領域

Elastic Stack のセキュリティ機能は、領域と 1 つ以上の トークンベースの認証サービス を使用してユーザーを認証します。

領域 は、認証トークンに基づいてユーザーを解決および認証するために使用されます。セキュリティ機能は、以下の組み込み領域を提供します:

  • ネイティブ
  • ユーザーが専用の Elasticsearch インデックスに保存される内部領域。この領域は、ユーザー名とパスワードの形式の認証トークンをサポートし、明示的に構成されていない場合はデフォルトで利用可能です。ユーザーは ユーザー管理 API を介して管理されます。ネイティブユーザー認証 を参照してください。
  • ldap
  • ユーザーを認証するために外部 LDAP サーバーを使用する領域。この領域は、ユーザー名とパスワードの形式の認証トークンをサポートし、使用するには明示的な構成が必要です。LDAP ユーザー認証 を参照してください。
  • active_directory
  • ユーザーを認証するために外部 Active Directory サーバーを使用する領域。この領域では、ユーザー名とパスワードによってユーザーが認証されます。Active Directory ユーザー認証 を参照してください。
  • pki
  • 公開鍵基盤 (PKI) を使用してユーザーを認証する領域。この領域は SSL/TLS と連携して動作し、クライアントの X.509 証明書の識別名 (DN) を介してユーザーを特定します。PKI ユーザー認証 を参照してください。
  • file
  • Elasticsearch クラスター内の各ノードに保存されたファイルでユーザーが定義される内部領域。この領域は、ユーザー名とパスワードの形式の認証トークンをサポートし、常に利用可能です。ファイルベースのユーザー認証 を参照してください。
  • saml
  • SAML 2.0 Web SSO プロトコルを使用して認証を促進する領域。この領域は Kibana を介した認証をサポートするように設計されており、REST API での使用を意図していません。SAML 認証 を参照してください。
  • kerberos
  • Kerberos 認証を使用してユーザーを認証する領域。ユーザーは Kerberos チケットに基づいて認証されます。Kerberos 認証 を参照してください。
  • oidc
  • OpenID Connect を使用して認証を促進する領域。Elasticsearch が OpenID Connect リライイング パーティ (RP) として機能し、Kibana でシングル サインオン (SSO) サポートを提供できるようにします。OpenID Connect を使用した Elastic Stack へのシングル サインオンの構成 を参照してください。
  • jwt
  • JWT アイデンティティ トークンを認証ベアラートークンとして使用することを促進する領域。互換性のあるトークンは OpenID Connect ID トークン、または同じクレームを含むカスタム JWT です。JWT 認証 を参照してください。

セキュリティ機能はカスタム領域もサポートしています。他の認証システムと統合する必要がある場合は、カスタム領域プラグインを構築できます。詳細については、他の認証システムとの統合 を参照してください。

内部および外部領域

領域の種類は大まかに 2 つのカテゴリに分類できます:

  • 内部
  • Elasticsearch 内部の領域で、外部の関係者との通信を必要としません。これらは Elastic Stack のセキュリティ機能によって完全に管理されます。内部領域タイプごとに構成できる領域は最大 1 つのみです。セキュリティ機能は 2 つの内部領域タイプを提供します: nativefile
  • 外部
  • Elasticsearch の外部の関係者/コンポーネントとの相互作用を必要とする領域で、通常はエンタープライズグレードのアイデンティティ管理システムとの相互作用を必要とします。内部領域とは異なり、外部領域は必要に応じていくつでも構成できます - 各領域には独自の名前と構成があります。セキュリティ機能は以下の外部領域タイプを提供します: ldapactive_directorysamlkerberos、および pki