5.3. Service Registry 身份验证和授权配置选项

Service Registry 为 OpenID Connect 提供带有 Red Hat Single Sign-On 或 HTTP 基本身份验证的身份验证选项。

Service Registry 为基于角色的方法和基于内容的方法提供授权选项：

基于角色的默认授权，用于默认 admin、write 和 read-only 用户角色。
对于 schema 或 API 工件，基于内容的授权，只有工件或工件组的所有者才能更新或删除工件。

重要

Service Registry 中的所有身份验证和授权选项都默认禁用。在启用任何这些选项前，您必须首先将 AUTH_ENABLED 选项设置为 true。

本章详细介绍了以下配置选项：

使用带有红帽单点登录的 OpenID Connect 进行 Service Registry 身份验证

您可以设置以下环境变量，以使用 Red Hat Single Sign-On 为 Service Registry web 控制台和 API 配置身份验证：

表 5.6. 使用 Red Hat Single Sign-On 配置 Service Registry 身份验证
环境变量	描述	类型	默认
`AUTH_ENABLED`	在 Service Registry 中启用身份验证。当设置为 `true` 时，在 Red Hat Single Sign-On 中进行身份验证所需的环境变量。	字符串	`false`
`KEYCLOAK_URL`	Red Hat Single Sign-On 身份验证服务器的 URL。例如： `http://localhost:8080`。	字符串	-
`KEYCLOAK_REALM`	用于身份验证的 Red Hat Single Sign-On 域。例如，`registry。`	字符串	-
`KEYCLOAK_API_CLIENT_ID`	Service Registry REST API 的客户端 ID。	字符串	`registry-api`
`KEYCLOAK_UI_CLIENT_ID`	Service Registry web 控制台的客户端 ID。	字符串	`apicurio-registry`

使用 HTTP 基本的 Service Registry 身份验证

默认情况下，Service Registry 支持使用 OpenID Connect 进行身份验证。用户或 API 客户端必须获取访问令牌，才能对 Service Registry REST API 进行经过身份验证的调用。但是，由于某些工具不支持 OpenID Connect，因此您也可以将 Service Registry 配置为支持 HTTP 基本身份验证，方法是将以下配置选项设置为 true ：

表 5.7. Service Registry HTTP 基本身份验证配置
环境变量	Java 系统属性	类型	默认值
`AUTH_ENABLED`	`registry.auth.enabled`	布尔值	`false`
`CLIENT_CREDENTIALS_BASIC_AUTH_ENABLED`	`registry.auth.basic-auth-client-credentials.enabled`	布尔值	`false`

Service Registry HTTP 基本客户端凭证缓存到期

您还可以配置 HTTP 基本客户端凭证缓存到期时间。默认情况下，在使用 HTTP 基本身份验证时，Service Registry 会缓存 JWT 令牌，并在不需要时不会发布新令牌。您可以为 JWT 令牌配置缓存到期时间，该令牌默认设置为 10 分钟。

使用 Red Hat Single Sign-On 时，最好将此配置设置为 Red Hat Single Sign-On JWT 到期时间减一分钟。例如，如果您在 Red Hat Single Sign-On 中将到期时间设置为 5 分钟，您应该将以下配置选项设置为 4 分钟：

表 5.8. 配置 HTTP 基本客户端凭证缓存到期
环境变量	Java 系统属性	类型	默认值
`CLIENT_CREDENTIALS_BASIC_CACHE_EXPIRATION`	`registry.auth.basic-auth-client-credentials.cache-expiration`	整数	`10`

基于 Service Registry 角色的授权

您可以将以下选项设置为 true，以便在 Service Registry 中启用基于角色的授权：

表 5.9. 配置基于 Service Registry 角色的授权
环境变量	Java 系统属性	类型	默认值
`AUTH_ENABLED`	`registry.auth.enabled`	布尔值	`false`
`ROLE_BASED_AUTHZ_ENABLED`	`registry.auth.role-based-authorization`	布尔值	`false`

然后，您可以将基于角色的授权配置为使用用户身份验证令牌中包含的角色（例如，在使用 Red Hat Single Sign-On 进行身份验证时授予），或者使用由 Service Registry 内部管理的角色映射。

使用 Red Hat Single Sign-On 中分配的角色

要使用 Red Hat Single Sign-On 分配的角色启用，请设置以下环境变量：

表 5.10. 使用红帽单点登录配置 Service Registry 基于角色的授权
环境变量	描述	类型	默认
`ROLE_BASED_AUTHZ_SOURCE`	当设置为 `令牌时`，将从身份验证令牌获取用户角色。	字符串	`token`
`REGISTRY_AUTH_ROLES_ADMIN`	指明用户的角色名称是管理员。	字符串	`sr-admin`
`REGISTRY_AUTH_ROLES_DEVELOPER`	指明用户的角色名称是开发人员。	字符串	`sr-developer`
`REGISTRY_AUTH_ROLES_READONLY`	指明用户具有只读访问权限的角色名称。	字符串	`sr-readonly`

当 Service Registry 配置为使用 Red Hat Single Sign-On 中的角色时，您必须将 Service Registry 用户至少分配给 Red Hat Single Sign-On 中的以下用户角色之一。但是，您可以使用表 5.10 “使用红帽单点登录配置 Service Registry 基于角色的授权” 中的环境变量配置不同的用户角色名称。

表 5.11. 用于身份验证和授权的 Service Registry 角色
角色名称	读取工件	写入工件	全局规则	描述
`sr-admin`	是	是	是	所有创建、读取、更新和删除操作的完整访问权限。
`sr-developer`	是	是	否	除配置全局规则和导入/导出外，创建、读取、更新和删除操作的访问权限。此角色只能配置特定于工件的规则。
`sr-readonly`	是	否	否	仅访问读和搜索操作。此角色无法配置任何规则。

在 Service Registry 中直接管理角色

要使用由 Service Registry 内部管理的角色启用，请设置以下环境变量：

表 5.12. 使用内部角色映射配置 Service Registry 基于角色的授权
环境变量	描述	类型	默认
`ROLE_BASED_AUTHZ_SOURCE`	当设置为 `application` 时，用户角色由 Service Registry 在内部管理。	字符串	`token`

在使用内部管理的角色映射时，可以使用 Service Registry REST API 中的 /admin/roleMappings 端点来为用户分配角色。如需了解更多详细信息，请参阅 Apicurio Registry REST API 文档。

用户可以精确授予一个角色： ADMIN、DEVELOPER 或 READ_ONLY。只有具有 admin 特权的用户才能向其他用户授予访问权限。

Service Registry admin-override 配置

因为 Service Registry 中没有默认的 admin 用户，因此通常会配置另一个用户被识别为 admins 的方法。您可以使用以下环境变量配置此 admin-override 功能：

表 5.13. Service Registry admin-override 的配置
环境变量	描述	类型	默认
`REGISTRY_AUTH_ADMIN_OVERRIDE_ENABLED`	启用 admin-override 功能。	字符串	`false`
`REGISTRY_AUTH_ADMIN_OVERRIDE_FROM`	在哪里查找 admin-override 信息。目前只支持 `令牌`。	字符串	`token`
`REGISTRY_AUTH_ADMIN_OVERRIDE_TYPE`	用于确定用户是否是管理员的信息类型。值取决于 FROM 变量的值，例如当 FROM 为令牌时 `的角色` 或 `声明`。	字符串	`role`
`REGISTRY_AUTH_ADMIN_OVERRIDE_ROLE`	指明用户的角色名称是管理员。	字符串	`sr-admin`
`REGISTRY_AUTH_ADMIN_OVERRIDE_CLAIM`	用于确定 admin-override 的 JWT 令牌声明的名称。	字符串	`org-admin`
`REGISTRY_AUTH_ADMIN_OVERRIDE_CLAIM_VALUE`	CLAIM 变量指示的 JWT 令牌声明值必须是被授予 admin-override 的用户。	字符串	`true`

例如，您可以使用此 admin-override 功能将 sr-admin 角色分配给 Red Hat Single Sign-On 中的单个用户，这将为该用户授予 admin 角色。然后，用户可以使用 /admin/roleMappings REST API （或关联的 UI）向其他用户授予角色（包括其他管理员）。

仅 Service Registry 所有者授权

您可以将以下选项设置为 true，为对 Service Registry 中的工件或工件组更新启用仅所有者授权：

表 5.14. 配置仅限所有者授权
环境变量	Java 系统属性	类型	默认值
`AUTH_ENABLED`	`registry.auth.enabled`	布尔值	`false`
`REGISTRY_AUTH_OBAC_ENABLED`	`registry.auth.owner-only-authorization`	布尔值	`false`
`REGISTRY_AUTH_OBAC_LIMIT_GROUP_ACCESS`	`registry.auth.owner-only-authorization.limit-group-access`	布尔值	`false`

当启用了仅限所有者授权时，只有创建工件的用户才能修改或删除该工件。

当同时启用了所有者授权和组所有者授权时，只有创建工件组的用户才能对该工件组具有写入访问权限，例如要在该组中添加或删除工件。

Service Registry 验证的读访问权限

当启用经过身份验证的用户时，Service Registry 会至少授予来自同一机构中任何经过身份验证的用户的只读访问权限，而不考虑其用户角色。

要启用经过身份验证的读访问权限，您必须首先启用基于角色的授权，然后确保将以下选项设置为 true ：

表 5.15. 配置经过身份验证的用户
环境变量	Java 系统属性	类型	默认值
`AUTH_ENABLED`	`registry.auth.enabled`	布尔值	`false`
`REGISTRY_AUTH_AUTHENTICATED_READS_ENABLED`	`registry.auth.authenticated-read-access.enabled`	布尔值	`false`

如需了解更多详细信息，请参阅 “基于 Service Registry 角色的授权”一节。

Service Registry 匿名只读访问

除了两种类型的授权（基于角色和基于所有者的授权），Service Registry 支持匿名只读访问选项。

要允许匿名用户（如没有身份验证凭证的 REST API 调用）对 REST API 进行只读调用，请将以下选项设置为 true ：

表 5.16. 配置匿名只读访问
环境变量	Java 系统属性	类型	默认值
`AUTH_ENABLED`	`registry.auth.enabled`	布尔值	`false`
`REGISTRY_AUTH_ANONYMOUS_READ_ACCESS_ENABLED`	`registry.auth.anonymous-read-access.enabled`	布尔值	`false`

其他资源

有关如何在 OpenShift 上的 Service Registry 部署中设置环境变量的示例，请参阅第 6.1 节 “在 OpenShift 中配置 Service Registry 健康检查”
有关为 Service Registry 配置自定义身份验证的详情，请参阅 Quarkus Open ID Connect 文档