代表其他用户提交请求
编辑代表其他用户提交请求
编辑Elasticsearch 角色支持 run_as 权限,该权限允许已认证用户代表其他用户提交请求。例如,如果您的外部应用程序被信任以验证用户身份,则 Elasticsearch 可以验证外部应用程序的身份,并使用以身份运行机制以其他用户的身份发出授权请求,而无需重新验证每个用户的身份。
要“以身份运行”(模拟)另一个用户,第一个用户(认证用户)必须通过支持以身份运行委托的机制进行身份验证。第二个用户(run_as 用户)必须通过支持按用户名委派以身份运行查找的机制进行授权。
run_as 权限本质上类似于第二种形式的委托授权。委托授权适用于认证用户,而 run_as 权限适用于被模拟的用户。
- 认证用户
对于认证用户,以下领域(加上 API 密钥)都支持 run_as 委托:native、file、Active Directory、JWT、Kerberos、LDAP 和 PKI。
服务令牌、Elasticsearch 令牌服务、SAML 2.0 和 OIDC 1.0 不支持 run_as 委托。
-
run_as用户
Elasticsearch 支持任何支持用户查找的领域的 run_as。并非所有领域都支持用户查找。请参阅支持的领域列表,并确保您希望使用的领域以支持用户查找的方式进行配置。
run_as 用户必须从领域检索 - 不可能以服务帐户、API 密钥或访问令牌的身份运行。
要代表其他用户提交请求,您需要在您的角色中拥有 run_as 权限。例如,以下请求创建一个 my_director 角色,该角色授予代表 jacknich 或 redeniro 提交请求的权限
resp = client.security.put_role(
name="my_director",
refresh=True,
cluster=[
"manage"
],
indices=[
{
"names": [
"index1",
"index2"
],
"privileges": [
"manage"
]
}
],
run_as=[
"jacknich",
"rdeniro"
],
metadata={
"version": 1
},
)
print(resp)
const response = await client.security.putRole({
name: "my_director",
refresh: "true",
cluster: ["manage"],
indices: [
{
names: ["index1", "index2"],
privileges: ["manage"],
},
],
run_as: ["jacknich", "rdeniro"],
metadata: {
version: 1,
},
});
console.log(response);
POST /_security/role/my_director?refresh=true
{
"cluster": ["manage"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": [ "manage" ]
}
],
"run_as": [ "jacknich", "rdeniro" ],
"metadata" : {
"version" : 1
}
}
要以另一个用户的身份提交请求,您需要在 es-security-runas-user 请求标头中指定该用户。例如
curl -H "es-security-runas-user: jacknich" -u es-admin -X GET https://127.0.0.1:9200/
通过 es-security-runas-user 标头传递的 run_as 用户必须可以从支持按用户名进行委托授权查找的领域获得。不支持用户查找的领域不能用于其他领域的 run_as 委托。
例如,JWT 领域可以验证 JWT 中指定的外部用户,并以 native 领域中的 run_as 用户身份执行请求。Elasticsearch 将检索指示的 runas 用户,并使用其角色以该用户身份执行请求。
将 run_as 权限应用于角色
编辑您可以在使用创建或更新角色 API 创建角色时应用 run_as 权限。分配有包含 run_as 权限的角色的用户会继承其角色的所有权限,并且还可以代表指定的用户提交请求。
认证用户和 run_as 用户的角色不会合并。如果用户在未指定 run_as 参数的情况下进行身份验证,则仅使用认证用户的角色。如果用户进行身份验证且其角色包含 run_as 参数,则仅使用 run_as 用户的角色。
用户成功向 Elasticsearch 验证身份后,授权过程会确定是否允许传入请求背后的用户运行该请求。如果经过身份验证的用户在其权限列表中具有 run_as 权限并指定了以身份运行标头,则 Elasticsearch 会放弃经过身份验证的用户及其关联的角色。然后,它会在领域链中配置的每个领域中查找,直到找到与 run_as 用户关联的用户名,并使用这些角色执行任何请求。
考虑一个管理员角色和一个分析师角色。管理员角色具有更高的权限,但也可能希望以另一个用户的身份提交请求,以测试和验证其权限。
首先,我们将创建一个名为 my_admin_role 的管理员角色。此角色在整个集群和索引的子集上具有 manage 权限。此角色还包含 run_as 权限,该权限允许具有此角色的任何用户代表指定的 analyst_user 提交请求。
resp = client.security.put_role(
name="my_admin_role",
refresh=True,
cluster=[
"manage"
],
indices=[
{
"names": [
"index1",
"index2"
],
"privileges": [
"manage"
]
}
],
applications=[
{
"application": "myapp",
"privileges": [
"admin",
"read"
],
"resources": [
"*"
]
}
],
run_as=[
"analyst_user"
],
metadata={
"version": 1
},
)
print(resp)
const response = await client.security.putRole({
name: "my_admin_role",
refresh: "true",
cluster: ["manage"],
indices: [
{
names: ["index1", "index2"],
privileges: ["manage"],
},
],
applications: [
{
application: "myapp",
privileges: ["admin", "read"],
resources: ["*"],
},
],
run_as: ["analyst_user"],
metadata: {
version: 1,
},
});
console.log(response);
POST /_security/role/my_admin_role?refresh=true
{
"cluster": ["manage"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": [ "manage" ]
}
],
"applications": [
{
"application": "myapp",
"privileges": [ "admin", "read" ],
"resources": [ "*" ]
}
],
"run_as": [ "analyst_user" ],
"metadata" : {
"version" : 1
}
}
接下来,我们将创建一个名为 my_analyst_role 的分析师角色,该角色具有更受限制的 monitor 集群权限和索引子集的 manage 权限。
resp = client.security.put_role(
name="my_analyst_role",
refresh=True,
cluster=[
"monitor"
],
indices=[
{
"names": [
"index1",
"index2"
],
"privileges": [
"manage"
]
}
],
applications=[
{
"application": "myapp",
"privileges": [
"read"
],
"resources": [
"*"
]
}
],
metadata={
"version": 1
},
)
print(resp)
const response = await client.security.putRole({
name: "my_analyst_role",
refresh: "true",
cluster: ["monitor"],
indices: [
{
names: ["index1", "index2"],
privileges: ["manage"],
},
],
applications: [
{
application: "myapp",
privileges: ["read"],
resources: ["*"],
},
],
metadata: {
version: 1,
},
});
console.log(response);
POST /_security/role/my_analyst_role?refresh=true
{
"cluster": [ "monitor"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": ["manage"]
}
],
"applications": [
{
"application": "myapp",
"privileges": [ "read" ],
"resources": [ "*" ]
}
],
"metadata" : {
"version" : 1
}
}
我们将创建一个管理员用户并为其分配名为 my_admin_role 的角色,这允许该用户以 analyst_user 的身份提交请求。
resp = client.security.put_user(
username="admin_user",
refresh=True,
password="l0ng-r4nd0m-p@ssw0rd",
roles=[
"my_admin_role"
],
full_name="Eirian Zola",
metadata={
"intelligence": 7
},
)
print(resp)
const response = await client.security.putUser({
username: "admin_user",
refresh: "true",
password: "l0ng-r4nd0m-p@ssw0rd",
roles: ["my_admin_role"],
full_name: "Eirian Zola",
metadata: {
intelligence: 7,
},
});
console.log(response);
POST /_security/user/admin_user?refresh=true
{
"password": "l0ng-r4nd0m-p@ssw0rd",
"roles": [ "my_admin_role" ],
"full_name": "Eirian Zola",
"metadata": { "intelligence" : 7}
}
我们还可以创建一个分析师用户并为其分配名为 my_analyst_role 的角色。
resp = client.security.put_user(
username="analyst_user",
refresh=True,
password="l0nger-r4nd0mer-p@ssw0rd",
roles=[
"my_analyst_role"
],
full_name="Monday Jaffe",
metadata={
"innovation": 8
},
)
print(resp)
const response = await client.security.putUser({
username: "analyst_user",
refresh: "true",
password: "l0nger-r4nd0mer-p@ssw0rd",
roles: ["my_analyst_role"],
full_name: "Monday Jaffe",
metadata: {
innovation: 8,
},
});
console.log(response);
POST /_security/user/analyst_user?refresh=true
{
"password": "l0nger-r4nd0mer-p@ssw0rd",
"roles": [ "my_analyst_role" ],
"full_name": "Monday Jaffe",
"metadata": { "innovation" : 8}
}
然后,您可以以 admin_user 或 analyst_user 的身份向 Elasticsearch 验证身份。但是,admin_user 可以选择代表 analyst_user 提交请求。以下请求使用 Basic 授权令牌向 Elasticsearch 验证身份,并以 analyst_user 的身份提交请求
curl -s -X GET -H "Authorization: Basic YWRtaW5fdXNlcjpsMG5nLXI0bmQwbS1wQHNzdzByZA==" -H "es-security-runas-user: analyst_user" https://127.0.0.1:9200/_security/_authenticate
响应表明 analyst_user 使用分配给该用户的 my_analyst_role 提交了此请求。当 admin_user 提交请求时,Elasticsearch 对该用户进行了身份验证,放弃了他们的角色,然后使用了 run_as 用户的角色。
{"username":"analyst_user","roles":["my_analyst_role"],"full_name":"Monday Jaffe","email":null,
"metadata":{"innovation":8},"enabled":true,"authentication_realm":{"name":"native",
"type":"native"},"lookup_realm":{"name":"native","type":"native"},"authentication_type":"realm"}
%
响应中的 authentication_realm 和 lookup_realm 都指定了 native 领域,因为 admin_user 和 analyst_user 都来自该领域。如果两个用户位于不同的领域,则 authentication_realm 和 lookup_realm 的值将不同(例如 pki 和 native)。