如何保护流程,即如何断言只有授权的应用程序并向NiFi提交数据?我可以将流连接到LDAP,例如我将注册所有呼叫者及其权限(和策略)吗?
我已经看到只有登录用户可以获得NiFi的可能性,但这与我的问题无关。
[Update 2/10/2017]检查AWS IoT我看到正在使用AWSCredentialsProviderControllerService。同样,我们可以开发(实际上是推荐吗?)我们的身份验证/授权服务来保护我们的流程吗?是否有任何此类服务用于LDAP或数据库集成?
答案 0 :(得分:2)
这取决于数据如何进入NiFi ......
如果您在NiFi实例之间或从MiNiFi到NiFi进行站点到站点,则可以为每个输入端口分配权限。
外部NiFi / MiNiFi需要一个证书才能对中央NiFi进行身份验证,并且需要在中央NiFi中作为用户进行表示并获得相应的权限。
这篇文章展示了两个NiFi实例之间安全通信的示例: https://bryanbende.com/development/2016/08/30/apache-nifi-1.0.0-secure-site-to-site
如果数据是通过ListenHTTP,ListenTCP等类似处理器进入的,那么它取决于处理器的实现方式。大多数处理器应提供双向TLS / SSL,以便只有从给定信任库颁发证书的客户端才能连接。
在这些情况下,呼叫者不需要被表示为用户和给定的权限,因为它不是做出授权决定的NiFi框架,而是处理器。