Configurer d’autres méthodes d’authentification pour le connecteur Openflow pour Kafka¶
Note
Le connecteur est soumis aux conditions d’utilisation du connecteur.
Cette rubrique décrit comment configurer d’autres méthodes d’authentification pour le connecteur Openflow pour Kafka. Le connecteur prend en charge plusieurs mécanismes d’authentification au-delà de l’authentification de base SASL.
Note
L’authentification de base SASL est configurée par le biais de contextes de paramètres comme décrit dans Paramétrage du connecteur Openflow pour Kafka. Cette page traite d’autres méthodes d’authentification qui nécessitent une configuration supplémentaire du service.
Méthodes d’authentification prises en charge¶
Le connecteur Openflow pour Kafka prend en charge les mécanismes d’authentification suivants :
SASL avec les mécanismes SASL suivants (configurés via des contextes de paramètres) :
PLAIN
SCRAM-SHA-256
SCRAM-SHA-512
SASL avec AWS MSK IAM (configuration supplémentaire requise via les services)
mTLS (configuration supplémentaire requise via les services)
Configuration de l’authentification mTLS¶
mTLS (mutual Transport Layer Security) exige que le client et le serveur présentent des certificats pour l’authentification mutuelle.
Conditions préalables¶
Avant de configurer l’authentification mTLS, assurez-vous que vous disposez des éléments suivants :
Certificats nécessaires à la fois pour le connecteur et le courtier Kafka générés et configurés
Création d’un keystore contenant la clé privée et le certificat du connecteur
(Facultatif) Créé un Truststore contenant le certificat du courtier Kafka ou un certificat de la chaîne de certification. Cette exigence n’est requise que si le certificat du courtier n’est pas signé par une autorité de certification de confiance (CA).
Les formats de dépôt de clés/truststore pris en charge sont les suivants : PKCS12, JKS, et BCFKS
Étape 1 : Configurer le service contextuel SSL¶
À partir du canevas NiFi, accédez à la configuration Controller Services :
Double-cliquez sur le groupe de traitement du connecteur
Cliquez avec le bouton droit de la souris sur le canevas et sélectionnez Controller Services
Ajoutez un nouveau StandardSSLContextService.
Cliquez sur + pour ajouter un nouveau service de contrôleur.
Sélectionnez StandardSSLContextService dans la liste.
Cliquez sur Add.
Configurez les propriétés du service contextuel SSL :
Propriété
Valeur
Nom de fichier du Keystore
Chemin complet vers votre fichier de stockage de clés (par exemple,
/path/to/client-keystore.p12
), ou référence de l’actifMot de passe du Keystore
Mot de passe pour le Keystore
Type de Keystore
Format de la base de données (
PKCS12
,JKS
, ouBCFKS
)Mot de passe de clé
Mot de passe de la clé privée (si la clé est chiffrée)
Nom du fichier du Truststore
Chemin d’accès complet à votre fichier truststore (par exemple,
/path/to/client-truststore.p12
), ou référence à l’actifMot de passe pour le truststore
Mot de passe pour le truststore
Type de truststore
Format du truststore (
PKCS12
,JKS
, ouBCFKS
)Activez le service contextuel SSL :
Cliquez sur Enable pour accéder au service.
Confirmez que le statut du service est bien Enabled.
Étape 2 : Configuration du service Kafka3Connection¶
Dans le même onglet Controller Services, localisez le service Kafka3Connection.
Configurez les propriétés suivantes :
Propriété
Valeur
Protocole de sécurité
SSL
Service contextuel SSL
Sélectionnez le service contextuel SSL que vous avez créé à l’étape 1
Tous les autres paramètres du service Kafka3Connection restent inchangés
Vérifiez le service Kafka3Connection :
Cliquez sur Verify pour accéder au service.
Confirmez que le statut du service est bien Verified.
Configuration de l’authentification AWS MSK IAM¶
AWS MSK IAM vous permet d’utiliser AWS Identity and Access Management (IAM) pour vous authentifier auprès d’Amazon Managed Streaming for Apache Kafka (MSK).
Conditions préalables¶
Votre cluster Kafka doit être Amazon MSK avec l’authentification IAM activée.
Vous devez fournir des identifiants IAM dans Openflow avec des configurations BYOC (bring your own cloud), déployées dans votre Cloud.
Le rôle ou l’utilisateur de IAM doit disposer des autorisations nécessaires pour MSK.
Étape 1 : Créer AmazonMSKConnectionService¶
À partir du canevas NiFi, accédez à la configuration Controller Services :
Double-cliquez sur le groupe de traitement du connecteur
Cliquez avec le bouton droit de la souris sur le canevas et sélectionnez Controller Services
Ajoutez un nouveau AmazonMSKConnectionService.
Cliquez sur + pour ajouter un nouveau service de contrôleur.
Sélectionnez AmazonMSKConnectionService dans la liste.
Cliquez sur Add.
Configurez les propriétés de AmazonMSKConnectionService :
Propriété
Valeur
Mécanisme SASL
AWS_MSK_IAM
Protocole de sécurité
#{Kafka Security Protocol}
Serveurs Bootstrap
#{Kafka Bootstrap Servers}
Vérifiez le site AmazonMSKConnectionService :
Cliquez sur Verify pour le service
Confirmez que le statut du service est Verified
Étape 2 : Configurer le processeur ConsumeKafka¶
Dans le flux de votre connecteur Kafka, localisez le processeur ConsumeKafka
Configurez le processeur pour qu’il utilise le nouveau service de connexion :
L’ensemble de la propriété Kafka Connection Service correspond à la propriété AmazonMSKConnectionService que vous avez créée dans Étape 1 : Créer AmazonMSKConnectionService.
Étape 3 : Supprimer l’ancien service de connexion Kafka Connect¶
Dans l’onglet Controller Services, localisez l’ancien service Kafka3Connection.
Désactivez et supprimez l’ancien service :
Cliquez sur Disable pour l’ancien service.
Une fois désactivé, cliquez sur Delete pour supprimer l’ancien service.