旧バージョンのドキュメントを参照しています。 最新のドキュメントはこちらをご参照ください。
Kong Managerでの認証と承認
Kong Managerを使用すると、管理者アカウントを持つユーザーはサービス、プラグイン、コンシューマなどのKongエンティティにアクセスできます。
認証の構成
Kong Gatewayには、Kong Managerを保護するために使用できる認証プラグインがパッケージ化されています。Kong Manager のみ の認証プラグインを有効にするには、 kong.conf
で次のプロパティを設定する必要があります。
-
enforce_rbac
の設定をon
-
admin_gui_auth
を希望の認証タイプに設定します(例:basic-auth
)。 - セッションシークレットを使用した
admin_gui_session_conf
の構成 - オプションで、認証タイプに合わせてカスタム構成で
admin_gui_auth_conf
を構成します
構成の詳細は、認証タイプによって異なります。
Kong Managerは現在、次の認証プラグインをサポートしています。
上記の認証プラグインに加えて、 セッションプラグイン RBAC が有効な場合に必要です。クライアントのリクエストを認証し、セッション情報を維持するためにHTTPクッキーを送信します。
注: Kong Managerが2FA、MFA、OTP、CAPTCHA、またはreCAPTCHAを直接提供するわけではありませんが、 OIDC認証を使用するようにKong Managerを構成すると、OIDCプロバイダーを介して二次的認証を提供できます。
セッションプラグイン (admin_gui_session_conf
で構成)にはシークレットが必要であり、デフォルトで安全に構成されています。
- どのような状況においても、
secret
は手動で文字列に設定する必要があります。 - HTTPSではなくHTTPを使用する場合は、
cookie_secure
を手動でfalse
に設定する必要があります。* Admin API と Kong Manager に異なるドメインを使用する場合は、cookie_same_site
をLax
に設定する必要があります。
これらのプロパティの詳細については、Kong ManagerのSessionセキュリティを参照し、構成例を確認してください。
ロールとワークスペースによるアクセス制御
多くの組織には、厳格なセキュリティ要件があります。たとえば、組織には、ある管理者によるミスや悪意のある行為によってシステム停止が発生しないように、管理者の職務を分離する機能が必要です。Kong Gateway 、顧客が管理環境を安全に保護できるようにするためのさまざまなセキュリティ機能を提供します。
ワークスペースを使用すると、組織はオブジェクトと管理者を名前空間に分割できます。セグメンテーションにより、同じ Kong Gateway クラスターを共有する管理者 チーム は、特定のオブジェクトを操作する 役割 を担うことができます。たとえば、あるチーム (チーム A) が特定のサービスの管理を担当し、別のチーム (チーム B) が別のサービスの管理を担当する場合があります。チームには、特定のワークスペース内で管理タスクを実行するために必要な役割のみを付与する必要があります。
Kong Gatewayは、ロールベースのアクセス制御(RBAC)を通じてこれらすべてを実行します。Kong ManagerまたはAdmin APIのどちらを使用しているかに関係なく、すべての管理者に特定のロールを与えることができ、これにより特定のワークスペース内の管理権限の範囲を制御および制限できます。
Kong Managerのユーザータイプ:
-
管理者:管理者はワークスペースに属し、一連の権限を持つロールを少なくとも1つ持つ必要があります。 ロールを 持たない 管理者がワークスペースにいても、何かを表示したり操作することはできません。管理者は、ユーザーとそのロールを含むワークスペース内のエンティティを管理できます。
-
スーパー管理者: 以下の権限を持つ特殊な管理者。
- すべてのワークスペースを管理
- 権限をさらにカスタマイズする
- まったく新しい役割を作成する
- 管理者を招待または非アクティブ化する
- 管理者ロールの割り当てまたは取り消し
-
RBACユーザー: 管理者権限を持たないRBACユーザー。 彼らにはKong Gatewayを管理する権限がありますが、チーム、グループ、または ユーザー権限の調整はできません。
管理者には、明確に定義された権限を持つ役割が割り当てられます。 Kong Managerでは、権限を制限すると、 アプリケーションインターフェースとナビゲーションの視認性も制限します。