Configuration du contrôle d'accès et de la sécurité des requêtes CAS
Vous pouvez configurer le contrôle d'accès et la sécurité de la requête Content-Aware Storage (CAS ) en fonction de vos besoins et de votre environnement en choisissant l'une des méthodes suivantes :
- Autoriser les utilisateurs des requêtes CAS à accéder aux domaines CAS :
- Par défaut, tous les utilisateurs du cluster Red Hat OpenShift où CAS est déployé peuvent émettre des requêtes CAS, en fonction des domaines auxquels ils sont autorisés à accéder. Dans ce contexte, ils sont appelés utilisateurs de requêtes CAS.
- Configurer CAS pour autoriser les utilisateurs à accéder à des domaines CAS spécifiques. Si un utilisateur de requête CAS non autorisé d'un domaine exécute des requêtes CAS, l'API de requête échoue avec le code d'état 403 (accès non valide). Pour plus d'informations, voir Configuration du contrôle d'accès aux ressources CAS (CRAC).
- Gérez les utilisateurs CAS avec votre propre fournisseur d'identité (IDP) :
- Configurez le CAS pour qu'il se connecte à votre propre IDP. Sans cette configuration, CAS ne sert que les utilisateurs de Red Hat OpenShift. Pour plus d'informations, voir Configurer CAS pour se connecter à votre fournisseur d'identité (IDP).
- Limiter l'accès de certains utilisateurs à certains fichiers :
- Pour appliquer un contrôle d'accès plus strict, vous pouvez configurer le CAS pour qu'il ne serve que le contenu des fichiers pour lesquels les utilisateurs disposent d'autorisations de lecture explicites au niveau du fichier. Sans cette configuration, CAS renvoie les résultats de toutes les données ingérées dans un domaine à tout utilisateur ayant un accès au niveau du domaine, quelles que soient les autorisations de lecture au niveau du fichier. Pour plus d'informations, voir Configuration de la sécurité au niveau des fichiers dans CAS.
Type de sécurité Red Hat OpenShift utilisateurs Utilisateurs externes des PDI Sécurité au niveau du domaine (obligatoire) Prise en charge Prise en charge Sécurité au niveau des fichiers (facultatif) Non pris en charge Pris en charge; un IDP externe est nécessaire pour fédérer les informations sur les utilisateurs à partir du serveur d'annuaire utilisé par le système de fichiers. - Configuration des utilisateurs de CAS query : Pour désigner des utilisateurs de Red Hat OpenShift ou d'un IDP externe ou d'un serveur d'annuaire comme utilisateurs de requêtes CAS, vous devez configurer les utilisateurs ou leurs groupes via le contrôle d'accès aux ressources CAS (CRAC). Pour plus d'informations, voir Configuration du contrôle d'accès aux ressources CAS (CRAC).
- Pour appliquer un contrôle d'accès plus strict, vous pouvez configurer le CAS pour qu'il ne serve que le contenu des fichiers pour lesquels les utilisateurs disposent d'autorisations de lecture explicites au niveau du fichier. Sans cette configuration, CAS renvoie les résultats de toutes les données ingérées dans un domaine à tout utilisateur ayant un accès au niveau du domaine, quelles que soient les autorisations de lecture au niveau du fichier. Pour plus d'informations, voir Configuration de la sécurité au niveau des fichiers dans CAS.