领域
编辑领域
编辑Elastic Stack 安全功能通过使用领域和一个或多个基于令牌的身份验证服务来验证用户。
领域用于基于身份验证令牌解析和验证用户。安全功能提供以下内置领域:
- native
- 一个内部领域,用户存储在专用的 Elasticsearch 索引中。此领域支持用户名和密码形式的身份验证令牌,并且在未显式配置任何领域时默认可用。用户通过用户管理 API 进行管理。请参阅本地用户身份验证。
- ldap
- 一个使用外部 LDAP 服务器验证用户的领域。此领域支持用户名和密码形式的身份验证令牌,并且需要显式配置才能使用。请参阅LDAP 用户身份验证。
- active_directory
- 一个使用外部 Active Directory 服务器验证用户的领域。使用此领域,用户通过用户名和密码进行身份验证。请参阅Active Directory 用户身份验证。
- pki
- 一个使用公钥基础设施 (PKI) 验证用户的领域。此领域与 SSL/TLS 结合使用,并通过客户端 X.509 证书的专有名称 (DN) 来识别用户。请参阅PKI 用户身份验证。
- file
- 一个内部领域,用户在存储在 Elasticsearch 集群中每个节点上的文件中定义。此领域支持用户名和密码形式的身份验证令牌,并且始终可用。请参阅基于文件的用户身份验证。
- saml
- 一个使用 SAML 2.0 Web SSO 协议促进身份验证的领域。此领域旨在支持通过 Kibana 进行身份验证,不适用于 REST API。请参阅SAML 身份验证。
- kerberos
- 一个使用 Kerberos 身份验证来验证用户的领域。用户基于 Kerberos 票据进行身份验证。请参阅Kerberos 身份验证。
- oidc
- 一个使用 OpenID Connect 促进身份验证的领域。它使 Elasticsearch 可以充当 OpenID Connect 依赖方 (RP),并在 Kibana 中提供单点登录 (SSO) 支持。请参阅使用 OpenID Connect 配置到 Elastic Stack 的单点登录。
- jwt
- 一个促进使用 JWT 身份令牌作为身份验证持有者令牌的领域。兼容的令牌是 OpenID Connect ID 令牌,或包含相同声明的自定义 JWT。请参阅JWT 身份验证。
安全功能还支持自定义领域。如果需要与其他身份验证系统集成,您可以构建自定义领域插件。有关详细信息,请参阅与其他身份验证系统集成。
内部和外部领域
编辑领域类型大致可以分为两类:
- 内部
- Elasticsearch 内部的领域,不需要与外部方进行任何通信。它们完全由 Elastic Stack 安全功能管理。每种内部领域类型最多只能配置一个领域。安全功能提供两种内部领域类型:
native和file。 - 外部
- 需要与 Elasticsearch 外部的方/组件(通常是企业级身份管理系统)进行交互的领域。与内部领域不同,可以根据需要配置任意数量的外部领域 - 每个领域都有其唯一的名称和配置。安全功能提供以下外部领域类型:
ldap、active_directory、saml、kerberos和pki。