红帽全球峰会第 7 章 启用基于 OAuth 2.0 令牌的访问
Apache Kafka 的流支持 OAuth 2.0 通过与 OAUth 2.0 授权服务器集成来保护 Kafka 集群。Kafka 代理和客户端都需要配置为使用 OAuth 2.0。
OAuth 2.0 启用应用程序之间的基于令牌的标准化身份验证和授权,使用中央授权服务器签发对资源有限访问权限的令牌。您可以定义特定范围以进行精细的访问控制。范围对应于集群中 Kafka 主题或操作的不同访问级别。
OAuth 2.0 还支持单点登录并与身份提供程序集成。
7.1. 配置 OAuth 2.0 授权服务器
复制链接链接已复制到粘贴板!
在使用基于 OAuth 2.0 令牌的访问前,您必须配置授权服务器,以便与 Streams for Apache Kafka 集成。这些步骤取决于所选的授权服务器。有关如何设置 OAuth 2.0 访问的信息,请参阅授权服务器的产品文档。
通过为 Kafka 和应用程序的每个 Kafka 客户端组件定义 OAUth 2.0 客户端,准备授权服务器以用于 Apache Kafka 的流。对于授权服务器,Kafka 集群和 Kafka 客户端都被视为 OAuth 2.0 客户端。
通常,在授权服务器中配置 OAuth 2.0 客户端,并启用了以下客户端凭证:
-
客户端 ID (例如,Kafka 集群的
kafka) - 客户端 ID 和 secret 作为身份验证机制
注意
在使用授权服务器的非公共内省端点时,您只需要使用客户端 ID 和 secret。在使用公共授权服务器端点时,通常不需要凭据,如快速本地 JWT 令牌验证一样。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}