Аннотация

В статье рассматривается процесс интеграции Apache Kafka с OAuth 2.0 для обеспечения безопасности межсервисного взаимодействия и разграничения прав доступа к топикам.

Рассматриваются ключевые аспекты настройки Kafka Broker'ов и клиентов с использованием механизма SASL/OAUTHBEARER, а также особенности работы с токенами доступа, включающими claims, которые управляют доступом к топикам.

Настройка сервера авторизации Keycloak

a. Установка и запуск Keycloak

• Скачать Keycloak:

  wget <https://github.com/keycloak/keycloak/releases/download/21.1.1/keycloak-21.1.1.zip>
  

• Распаковать архив:

  unzip keycloak-21.1.1.zip
  

• Запустить Keycloak:

  cd keycloak-21.1.1/bin
  ./kc.sh start-dev
  

b. Создание Realm и клиента

• Войти в админ-консоль Keycloak по адресу:

  <http://localhost:8080/>
  

• Создать новый Realm (например, "KafkaRealm").

• В рамках этого Realm создать нового клиента:

  • Client ID: kafka-client
  • Client Protocol: openid-connect
  • Access Type: confidential
  • Настроить секцию "Credentials" и сохранить секрет клиента.

c. Настройка ролей и маппинга ролей в токены

• Создать роли, соответствующие доступам к топикам:
  • Например, topic-read, topic-write, topic-admin.
• Назначить роли клиентам или пользователям.
• Настроить маппинг ролей в claims токена:
  • В секции Client Scopes добавить маппинг для включения ролей в токен:
    • Protocol Mapper: User Realm Role
    • Token Claim Name: roles
    • Claim JSON Type: String
    • Add to access token: True

d. Конфигурация времени жизни токена

• Настроить время жизни токена доступа в соответствии с требованиями безопасности:
  • Access Token Lifespan: например, 5 минут.

Конфигурация Kafka для аутентификации с использованием SASL/OAUTHBEARER