代表其他用户提交请求
编辑代表其他用户提交请求编辑
Elasticsearch 角色支持 run_as 权限,该权限允许经过身份验证的用户代表其他用户提交请求。例如,如果您的外部应用程序被信任可以对用户进行身份验证,则 Elasticsearch 可以对外部应用程序进行身份验证,并使用*run as*机制以其他用户的身份发出授权请求,而无需重新验证每个用户。
要“以...身份运行”(模拟)另一个用户,第一个用户(身份验证用户)必须通过支持 run-as 委托的机制进行身份验证。第二个用户(run_as 用户)必须通过支持按用户名查找委托 run-as 的机制进行授权。
run_as 权限本质上类似于委托授权的辅助形式。委托授权适用于身份验证用户,而 run_as 权限适用于被模拟的用户。
- 身份验证用户
对于身份验证用户,以下领域(以及 API 密钥)都支持 run_as 委托:native、file、Active Directory、JWT、Kerberos、LDAP 和 PKI。
服务令牌、Elasticsearch 令牌服务、SAML 2.0 和 OIDC 1.0 不支持 run_as 委托。
-
run_as用户
Elasticsearch 支持对任何支持用户查找的领域的 run_as。并非所有领域都支持用户查找。请参阅受支持的领域列表,并确保要使用的领域配置为支持用户查找。
run_as 用户必须从领域中检索 - 不可能以服务帐户、API 密钥或访问令牌的身份运行。
要代表其他用户提交请求,您需要在您的角色中拥有 run_as 权限。例如,以下请求创建了一个 my_director 角色,该角色授予代表 jacknich 或 redeniro 提交请求的权限
POST /_security/role/my_director?refresh=true
{
"cluster": ["manage"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": [ "manage" ]
}
],
"run_as": [ "jacknich", "rdeniro" ],
"metadata" : {
"version" : 1
}
}
要以另一个用户的身份提交请求,请在 es-security-runas-user 请求标头中指定该用户。例如
curl -H "es-security-runas-user: jacknich" -u es-admin -X GET https://127.0.0.1:9200/
通过 es-security-runas-user 标头传入的 run_as 用户必须可从支持按用户名查找委托授权的领域中获取。不支持用户查找的领域不能通过来自其他领域的 run_as 委托使用。
例如,JWT 领域可以对 JWT 中指定的外部用户进行身份验证,并以 native 领域中的 run_as 用户身份执行请求。Elasticsearch 将检索指示的 runas 用户,并使用其角色以该用户的身份执行请求。
将 run_as 权限应用于角色编辑
您可以在使用创建或更新角色 API创建角色时应用 run_as 权限。分配了包含 run_as 权限的角色的用户将继承其角色的所有权限,并且还可以代表指示的用户提交请求。
不会合并已验证用户和 run_as 用户的角色。如果用户在未指定 run_as 参数的情况下进行身份验证,则仅使用已验证用户的角色。如果用户进行身份验证并且其角色包含 run_as 参数,则仅使用 run_as 用户的角色。
在用户成功向 Elasticsearch 进行身份验证后,授权过程将确定传入请求背后的用户是否被允许运行该请求。如果经过身份验证的用户在其权限列表中具有 run_as 权限并指定了 run-as 标头,则 Elasticsearch 会*丢弃*经过身份验证的用户和关联的角色。然后,它会在领域链中配置的每个领域中查找,直到找到与 run_as 用户关联的用户名,并使用这些角色来执行任何请求。
考虑一个管理员角色和一个分析师角色。管理员角色具有更高的权限,但也可能希望以另一个用户的身份提交请求以测试和验证其权限。
首先,我们将创建一个名为 my_admin_role 的管理员角色。此角色对整个集群以及索引子集具有 manage 权限。此角色还包含 run_as 权限,该权限允许任何具有此角色的用户代表指定的 analyst_user 提交请求。
POST /_security/role/my_admin_role?refresh=true
{
"cluster": ["manage"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": [ "manage" ]
}
],
"applications": [
{
"application": "myapp",
"privileges": [ "admin", "read" ],
"resources": [ "*" ]
}
],
"run_as": [ "analyst_user" ],
"metadata" : {
"version" : 1
}
}
接下来,我们将创建一个名为 my_analyst_role 的分析师角色,该角色对索引子集具有更受限制的 monitor 集群权限和 manage 权限。
POST /_security/role/my_analyst_role?refresh=true
{
"cluster": [ "monitor"],
"indices": [
{
"names": [ "index1", "index2" ],
"privileges": ["manage"]
}
],
"applications": [
{
"application": "myapp",
"privileges": [ "read" ],
"resources": [ "*" ]
}
],
"metadata" : {
"version" : 1
}
}
我们将创建一个管理员用户并为其分配名为 my_admin_role 的角色,该角色允许此用户以 analyst_user 的身份提交请求。
POST /_security/user/admin_user?refresh=true
{
"password": "l0ng-r4nd0m-p@ssw0rd",
"roles": [ "my_admin_role" ],
"full_name": "Eirian Zola",
"metadata": { "intelligence" : 7}
}
我们还可以创建一个分析师用户并为其分配名为 my_analyst_role 的角色。
POST /_security/user/analyst_user?refresh=true
{
"password": "l0nger-r4nd0mer-p@ssw0rd",
"roles": [ "my_analyst_role" ],
"full_name": "Monday Jaffe",
"metadata": { "innovation" : 8}
}
然后,您可以以 admin_user 或 analyst_user 的身份向 Elasticsearch 进行身份验证。但是,admin_user 可以选择代表 analyst_user 提交请求。以下请求使用 Basic 授权令牌向 Elasticsearch 进行身份验证,并以 analyst_user 的身份提交请求
curl -s -X GET -H "Authorization: Basic YWRtaW5fdXNlcjpsMG5nLXI0bmQwbS1wQHNzdzByZA==" -H "es-security-runas-user: analyst_user" https://127.0.0.1:9200/_security/_authenticate
响应表明 analyst_user 提交了此请求,并使用了分配给该用户的 my_analyst_role。当 admin_user 提交请求时,Elasticsearch 对该用户进行了身份验证,丢弃了其角色,然后使用了 run_as 用户的角色。
{"username":"analyst_user","roles":["my_analyst_role"],"full_name":"Monday Jaffe","email":null,
"metadata":{"innovation":8},"enabled":true,"authentication_realm":{"name":"native",
"type":"native"},"lookup_realm":{"name":"native","type":"native"},"authentication_type":"realm"}
%
响应中的 authentication_realm 和 lookup_realm 都指定了 native 领域,因为 admin_user 和 analyst_user 都来自该领域。如果两个用户位于不同的领域,则 authentication_realm 和 lookup_realm 的值将不同(例如 pki 和 native)。