域
编辑域编辑
Elastic Stack 安全功能通过使用域和一个或多个基于令牌的身份验证服务对用户进行身份验证。
域用于根据身份验证令牌解析和验证用户。安全功能提供以下内置域
- native
- 一个内部域,其中用户存储在专用的 Elasticsearch 索引中。此域支持以用户名和密码形式的身份验证令牌,并且在未显式配置任何域时默认可用。用户通过用户管理 API进行管理。请参阅本地用户身份验证。
- ldap
- 使用外部 LDAP 服务器对用户进行身份验证的域。此域支持以用户名和密码形式的身份验证令牌,并且需要显式配置才能使用。请参阅LDAP 用户身份验证。
- active_directory
- 使用外部 Active Directory 服务器对用户进行身份验证的域。使用此域,用户通过用户名和密码进行身份验证。请参阅Active Directory 用户身份验证。
- pki
- 使用公钥基础结构 (PKI) 对用户进行身份验证的域。此域与 SSL/TLS 结合使用,并通过客户端 X.509 证书的专有名称 (DN) 标识用户。请参阅PKI 用户身份验证。
- file
- 一个内部域,其中用户在 Elasticsearch 集群中每个节点上存储的文件中定义。此域支持以用户名和密码形式的身份验证令牌,并且始终可用。请参阅基于文件的用户身份验证。
- saml
- 使用 SAML 2.0 Web SSO 协议促进身份验证的域。此域旨在支持通过 Kibana 进行身份验证,不适用于 REST API。请参阅SAML 身份验证。
- kerberos
- 使用 Kerberos 身份验证对用户进行身份验证的域。用户根据 Kerberos 票证进行身份验证。请参阅Kerberos 身份验证。
- oidc
- 使用 OpenID Connect 促进身份验证的域。它使 Elasticsearch 能够充当 OpenID Connect 依赖方 (RP),并在 Kibana 中提供单点登录 (SSO) 支持。请参阅使用 OpenID Connect 配置 Elastic Stack 的单点登录。
- jwt
- 一个促进使用 JWT 身份令牌作为身份验证承载令牌的域。兼容的令牌是 OpenID Connect ID 令牌或包含相同声明的自定义 JWT。请参阅JWT 身份验证。
安全功能还支持自定义域。如果您需要与其他身份验证系统集成,则可以构建自定义域插件。有关更多信息,请参阅与其他身份验证系统集成。
内部域和外部域编辑
域类型大致可以分为两类
- 内部
- Elasticsearch 内部的域,不需要与外部各方进行任何通信。它们完全由 Elastic Stack 安全功能管理。每个内部域类型最多只能有一个配置的域。安全功能提供两种内部域类型:
native和file。 - 外部
- 需要与 Elasticsearch 外部的各方/组件(通常是企业级身份管理系统)进行交互的域。与内部域不同,外部域可以有任意多个,每个域都有其唯一的名称和配置。安全功能提供以下外部域类型:
ldap、active_directory、saml、kerberos和pki。