5.3. Apicurio Registry 身份验证和授权配置选项

Apicurio Registry 为 OpenID Connect 提供 Red Hat Single Sign-On 或 HTTP 基本身份验证的身份验证选项。

Apicurio Registry 为基于角色的方法和基于内容的方法提供授权选项:

  • 针对默认 admin、写和只读用户角色的基于角色的权限。
  • 对模式或 API 工件进行基于内容的授权,其中只有工件或工件组的所有者才能更新或删除工件。
注意

默认禁用 Apicurio Registry 认证和授权选项。

本章详细介绍了以下配置选项:

Apicurio Registry 使用 Red Hat Single Sign-On 的 OpenID Connect 进行身份验证

您可以使用 Red Hat Single Sign-On 设置以下环境变量来为 Apicurio Registry Web 控制台和 API 配置身份验证:

表 5.6. 配置 Apicurio Registry 身份验证选项

环境变量描述类型默认

AUTH_ENABLED

在 Apicurio Registry 中启用或禁用身份验证。当设置为 true 时,需要遵循的环境变量。

字符串

false

KEYCLOAK_URL

要使用的红帽单点登录身份验证服务器的 URL。必须以 /auth 结尾。

字符串

-

KEYCLOAK_REALM

用于身份验证的红帽单点登录域。

字符串

-

KEYCLOAK_API_CLIENT_ID

Apicurio Registry REST API 的客户端 ID。

字符串

registry-api

KEYCLOAK_UI_CLIENT_ID

Apicurio Registry Web 控制台的客户端 ID。

字符串

apicurio-registry

Apicurio Registry 使用 HTTP 基本验证

注意

默认情况下,Apicurio Registry 支持使用 OpenID Connect 进行身份验证。用户(或 API 客户端)必须获取访问令牌,才能向 Apicurio Registry REST API 进行经过身份验证的调用。但是,由于某些工具不支持 OpenID Connect,您还可以将 Apicurio Registry 配置为支持 HTTP 基本身份验证,方法是将以下配置选项设置为 true

表 5.7. 配置 Apicurio Registry HTTP 基本身份验证

环境变量Java 系统属性类型默认值

CLIENT_CREDENTIALS_BASIC_AUTH_ENABLED

registry.auth.basic-auth-client-credentials.enabled

布尔值

false

Apicurio Registry 基于角色的授权

您可以将以下选项设置为 true 以在 Apicurio Registry 中启用基于角色的访问控制:

表 5.8. 配置 Apicurio Registry 基于角色的访问控制

环境变量Java 系统属性类型默认值

ROLE_BASED_AUTHZ_ENABLED

registry.auth.role-based-authorization

布尔值

false

然后,您可以将基于角色的授权配置为使用用户身份验证令牌中包含的角色(例如,在使用 Red Hat Single Sign-On 进行身份验证时)或使用由 Apicurio Registry 内部管理的角色映射。

使用在 Red Hat Single Sign-On 中分配的角色

要使用由 Red Hat Single Sign-On 分配的角色来启用,请设置以下环境变量:

表 5.9. 使用 Red Hat Single Sign-On 配置基于 Apicurio Registry 角色的授权

环境变量描述类型默认

ROLE_BASED_AUTHZ_SOURCE

当设置为 token 时,从身份验证令牌获取用户角色。

字符串

token

REGISTRY_AUTH_ROLES_ADMIN

指明用户的角色名称是管理员。

字符串

sr-admin

REGISTRY_AUTH_ROLES_DEVELOPER

指明用户所属的角色的名称。

字符串

sr-developer

REGISTRY_AUTH_ROLES_READONLY

指明用户具有只读访问权限的角色名称。

字符串

sr-readonly

当 Apicurio Registry 配置为使用来自 Red Hat Single Sign-On 的角色时,您必须将 Apicurio Registry 用户分配给 Red Hat Single Sign-On 中的以下用户角色之一。但是,您可以使用 表 5.9 “使用 Red Hat Single Sign-On 配置基于 Apicurio Registry 角色的授权” 中的环境变量配置不同的用户名。

表 5.10. 用于身份验证和授权的 Apicurio Registry 角色

角色名称读取工件编写工件全局规则描述

sr-admin

对所有创建、读取、更新和删除操作的完整访问权限。

sr-developer

除配置全局规则和导入/导出外,创建、读取、更新和删除操作的访问权限。此角色只能配置工件规则。

sr-readonly

仅读和搜索操作的访问权限。此角色无法配置任何规则。

直接在 Apicurio Registry 中管理角色

要使用由 Apicurio Registry 管理的内部管理的角色,请设置以下环境变量:

表 5.11. 使用内部角色映射配置 Apicurio Registry 基于角色的访问控制

环境变量描述类型默认

ROLE_BASED_AUTHZ_SOURCE

当设置为 application 时,用户角色由 Apicurio Registry 在内部管理。

字符串

token

在使用内部管理的角色映射时,可以使用 Apicurio Registry REST API 中的 /admin/roleMappings 端点来分配角色。如需了解更多详细信息,请参阅 Apicurio Registry REST API 文档

用户可以精确授予一个角色: ADMINDEVELOPERREAD_ONLY。只有具备管理特权的用户才能授予其他用户的访问权限。

Apicurio Registry admin-override 配置

因为 Apicurio Registry 中没有默认的管理员用户,因此为用户授予作为管理员的另一种方法来说通常很有帮助。您可以使用以下环境变量配置此 admin-override 功能:

表 5.12. 配置 Apicurio Registry admin-override

环境变量描述类型默认

REGISTRY_AUTH_ADMIN_OVERRIDE_ENABLED

启用 admin-override 功能。

字符串

false

REGISTRY_AUTH_ADMIN_OVERRIDE_FROM

在哪里查找 admin-override 信息。当前只支持 令牌

字符串

token

REGISTRY_AUTH_ADMIN_OVERRIDE_TYPE

用于确定用户是否为管理员的信息类型。值取决于 FROM 变量的值,如 FROM 为 令牌角色或 声明

字符串

role

REGISTRY_AUTH_ADMIN_OVERRIDE_ROLE

指明用户的角色名称是管理员。

字符串

sr-admin

REGISTRY_AUTH_ADMIN_OVERRIDE_CLAIM

用于确定 admin-override 的 JWT 令牌声明的名称。

字符串

org-admin

REGISTRY_AUTH_ADMIN_OVERRIDE_CLAIM_VALUE

由 CLAIM 变量指示的 JWT 令牌声明的值必须是用户授予 admin-override 的用户。

字符串

true

例如,您可以使用此 admin-override 功能将 sr-admin 角色分配给 Red Hat Single Sign-On 中的单个用户,它为该用户授予 admin 角色。然后,该用户可以使用 /admin/roleMappings REST API (或关联的 UI)向其他用户(包括额外管理员)授予角色。

Apicurio Registry owner-only 授权

您可以将以下选项设置为 true,以启用对 Apicurio Registry 中的工件或工件组进行更新的仅限所有者授权:

表 5.13. 配置仅限所有者的授权

环境变量Java 系统属性类型默认值

REGISTRY_AUTH_OBAC_ENABLED

registry.auth.owner-only-authorization

布尔值

false

REGISTRY_AUTH_OBAC_LIMIT_GROUP_ACCESS

registry.auth.owner-only-authorization.limit-group-access

布尔值

false

当启用了仅限所有者授权时,只有创建工件的用户才能修改或删除该工件。

当启用所有者的授权和组群所有者授权时,只有创建工件组的用户才具有对该工件组的写入权限,例如,要在该组中添加或删除工件。

Apicurio Registry 验证的读访问权限

当启用经过身份验证的用户时,Apicurio Registry 会为来自同一机构中任何经过身份验证的用户的请求提供只读访问权限,无论其用户角色是什么。

要启用经过身份验证的读取访问权限,您必须首先启用基于角色的访问控制,然后将以下选项设置为 true

表 5.14. 配置经过身份验证的用户的读取

环境变量Java 系统属性类型默认值

REGISTRY_AUTH_AUTHENTICATED_READS_ENABLED

registry.auth.authenticated-read-access.enabled

布尔值

false

如需了解更多详细信息,请参阅 “Apicurio Registry 基于角色的授权”一节

Apicurio Registry 匿名只读访问

除了两种主要授权类型外,Apicurio 注册表还支持匿名只读访问选项。

要允许没有身份验证凭证的匿名用户(如 REST API 调用)对 REST API 进行只读调用,请将以下选项设置为 true

表 5.15. 配置匿名只读访问

环境变量Java 系统属性类型默认值

REGISTRY_AUTH_ANONYMOUS_READ_ACCESS_ENABLED

registry.auth.anonymous-read-access.enabled

布尔值

false

其他资源