5.3. Apicurio Registry 身份验证和授权配置选项
Apicurio Registry 为 OpenID Connect 提供 Red Hat Single Sign-On 或 HTTP 基本身份验证的身份验证选项。
Apicurio Registry 为基于角色的方法和基于内容的方法提供授权选项:
- 针对默认 admin、写和只读用户角色的基于角色的权限。
- 对模式或 API 工件进行基于内容的授权,其中只有工件或工件组的所有者才能更新或删除工件。
默认禁用 Apicurio Registry 认证和授权选项。
本章详细介绍了以下配置选项:
Apicurio Registry 使用 Red Hat Single Sign-On 的 OpenID Connect 进行身份验证
您可以使用 Red Hat Single Sign-On 设置以下环境变量来为 Apicurio Registry Web 控制台和 API 配置身份验证:
表 5.6. 配置 Apicurio Registry 身份验证选项
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
|
在 Apicurio Registry 中启用或禁用身份验证。当设置为 | 字符串 |
|
|
|
要使用的红帽单点登录身份验证服务器的 URL。必须以 | 字符串 | - |
|
| 用于身份验证的红帽单点登录域。 | 字符串 | - |
|
| Apicurio Registry REST API 的客户端 ID。 | 字符串 |
|
|
| Apicurio Registry Web 控制台的客户端 ID。 | 字符串 |
|
Apicurio Registry 使用 HTTP 基本验证
默认情况下,Apicurio Registry 支持使用 OpenID Connect 进行身份验证。用户(或 API 客户端)必须获取访问令牌,才能向 Apicurio Registry REST API 进行经过身份验证的调用。但是,由于某些工具不支持 OpenID Connect,您还可以将 Apicurio Registry 配置为支持 HTTP 基本身份验证,方法是将以下配置选项设置为 true。
表 5.7. 配置 Apicurio Registry HTTP 基本身份验证
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
Apicurio Registry 基于角色的授权
您可以将以下选项设置为 true 以在 Apicurio Registry 中启用基于角色的访问控制:
表 5.8. 配置 Apicurio Registry 基于角色的访问控制
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
然后,您可以将基于角色的授权配置为使用用户身份验证令牌中包含的角色(例如,在使用 Red Hat Single Sign-On 进行身份验证时)或使用由 Apicurio Registry 内部管理的角色映射。
使用在 Red Hat Single Sign-On 中分配的角色
要使用由 Red Hat Single Sign-On 分配的角色来启用,请设置以下环境变量:
表 5.9. 使用 Red Hat Single Sign-On 配置基于 Apicurio Registry 角色的授权
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
|
当设置为 | 字符串 |
|
|
| 指明用户的角色名称是管理员。 | 字符串 |
|
|
| 指明用户所属的角色的名称。 | 字符串 |
|
|
| 指明用户具有只读访问权限的角色名称。 | 字符串 |
|
当 Apicurio Registry 配置为使用来自 Red Hat Single Sign-On 的角色时,您必须将 Apicurio Registry 用户分配给 Red Hat Single Sign-On 中的以下用户角色之一。但是,您可以使用 表 5.9 “使用 Red Hat Single Sign-On 配置基于 Apicurio Registry 角色的授权” 中的环境变量配置不同的用户名。
表 5.10. 用于身份验证和授权的 Apicurio Registry 角色
| 角色名称 | 读取工件 | 编写工件 | 全局规则 | 描述 |
|---|---|---|---|---|
|
| 是 | 是 | 是 | 对所有创建、读取、更新和删除操作的完整访问权限。 |
|
| 是 | 是 | 否 | 除配置全局规则和导入/导出外,创建、读取、更新和删除操作的访问权限。此角色只能配置工件规则。 |
|
| 是 | 否 | 否 | 仅读和搜索操作的访问权限。此角色无法配置任何规则。 |
直接在 Apicurio Registry 中管理角色
要使用由 Apicurio Registry 管理的内部管理的角色,请设置以下环境变量:
表 5.11. 使用内部角色映射配置 Apicurio Registry 基于角色的访问控制
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
|
当设置为 | 字符串 |
|
在使用内部管理的角色映射时,可以使用 Apicurio Registry REST API 中的 /admin/roleMappings 端点来分配角色。如需了解更多详细信息,请参阅 Apicurio Registry REST API 文档。
用户可以精确授予一个角色: ADMIN、DEVELOPER 或 READ_ONLY。只有具备管理特权的用户才能授予其他用户的访问权限。
Apicurio Registry admin-override 配置
因为 Apicurio Registry 中没有默认的管理员用户,因此为用户授予作为管理员的另一种方法来说通常很有帮助。您可以使用以下环境变量配置此 admin-override 功能:
表 5.12. 配置 Apicurio Registry admin-override
| 环境变量 | 描述 | 类型 | 默认 |
|---|---|---|---|
|
| 启用 admin-override 功能。 | 字符串 |
|
|
|
在哪里查找 admin-override 信息。当前只支持 | 字符串 |
|
|
|
用于确定用户是否为管理员的信息类型。值取决于 FROM 变量的值,如 FROM 为 | 字符串 |
|
|
| 指明用户的角色名称是管理员。 | 字符串 |
|
|
| 用于确定 admin-override 的 JWT 令牌声明的名称。 | 字符串 |
|
|
| 由 CLAIM 变量指示的 JWT 令牌声明的值必须是用户授予 admin-override 的用户。 | 字符串 |
|
例如,您可以使用此 admin-override 功能将 sr-admin 角色分配给 Red Hat Single Sign-On 中的单个用户,它为该用户授予 admin 角色。然后,该用户可以使用 /admin/roleMappings REST API (或关联的 UI)向其他用户(包括额外管理员)授予角色。
Apicurio Registry owner-only 授权
您可以将以下选项设置为 true,以启用对 Apicurio Registry 中的工件或工件组进行更新的仅限所有者授权:
表 5.13. 配置仅限所有者的授权
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
|
|
| 布尔值 |
|
当启用了仅限所有者授权时,只有创建工件的用户才能修改或删除该工件。
当启用所有者的授权和组群所有者授权时,只有创建工件组的用户才具有对该工件组的写入权限,例如,要在该组中添加或删除工件。
Apicurio Registry 验证的读访问权限
当启用经过身份验证的用户时,Apicurio Registry 会为来自同一机构中任何经过身份验证的用户的请求提供只读访问权限,无论其用户角色是什么。
要启用经过身份验证的读取访问权限,您必须首先启用基于角色的访问控制,然后将以下选项设置为 true :
表 5.14. 配置经过身份验证的用户的读取
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
如需了解更多详细信息,请参阅 “Apicurio Registry 基于角色的授权”一节。
Apicurio Registry 匿名只读访问
除了两种主要授权类型外,Apicurio 注册表还支持匿名只读访问选项。
要允许没有身份验证凭证的匿名用户(如 REST API 调用)对 REST API 进行只读调用,请将以下选项设置为 true :
表 5.15. 配置匿名只读访问
| 环境变量 | Java 系统属性 | 类型 | 默认值 |
|---|---|---|---|
|
|
| 布尔值 |
|
其他资源
- 有关如何在 OpenShift 上的 Apicurio Registry 部署中设置环境变量的示例,请参考 第 6.1 节 “在 OpenShift 上配置 Apicurio Registry 健康检查”
- 有关为 Apicurio Registry 配置自定义身份验证的详情,请参阅 Quarkus Open ID Connect 文档