Configurer d’autres méthodes d’authentification pour le connecteur Openflow pour Kafka¶

Note

Le connecteur est soumis aux conditions d’utilisation du connecteur.

Cette rubrique décrit comment configurer d’autres méthodes d’authentification pour le connecteur Openflow pour Kafka. Le connecteur prend en charge plusieurs mécanismes d’authentification au-delà de l’authentification de base SASL.

Note

L’authentification de base SASL est configurée par le biais de contextes de paramètres comme décrit dans Paramétrage du connecteur Openflow pour Kafka. Cette page traite d’autres méthodes d’authentification qui nécessitent une configuration supplémentaire du service.

Méthodes d’authentification prises en charge¶

Le connecteur Openflow pour Kafka prend en charge les mécanismes d’authentification suivants :

SASL avec les mécanismes SASL suivants (configurés via des contextes de paramètres) :
- PLAIN
- SCRAM-SHA-256
- SCRAM-SHA-512
SASL avec AWS MSK IAM (configuration supplémentaire requise via les services)
mTLS (configuration supplémentaire requise via les services)

Configuration de l’authentification mTLS¶

mTLS (mutual Transport Layer Security) exige que le client et le serveur présentent des certificats pour l’authentification mutuelle.

Conditions préalables¶

Avant de configurer l’authentification mTLS, assurez-vous que vous disposez des éléments suivants :

Certificats nécessaires à la fois pour le connecteur et le courtier Kafka générés et configurés
Création d’un keystore contenant la clé privée et le certificat du connecteur
(Facultatif) Créé un Truststore contenant le certificat du courtier Kafka ou un certificat de la chaîne de certification. Cette exigence n’est requise que si le certificat du courtier n’est pas signé par une autorité de certification de confiance (CA).
Les formats de dépôt de clés/truststore pris en charge sont les suivants : PKCS12, JKS, et BCFKS

Étape 1 : Configurer le service contextuel SSL¶

À partir du canevas NiFi, accédez à la configuration Controller Services :
- Double-cliquez sur le groupe de traitement du connecteur
- Cliquez avec le bouton droit de la souris sur le canevas et sélectionnez Controller Services
Ajoutez un nouveau StandardSSLContextService.
- Cliquez sur + pour ajouter un nouveau service de contrôleur.
- Sélectionnez StandardSSLContextService dans la liste.
- Cliquez sur Add.

Configurez les propriétés du service contextuel SSL :

Propriété	Valeur
Nom de fichier du Keystore	Chemin complet vers votre fichier de stockage de clés (par exemple, `/path/to/client-keystore.p12`), ou référence de l’actif
Mot de passe du Keystore	Mot de passe pour le Keystore
Type de Keystore	Format de la base de données (`PKCS12`, `JKS`, ou `BCFKS`)
Mot de passe de clé	Mot de passe de la clé privée (si la clé est chiffrée)
Nom du fichier du Truststore	Chemin d’accès complet à votre fichier truststore (par exemple, `/path/to/client-truststore.p12`), ou référence à l’actif
Mot de passe pour le truststore	Mot de passe pour le truststore
Type de truststore	Format du truststore (`PKCS12`, `JKS`, ou `BCFKS`)

Activez le service contextuel SSL :
- Cliquez sur Enable pour accéder au service.
- Confirmez que le statut du service est bien Enabled.

Étape 2 : Configuration du service Kafka3Connection¶

Dans le même onglet Controller Services, localisez le service Kafka3Connection.
Configurez les propriétés suivantes :

Propriété

Valeur

Protocole de sécurité

SSL

Service contextuel SSL

Sélectionnez le service contextuel SSL que vous avez créé à l’étape 1
Tous les autres paramètres du service Kafka3Connection restent inchangés
Vérifiez le service Kafka3Connection :
- Cliquez sur Verify pour accéder au service.
- Confirmez que le statut du service est bien Verified.

Propriété	Valeur
Protocole de sécurité	`SSL`
Service contextuel SSL	Sélectionnez le service contextuel SSL que vous avez créé à l’étape 1

Configuration de l’authentification AWS MSK IAM¶

AWS MSK IAM vous permet d’utiliser AWS Identity and Access Management (IAM) pour vous authentifier auprès d’Amazon Managed Streaming for Apache Kafka (MSK).

Conditions préalables¶

Votre cluster Kafka doit être Amazon MSK avec l’authentification IAM activée.
Vous devez fournir des identifiants IAM dans Openflow avec des configurations BYOC (bring your own cloud), déployées dans votre Cloud.
Le rôle ou l’utilisateur de IAM doit disposer des autorisations nécessaires pour MSK.

Étape 1 : Créer AmazonMSKConnectionService¶

À partir du canevas NiFi, accédez à la configuration Controller Services :
- Double-cliquez sur le groupe de traitement du connecteur
- Cliquez avec le bouton droit de la souris sur le canevas et sélectionnez Controller Services
Ajoutez un nouveau AmazonMSKConnectionService.
- Cliquez sur + pour ajouter un nouveau service de contrôleur.
- Sélectionnez AmazonMSKConnectionService dans la liste.
- Cliquez sur Add.
Configurez les propriétés de AmazonMSKConnectionService :

Propriété

Valeur

Mécanisme SASL

AWS_MSK_IAM

Protocole de sécurité

#{Kafka Security Protocol}

Serveurs Bootstrap

#{Kafka Bootstrap Servers}
Vérifiez le site AmazonMSKConnectionService :
- Cliquez sur Verify pour le service
- Confirmez que le statut du service est Verified

Propriété	Valeur
Mécanisme SASL	`AWS_MSK_IAM`
Protocole de sécurité	`#{Kafka Security Protocol}`
Serveurs Bootstrap	`#{Kafka Bootstrap Servers}`

Étape 2 : Configurer le processeur ConsumeKafka¶

Dans le flux de votre connecteur Kafka, localisez le processeur ConsumeKafka
Configurez le processeur pour qu’il utilise le nouveau service de connexion :
- L’ensemble de la propriété Kafka Connection Service correspond à la propriété AmazonMSKConnectionService que vous avez créée dans Étape 1 : Créer AmazonMSKConnectionService.

Étape 3 : Supprimer l’ancien service de connexion Kafka Connect¶

Dans l’onglet Controller Services, localisez l’ancien service Kafka3Connection.
Désactivez et supprimez l’ancien service :
- Cliquez sur Disable pour l’ancien service.
- Une fois désactivé, cliquez sur Delete pour supprimer l’ancien service.