代表其他用户提交请求
ECE ECK Elastic Cloud 托管 自我管理
Elasticsearch 角色支持 run_as 权限,该权限允许已认证用户代表其他用户提交请求。例如,如果您的外部应用程序被信任用于用户认证,Elasticsearch 可以认证外部应用程序,并使用run as机制,以其他用户的身份发出授权请求,而无需重新认证每个用户。
要“run as”(冒充)另一个用户,第一个用户(认证用户)必须通过支持 run-as 委托的机制进行认证。第二个用户(run_as 用户)必须通过支持按用户名进行委托的 run-as 查找的机制进行授权。
run_as 权限本质上运行起来就像是 委托授权 的二级形式。委托授权应用于认证用户,而 run_as 权限应用于被冒充的用户。
对于认证用户,以下领域(加上 API 密钥)都支持 run_as 委托:原生、文件、Active Directory、JWT、Kerberos、LDAP 和 PKI。
服务令牌、Elasticsearch 令牌服务、SAML 和 OIDC 不支持 run_as 委托。
Elasticsearch 支持所有支持用户查找的领域进行 run_as。并非所有领域都支持用户查找。请参阅支持的领域列表,并确保您希望使用的领域已配置为支持用户查找。
run_as 用户必须从领域检索——不可能以服务账户、API 密钥或访问令牌的身份运行。
要代表其他用户提交请求,您需要在您的角色中拥有 run_as 权限。例如,以下请求创建了一个 my_director 角色,该角色授予代表 jacknich 或 redeniro 提交请求的权限
POST /_security/role/my_director?refresh=true {
"cluster": ["manage"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": [ "manage" ]
}
],
"run_as": [ "jacknich", "rdeniro" ],
"metadata" : {
"version" : 1
}
}
要以另一个用户的身份提交请求,请在 es-security-runas-user 请求头中指定该用户。例如
curl -H "es-security-runas-user: jacknich" -u es-admin -X GET https://:9200/
通过 es-security-runas-user 头传递的 run_as 用户必须来自支持按用户名进行委托授权查找的领域。不支持用户查找的领域不能被其他领域的 run_as 委托使用。
例如,JWT 领域可以认证 JWT 中指定的外部用户,并以 native 领域中的 run_as 用户的身份执行请求。Elasticsearch 将检索指定的 runas 用户,并使用该用户的角色来执行请求。
您可以在使用角色管理 API创建角色时应用 run_as 权限,或者在 Kibana 中使用角色管理 UI。被分配了包含 run_as 权限的角色集的用户,将继承其角色的所有权限,并且还可以代表指定用户提交请求。
认证用户的角色和 run_as 用户的角色不会合并。如果用户在未指定 run_as 参数的情况下进行认证,则仅使用已认证用户的角色。如果用户进行了认证,并且他们的角色包含 run_as 参数,则仅使用 run_as 用户的角色。
在用户成功认证到 Elasticsearch 后,一个授权过程将确定传入请求背后的用户是否允许执行该请求。如果已认证用户在其权限列表中具有 run_as 权限并指定了 run-as 头,Elasticsearch 将丢弃已认证用户及其关联的角色。然后,它将在配置的领域链中的每个领域中进行查找,直到找到与 run_as 用户关联的用户名,并使用这些角色来执行任何请求。
考虑一个管理员角色和一个分析师角色。管理员角色拥有更高的权限,但也可能希望以其他用户的身份提交请求来测试和验证其权限。
此示例使用角色管理 API,但也可以使用 Kibana 中的创建用户和用户页面来设置类似的配置。
创建一个名为
my_admin_role的管理员角色。该角色对整个集群以及一部分索引拥有manage权限。此角色还包含run_as权限,该权限允许拥有此角色的任何用户代表指定的analyst_user提交请求。您可以使用 Kibana 中的角色管理 UI,通过在Elasticsearch部分选择Run As privileges下拉菜单中的
analyst_user来设置类似的角色。POST /_security/role/my_admin_role?refresh=true{ "cluster": ["manage"], "indices": [ { "names": [ "index1", "index2" ], "privileges": [ "manage" ] } ], "applications": [ { "application": "myapp", "privileges": [ "admin", "read" ], "resources": [ "*" ] } ], "run_as": [ "analyst_user" ], "metadata" : { "version" : 1 } }创建一个名为
my_analyst_role的分析师角色,该角色拥有更受限制的monitor集群权限和对一部分索引的manage权限。POST /_security/role/my_analyst_role?refresh=true{ "cluster": [ "monitor"], "indices": [ { "names": [ "index1", "index2" ], "privileges": ["manage"] } ], "applications": [ { "application": "myapp", "privileges": [ "read" ], "resources": [ "*" ] } ], "metadata" : { "version" : 1 } }创建一个管理员用户,并为其分配名为
my_admin_role的角色,该角色允许该用户以analyst_user的身份提交请求。POST /_security/user/admin_user?refresh=true{ "password": "l0ng-r4nd0m-p@ssw0rd", "roles": [ "my_admin_role" ], "full_name": "Eirian Zola", "metadata": { "intelligence" : 7} }创建一个分析师用户,并为其分配名为
my_analyst_role的角色。POST /_security/user/analyst_user?refresh=true{ "password": "l0nger-r4nd0mer-p@ssw0rd", "roles": [ "my_analyst_role" ], "full_name": "Monday Jaffe", "metadata": { "innovation" : 8} }然后,您可以作为
admin_user或analyst_user认证到 Elasticsearch。但是,admin_user可以选择代表analyst_user提交请求。以下请求使用
Basic认证令牌认证到 Elasticsearch,并以analyst_user的身份提交请求curl -s -X GET -H "Authorization: Basic YWRtaW5fdXNlcjpsMG5nLXI0bmQwbS1wQHNzdzByZA==" -H "es-security-runas-user: analyst_user" https://:9200/_security/_authenticate响应表明,
analyst_user提交了此请求,使用了分配给该用户的my_analyst_role。当admin_user提交请求时,Elasticsearch 认证了该用户,丢弃了其角色,然后使用了run_as用户的角色。{"username":"analyst_user","roles":["my_analyst_role"],"full_name":"Monday Jaffe","email":null, "metadata":{"innovation":8},"enabled":true,"authentication_realm":{"name":"native", "type":"native"},"lookup_realm":{"name":"native","type":"native"},"authentication_type":"realm"} %响应中的
authentication_realm和lookup_realm都指定了native领域,因为admin_user和analyst_user都来自该领域。如果两个用户位于不同的领域,authentication_realm和lookup_realm的值将不同(例如pki和native)。