Использование Ranger в NiFi
После активации плагина Ranger NiFi авторизация в пользовательских интерфейсах NiFi Server и NiFi Registry закрыта для всех пользователей, в том числе для администратора NiFi, указанного в NiFi Initial Admin при настройке аутентификации в сервисе NiFi.
После попытки входа под NiFi Initial Admin появляется сообщение об отсутствии настроенной политики для пользователя.
ПРИМЕЧАНИЕ
|
Настройка политики авторизации в NiFi Server
Авторизация NiFi Initial Admin в NiFi Server
Для авторизации NiFi Initial Admin необходимо:
-
Создайте пользователя в Ranger. Для этого в верхнем меню интерфейса Ranger выберите Settings → Users/Groups/Roles и нажать Add new user.
Создание пользователя в RangerСоздание пользователя в Ranger -
В открывшемся окне заполните необходимые данные для пользователя:
-
User Name — имя пользователя. Имя должно совпадать с именем пользователя в базе Active Directory. Значением может быть:
-
полный DN пользователя при установке значения конфигурационного параметра Identity Strategy группы LDAP Login Identitity Provider в
USE_DN
; -
только логин (имя) пользователя при установке Identity Strategy в
USE_USERNAME
.
-
-
New Password — пароль пользователя.
-
Password Confirm — подтверждение пароля пользователя.
-
First Name — личное имя пользователя.
-
Last Name — фамилия пользователя.
-
Email Address — email-адрес пользователя.
-
Select Role — выбор роли пользователя (Admin, User). Это обязательное поле.
-
Group — выбор группы/групп, к которым принадлежит пользователь.
Создание пользователя в RangerСоздание пользователя в Ranger
-
-
Кликнуть Save.
-
В окне Service Manager кликнуть на название службы NiFi.
Переход к созданной службе политикПереход к созданной службе политик -
В открывшемся окне List of Policies кликнуть иконку редактирования созданной политики
all
.Переход к редактированию политики авторизацииПереход к редактированию политики авторизации -
В открывшемся окне редактирования политики в таблице Allow Conditions → Select User выбрать пользователя NiFi Initial Admin, созданного выше.
Добавление пользователя в политику доступаДобавление пользователя в политику доступа -
Внизу страницы кликнуть Save.
В результате пользователю NiFi Initial Admin назначены полные права.
После настройки политики доступа в пользовательском интерфейсе NiFi Server появляется возможность авторизоваться как NiFi Initial Admin. При этом в глобальном меню интерфейса отсутствуют строки Users и Policies — настройка авторизации пользователя осуществляется теперь только при помощи Ranger.
Авторизация нового пользователя
Назначить политики доступа возможно для пользователей Active Directory, находящихся в области поиска (User Search Base), заданной на этапе конфигурации параметров сервиса NiFi.
Для этого необходимо:
-
Создать нового пользователя, как описано выше.
-
В открывшемся окне List of Policies нажмите Add new policy, чтобы добавить новую политику для пользователя.
Создание политики авторизацииСоздание политики авторизации -
В открывшемся окне Create Policy в разделе Policy Details заполните:
-
Policy Name — имя политики. Это имя не может быть дублировано для такого же сервиса в системе. Это поле обязательно для заполнения.
-
Policy Label — предоставляет следующие возможности:
-
Позволяет пользователю группировать наборы политик с помощью одной или нескольких меток.
-
Пользователь может искать политики по названиям меток. Поиск можно осуществлять как на странице списка политик, так и на странице отчета.
-
Помогает пользователю экспортировать/импортировать политики. Если пользователю необходимо экспортировать определенный набор политик, он может найти метку политики и экспортировать определенный набор политик.
-
-
normal/override — указывает политику переопределения. Если выбрано override, права доступа в политике переопределяют разрешения на доступ в существующих политиках.
-
NiFi Resource Identifier — подстановочный знак для идентификации ресурса для чтения и записи к ресурсу /data/*, доступ к которому предоставляется узлам NiFi.
-
Audit Logging — определяет, будет ли проводиться аудит конкретной политики.
-
Discription — цель политики. Это поле является необязательным.
-
-
В разделе Allow Condition окна Create Policy заполните необходимые поля:
-
Select Role — роль, к которой применяется эта политика. Роль — набор разрешений. Роли представляют собой более простой способ управления набором разрешений на основе определенных критериев доступа.
-
Select Group — группа, к которой применяется эта политика. Чтобы повысить статус пользователя до администратора, установите флажок Delegate Admin. Администраторы могут редактировать или удалять политику и создавать дочерние политики. Публичная группа содержит всех пользователей, поэтому предоставление доступа к публичной группе дает доступ всем пользователям.
-
Select User — пользователь, к которому применяется эта политика (вне уже указанной группы). Можно сделать пользователя администратором этой политики. Администраторы могут создавать дочерние политики на основе существующих политик.
-
Permissions — добавляет или удаляет разрешения:
-
Write
— разрешение вносить изменения в интерфейсе NiFi. -
Read
— разрешение читать данные в интерфейсе NiFi.
-
-
Delegate Admin — для назначения привилегий администратора пользователям или группам, указанным в политике.
-
Policy Conditions — нажав + под Add conditions, можно добавить дополнительные условия.
Окно Create PolicyОкно Create Policy
ПРИМЕЧАНИЕУсловия выполняются в порядке, указанном в политике. Сначала применяется условие, находящееся в начале списка, затем второе, третье и так далее. -
-
Кликнуть Add.
Работа авторизованного пользователя в NiFi
После активации Ranger и настройки политики авторизации для пользователя работа в интерфейсе NiFi Server происходит после авторизации в сответствии с назначенной политикой доступа. Например, для пользователя, которому назначено только разрешение Read
, панель инструментов неактивна и возможен только просмотр элементов холста без изменения параметров.
Настройка политики авторизации в NiFi Registry
Авторизация NiFi Initial Admin в NiFi Registry
Для авторизации NiFi Initial Admin в NiFi Registry необходимо:
-
В окне Service Manager кликнуть на название службы NiFi Registry.
Переход к созданной службе политикПереход к созданной службе политик -
В открывшемся окне List of Policies кликнуть иконку редактирования созданной политики
all
.Переход к редактированию политики авторизацииПереход к редактированию политики авторизации -
В открывшемся окне редактирования политики в таблице Allow Conditions → Select User выбрать пользователя NiFi Initial Admin, созданного выше.
Добавление пользователя в политику доступаДобавление пользователя в политику доступа -
Внизу страницы кликнуть Save.
В результате пользователю NiFi Initial Admin назначены полные права.
После настройки политики доступа в пользовательском интерфейсе NiFi Registry появляется возможность авторизоваться как NiFi Initial Admin. При этом в меню настроек отсутствует вкладка Users — настройка авторизации пользователя осуществляется теперь только при помощи Ranger.
Авторизация нового пользователя и создание политики в службе политик NiFi Registry происходит аналогично NiFi Server, при этом пользователям возможно давать следующие разрешения в таблице Allow Conditions → Permissions :
-
Write
— разрешение вносить изменения в группы потоков в интерфейсе NiFi Registry. -
Read
— разрешение читать данные потоков в интерфейсе NiFi Registry. -
Delete
— разрешение удалять потоки.
После активации Ranger и настройки политики авторизации для пользователя работа в интерфейсе NiFi Registry происходит после авторизации в сответствии с назначенной политикой доступа.