red Hat Single Sign-On 中的单个用户,这将授予该用户 admin 角色。然后,用户可以使用 /admin/roleMappings REST API (或关联的 UI)为其他用户(包括其他 admins)授予角色。

Apicurio Registry 仅限所有者授权

您可以将以下选项设置为 true,以启用仅所有者授权来更新 Apicurio Registry 中的工件或工件组:

Expand
表 5.16. 配置仅所有者授权
环境变量Java 系统属性类型默认值

AUTH_ENABLED

registry.auth.enabled

布尔值

false

REGISTRY_AUTH_OBAC_ENABLED

registry.auth.owner-only-authorization

布尔值

false

REGISTRY_AUTH_OBAC_LIMIT_GROUP_ACCESS

registry.auth.owner-only-authorization.limit-group-access

布尔值

false

当启用了仅限所有者授权时,只有创建工件的用户才能修改或删除该工件。

当只所有者授权和仅组所有者授权都启用时,只有创建工件组的用户只能对该工件组具有写入访问权限,例如在该组中添加或删除工件。

Apicurio Registry 验证的读访问权限

启用身份验证的 read access 选项时,Apicurio Registry 至少授予对同一机构中任何经过身份验证的用户的只读访问权限,而不考虑其用户角色。

要启用经过身份验证的读取访问权限,您必须首先启用基于角色的访问控制,然后确保将以下选项设置为 true

Expand
表 5.17. 配置经过身份验证的读访问权限
环境变量Java 系统属性类型默认值

AUTH_ENABLED

registry.auth.enabled

布尔值

false

REGISTRY_AUTH_AUTHENTICATED_READS_ENABLED

registry.auth.authenticated-read-access.enabled

布尔值

false

如需了解更多详细信息,请参阅 “Apicurio Registry 基于角色的授权”一节

Apicurio Registry 匿名只读访问

除了两种主要授权类型(基于角色的和基于所有者的授权)外,Apicurio Registry 还支持匿名只读访问选项。

要允许匿名用户(如没有身份验证凭证的 REST API 调用)对 REST API 进行只读调用,请将以下选项设置为 true

Expand
表 5.18. 配置匿名只读访问
环境变量Java 系统属性类型默认值

AUTH_ENABLED

registry.auth.enabled

布尔值

false

REGISTRY_AUTH_ANONYMOUS_READ_ACCESS_ENABLED

registry.auth.anonymous-read-access.enabled

布尔值

false

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat