Configurer d’autres méthodes d’authentification pour le connecteur Openflow pour Kafka

Note

Le connecteur est soumis aux conditions d’utilisation du connecteur.

Cette rubrique décrit comment configurer d’autres méthodes d’authentification pour le connecteur Openflow pour Kafka. Le connecteur prend en charge plusieurs mécanismes d’authentification au-delà de l’authentification de base SASL.

Note

L’authentification de base SASL est configurée par le biais de contextes de paramètres comme décrit dans Paramétrage du connecteur Openflow pour Kafka. Cette page traite d’autres méthodes d’authentification qui nécessitent une configuration supplémentaire du service.

Méthodes d’authentification prises en charge

Le connecteur Openflow pour Kafka prend en charge les mécanismes d’authentification suivants :

  • SASL avec les mécanismes SASL suivants (configurés via des contextes de paramètres) :

    • PLAIN

    • SCRAM-SHA-256

    • SCRAM-SHA-512

  • SASL avec AWS MSK IAM (configuration supplémentaire requise via les services)

  • mTLS (configuration supplémentaire requise via les services)

Configuration de l’authentification mTLS

mTLS (mutual Transport Layer Security) exige que le client et le serveur présentent des certificats pour l’authentification mutuelle.

Conditions préalables

Avant de configurer l’authentification mTLS, assurez-vous que vous disposez des éléments suivants :

  1. Certificats nécessaires à la fois pour le connecteur et le courtier Kafka générés et configurés

  2. Création d’un keystore contenant la clé privée et le certificat du connecteur

  3. (Facultatif) Créé un Truststore contenant le certificat du courtier Kafka ou un certificat de la chaîne de certification. Cette exigence n’est requise que si le certificat du courtier n’est pas signé par une autorité de certification de confiance (CA).

  4. Les formats de dépôt de clés/truststore pris en charge sont les suivants : PKCS12, JKS, et BCFKS

Étape 1 : Configurer le service contextuel SSL

  1. À partir du canevas NiFi, accédez à la configuration Controller Services :

    • Double-cliquez sur le groupe de traitement du connecteur

    • Cliquez avec le bouton droit de la souris sur le canevas et sélectionnez Controller Services

  2. Ajoutez un nouveau StandardSSLContextService.

    • Cliquez sur + pour ajouter un nouveau service de contrôleur.

    • Sélectionnez StandardSSLContextService dans la liste.

    • Cliquez sur Add.

  3. Configurez les propriétés du service contextuel SSL :

    Propriété

    Valeur

    Nom de fichier du Keystore

    Chemin complet vers votre fichier de stockage de clés (par exemple, /path/to/client-keystore.p12), ou référence de l’actif

    Mot de passe du Keystore

    Mot de passe pour le Keystore

    Type de Keystore

    Format de la base de données (PKCS12, JKS, ou BCFKS)

    Mot de passe de clé

    Mot de passe de la clé privée (si la clé est chiffrée)

    Nom du fichier du Truststore

    Chemin d’accès complet à votre fichier truststore (par exemple, /path/to/client-truststore.p12), ou référence à l’actif

    Mot de passe pour le truststore

    Mot de passe pour le truststore

    Type de truststore

    Format du truststore (PKCS12, JKS, ou BCFKS)

  4. Activez le service contextuel SSL :

    • Cliquez sur Enable pour accéder au service.

    • Confirmez que le statut du service est bien Enabled.

Étape 2 : Configuration du service Kafka3Connection

  1. Dans le même onglet Controller Services, localisez le service Kafka3Connection.

  2. Configurez les propriétés suivantes :

    Propriété

    Valeur

    Protocole de sécurité

    SSL

    Service contextuel SSL

    Sélectionnez le service contextuel SSL que vous avez créé à l’étape 1

  3. Tous les autres paramètres du service Kafka3Connection restent inchangés

  4. Vérifiez le service Kafka3Connection :

    • Cliquez sur Verify pour accéder au service.

    • Confirmez que le statut du service est bien Verified.

Configuration de l’authentification AWS MSK IAM

AWS MSK IAM vous permet d’utiliser AWS Identity and Access Management (IAM) pour vous authentifier auprès d’Amazon Managed Streaming for Apache Kafka (MSK).

Conditions préalables

  1. Votre cluster Kafka doit être Amazon MSK avec l’authentification IAM activée.

  2. Vous devez fournir des identifiants IAM dans Openflow avec des configurations BYOC (bring your own cloud), déployées dans votre Cloud.

  3. Le rôle ou l’utilisateur de IAM doit disposer des autorisations nécessaires pour MSK.

Étape 1 : Créer AmazonMSKConnectionService

  1. À partir du canevas NiFi, accédez à la configuration Controller Services :

    • Double-cliquez sur le groupe de traitement du connecteur

    • Cliquez avec le bouton droit de la souris sur le canevas et sélectionnez Controller Services

  2. Ajoutez un nouveau AmazonMSKConnectionService.

    • Cliquez sur + pour ajouter un nouveau service de contrôleur.

    • Sélectionnez AmazonMSKConnectionService dans la liste.

    • Cliquez sur Add.

  3. Configurez les propriétés de AmazonMSKConnectionService :

    Propriété

    Valeur

    Mécanisme SASL

    AWS_MSK_IAM

    Protocole de sécurité

    #{Kafka Security Protocol}

    Serveurs Bootstrap

    #{Kafka Bootstrap Servers}

  4. Vérifiez le site AmazonMSKConnectionService :

    • Cliquez sur Verify pour le service

    • Confirmez que le statut du service est Verified

Étape 2 : Configurer le processeur ConsumeKafka

  1. Dans le flux de votre connecteur Kafka, localisez le processeur ConsumeKafka

  2. Configurez le processeur pour qu’il utilise le nouveau service de connexion :

Étape 3 : Supprimer l’ancien service de connexion Kafka Connect

  1. Dans l’onglet Controller Services, localisez l’ancien service Kafka3Connection.

  2. Désactivez et supprimez l’ancien service :

    • Cliquez sur Disable pour l’ancien service.

    • Une fois désactivé, cliquez sur Delete pour supprimer l’ancien service.