B.42.6. superUsers

被视为超级用户的用户主体列表,以便始终允许他们而无需查询 open Policy Agent 策略。如需更多信息,请参阅 Kafka 授权

Open Policy Agent 授权器配置示例

authorization:
  type: opa
  url: http://opa:8181/v1/data/kafka/allow
  allowOnError: false
  initialCacheCapacity: 1000
  maximumCacheSize: 10000
  expireAfterMs: 60000
  superUsers:
    - CN=fred
    - sam
    - CN=edward

type 属性是一个光盘,它区分使用 KafkaAuthorizationOpaKafkaAuthorizationSimple, KafkaAuthorizationKeycloak。它必须具有类型 KafkaAuthorizationOpa 的值 opa

属性描述

type

必须是 opa

字符串

url

用于连接到开放策略代理服务器的 URL。URL 必须包含授权者将查询的策略。这个选项是必需的。

字符串

allowOnError

定义当授权者无法查询 Open Policy Agent 时(例如,当暂时不可用时),是否应允许或拒绝 Kafka 客户端。默认为 false - 将拒绝所有操作。

布尔值

initialCacheCapacity

授权者用于避免查询开放策略代理的本地缓存的初始容量,每个请求默认值为 5000

整数

maximumCacheSize

授权者用于避免针对每个请求查询 Open Policy 代理的本地缓存的最大容量。默认值为 50000

整数

expireAfterMs

本地缓存中保留的记录的过期时间,以避免针对每个请求查询 Open Policy 代理。定义从 Open Policy Agent 服务器重新加载缓存的授权决策的频率。以毫秒为单位.默认值为 3600000

整数

superUsers

超级用户列表,特别是具有无限访问权限的用户主体列表。

字符串数组