如何解决为 IAM 解决方案连接 Envoy 过滤器API 网关、PingFederate身份验证服务器和 OPA策略引擎的最佳架构方式是什么?
我想在 Kubernetes 上部署它。 Auth Server 和 Policy 引擎独立与 API Gateway 对话是否有意义,还是仅 Auth Server 与 API Gateway 对话,OPA 仅通过 Auth Server 与 API Gateway 对话更准确
解决方法
在 Curity,我们有一些与此相关的良好资源。通常第一个关键考虑因素是使用数据源的组件:
- API
- 授权服务器
这些始终部署在它们前面的反向代理/网关,因此攻击者必须突破 2 层才能访问数据源 - 这在我们的 IAM Primer 中进行了介绍。
此外,网关还可以提供一些有趣的功能:
就 OPA 而言,这取决于您将如何使用它 - 这里有几个可能的选择:
-
Gateway 调用 OPA 执行高级检查以授予或拒绝访问权限,如 this OPA use case
-
API 调用 OPA 并将其传递给 Claims Principal,然后使用响应来决定如何过滤结果,如我们的 Claims Best Practices 文章
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
