Kibana: Otorisasi objek tersimpan - Fase 1

Dibuat pada 17 Jul 2015  ·  81Komentar  ·  Sumber: elastic/kibana

Saat ini, Kibana tidak mendukung kontrol akses halus apa pun di UI, sehingga semua dasbor, visualisasi, dan pencarian tersimpan tersedia untuk setiap pengguna yang diautentikasi. Ini dapat menimbulkan masalah ketika Kibana digunakan oleh beberapa grup yang ingin berbagi satu instance Kibana dan membatasi siapa yang dapat melihat masing-masing objek yang disimpan ini.

Untuk lebih jelasnya, solusi yang masuk akal saat ini adalah menyiapkan beberapa instans Kibana, satu per grup. Namun, karena jumlah kelompok menjadi besar dan dinamis, ini mungkin bukan pendekatan yang ideal.

Di sini kami mengusulkan pemotongan awal pada fungsionalitas dan alur kerja yang diusulkan untuk berbagi satu instans Kibana di antara beberapa grup dengan hak akses yang berbeda. Pada tingkat tinggi peningkatan ini akan memungkinkan untuk dua hal:

  • Objek yang disimpan (tampilan, dasbor, pencarian) dapat dikelompokkan
  • Pengguna akan memiliki akses ke grup ini

Dari perspektif interaksi, kami mengusulkan untuk mengeksplorasi menggunakan konsep tag objek untuk mengelompokkan objek Kibana (#1052).

  • Objek yang disimpan dapat ditandai
  • Pengguna juga dapat dikaitkan dengan tag
  • Siapa pun dapat membuat tag baru dan mengaitkannya dengan grup pengguna
  • Jika pengguna dikaitkan dengan tag, pengguna ini memiliki semua akses ke objek yang disimpan (melihat, memodifikasi, menghapus, dll.)
  • Jika pengguna dikaitkan dengan tag, pengguna ini juga dapat menambahkan tag ini ke objek apa pun yang sudah dia akses (pengguna dapat mendelegasikan hak ke objek yang mereka akses)
  • Jika pengguna dikaitkan dengan tag, pengguna ini juga dapat menambahkan pengguna lain ke tag ini (pengguna dapat mengubah keanggotaan grup tempat mereka menjadi bagian)
    Saat pengguna membuat objek baru dan tidak menetapkan tag untuk itu, tag "semua orang" secara otomatis ditetapkan dan objek terlihat oleh semua orang
  • Jika pengguna menginginkan objek pribadi, dia dapat membuat tag baru yang hanya terkait dengan dirinya sendiri
  • Ada tag "semua orang" statis yang didapat setiap pengguna. Menetapkan tag ini ke objek membuatnya dapat diakses oleh semua orang.

Di luar cakupan untuk fase ini:

  • Tidak ada kemampuan mendetail, seperti membuat, memperbarui, menghapus, melihat (akses semua atau tidak sama sekali ke objek)
  • Tidak ada hak pengguna super khusus, seperti kemampuan untuk membatasi akses ke tindakan administratif, seperti mengubah pengaturan lanjutan, menambahkan pola indeks, dll.
  • Tidak ada akses halus ke bagian objek yang disimpan (misalnya tombol tertentu, bagian dari visualisasi tertentu, dll.)

Masalah terkait: #1559, #3904

Security enhancement
Sumber
picture tbragin
👍38

Komentar yang paling membantu

tambah satu

picture looofi pada 28 Mar 2017
👍2

Semua 81 komentar

+1

surbhi26 picture surbhi26 pada 23 Jul 2015

tbragin: Anda menyebutkan solusi menggunakan beberapa instance kibana. yang akan bekerja untuk saya karena saya hanya memiliki dua kelompok. satu mendapat akses penuh, yang lain akan terbatas pada jenis log tertentu seperti log akses.

untuk pengaturan ini, apakah saya perlu menyimpan log akses ke indeks tambahan yang terhubung dengan titik instance kibana kedua?

chandlermelton picture chandlermelton pada 5 Agu 2015

Apakah pendekatan ini bekerja dengan Shield?

Saat ini kami menggunakan beberapa instance Kibana dengan .kibana-index yang berbeda untuk membagi grup kami.
Pengguna dalam grup akan melihat dasbor/data yang berbeda.
Untuk setiap grup baru, kami harus menyiapkan instance baru. Ini akan menjadi masalah besar bagi pelanggan kami.
Karena persyaratan organisasi ini menghasilkan biaya.

Malu44 picture Malu44 pada 5 Agu 2015

melalui @dannymeijer di #4714

Dalam kasus penggunaan kami, kami ingin mulai menerapkan Kibana ke basis pengguna yang sangat luas. Untuk mencegah masalah dengan orang yang 'tidak sengaja' melanggar sesuatu untuk orang lain (misalnya, menghapus dasbor orang lain), kami ingin dapat menentukan tingkat otorisasi.

Saya sedang memikirkan sesuatu seperti ini (sebagai contoh):

Pengguna biasa:
Dapat menemukan dan menggunakan salah satu visualisasi yang tersimpan, tetapi Anda tidak ingin pengguna biasa 'mengacaukan apa pun'. Tidak dapat menyimpan atau mengelola objek.
Pengguna istimewa:
Memiliki beberapa hak lebih dari pengguna biasa. Dapat membuat dasbor dan mengelola beberapa pengaturan, tetapi tidak terlalu ekstensif.
Pengguna listrik:
orang yang bisa mengubah segalanya.
Masalah (sejauh yang saya tahu dengan rilis saat ini) adalah bahwa tingkat penguncian tidak sampai pada tingkat detail yang saya jelaskan. Misalnya, saya dapat menghapus plugin pengaturan, yang memberi saya keamanan bahwa pengaturan tidak akan dikacaukan. Tetapi ini juga menghilangkan fungsionalitas/kemampuan bagi pengguna untuk mengelola objek yang disimpan (karena bersarang di dalam plugin pengaturan).

Contoh lain dari ini adalah visualisasi. Saya tidak ingin pengguna biasa membuat dan menyimpan visualisasi (mereka hanya mampir untuk memeriksa konten yang sudah ada) - tetapi menonaktifkan plugin visualisasi tidak hanya akan menghapus tab visualisasi; itu benar-benar menonaktifkan semua dan setiap visualisasi.

Saya harap saya cukup luas dengan contoh-contoh untuk menggambarkan apa yang saya bicarakan. Solusi yang saya pikirkan akan melibatkan kemampuan untuk menyesuaikan di tingkat yang lebih rinci tentang apa yang disajikan kepada pengguna, mungkin dalam bentuk tag atau ember yang dapat Anda tetapkan sebelumnya.

Persyaratan agar ini berfungsi jelas bahwa kerangka otentikasi sudah ada (masalah #3904 / #4419 / #4634).

rashidkpc picture rashidkpc pada 19 Agu 2015

+1

Jika ini dapat dikaitkan dengan LDAP/AD di mana kita sudah memiliki grup yang berbeda, itu akan sangat bagus.

TinLe picture TinLe pada 19 Agu 2015

+1
dengan LDAP!

gustavomr picture gustavomr pada 1 Sep 2015

+1
Kami berada dalam situasi yang sama dengan @Malu44 , jadi akan sangat bagus untuk mengintegrasikan ini dengan Shield

sand0id picture sand0id pada 15 Sep 2015

+1

Kudo picture Kudo pada 16 Sep 2015

+1

tehsphinx picture tehsphinx pada 21 Sep 2015

+1

tulku picture tulku pada 22 Sep 2015

+1

cdenneen picture cdenneen pada 25 Sep 2015

+1

schast picture schast pada 29 Sep 2015

+1

davidw2 picture davidw2 pada 30 Sep 2015

+1

dev-rke picture dev-rke pada 9 Okt 2015

+1

etfeet picture etfeet pada 19 Okt 2015

+1

raphaele81 picture raphaele81 pada 23 Okt 2015

+1!!
Orang-orang yang dimaksudkan hanya untuk memeriksa dasbor saya untuk analisis dan mendapatkan informasi mengubah dasbor dan visualisasi saya (kebanyakan dari mereka menganggap perubahan itu lokal) dan saya harus mengimpor cadangan sesekali .....
Izin grup akan sangat bagus!

jonatansver picture jonatansver pada 26 Okt 2015

+1, ini sangat dibutuhkan.

basicNew picture basicNew pada 30 Okt 2015

+1

cjfpainter picture cjfpainter pada 6 Nov 2015

+1

resyst-it picture resyst-it pada 9 Nov 2015

+1 Menyiapkan instans Kibana terpisah bukanlah pilihan yang baik untuk penerapan dengan penawaran layanan untuk ribuan pelanggan, dll..

ppf2 picture ppf2 pada 20 Nov 2015

+1

ericodom picture ericodom pada 23 Nov 2015

+1000

gnom1gnom picture gnom1gnom pada 25 Nov 2015

Sudah bisa dilakukan dengan dasbor yang disematkan.

Meskipun perlu penguncian tata letak dan tampilan bilah atas dengan timepicker.

Pada hari Rabu, 25 November 2015, gnom1gnom [email protected] menulis:

+1000


Balas email ini secara langsung atau lihat di GitHub
https://github.com/elastic/kibana/issues/4453#issuecomment -159556182.

Dikirim dari Gmail Seluler

marcinkubica picture marcinkubica pada 25 Nov 2015

Bagaimana cara kerjanya dengan batasan hanya memiliki satu kibana_index per Server Kibana?
Saya pikir setiap pengguna membutuhkan pola indeksnya sendiri, karena dia mungkin tidak memiliki akses ke semua indeks.
Bisakah Pola-Indeks difilter per pengguna?

megastef picture megastef pada 22 Jan 2016

+1

jmendiara picture jmendiara pada 1 Feb 2016

+1

palmerabollo picture palmerabollo pada 3 Feb 2016

+1

DirtyPeanut picture DirtyPeanut pada 23 Feb 2016

+1

debelyoo picture debelyoo pada 24 Feb 2016

+1

lentregu picture lentregu pada 24 Feb 2016

+1

veeruborra picture veeruborra pada 27 Feb 2016

+1

Hronom picture Hronom pada 10 Mar 2016

+1

IGI-111 picture IGI-111 pada 14 Mar 2016

+1

GerySt picture GerySt pada 23 Mar 2016

+1

srpatatas picture srpatatas pada 13 Apr 2016

+1

pankajkumar picture pankajkumar pada 25 Apr 2016

+1

rachorzzz picture rachorzzz pada 27 Apr 2016

Memberi +1 ini akan menempatkan Kibana pada level playing field dengan Graylog2 yang ingin saya hindari karena kerumitan penerapannya.

zindello picture zindello pada 13 Mei 2016

+1

hkarpf picture hkarpf pada 28 Mei 2016

+1

sergiolr100 picture sergiolr100 pada 22 Jun 2016

+1

mattibf picture mattibf pada 26 Jul 2016

+1

pemontto picture pemontto pada 26 Jul 2016

+1

ilu picture ilu pada 5 Agu 2016

+1

hariwalters picture hariwalters pada 17 Agu 2016

Diperhatikan juga tidak ada di Kibana 5.
+1

sleeper-service picture sleeper-service pada 2 Nov 2016
😕1

+1

vincent-ollivier-everysens picture vincent-ollivier-everysens pada 7 Nov 2016

+1

developersloth picture developersloth pada 24 Nov 2016

+1

amitripshtos picture amitripshtos pada 27 Nov 2016

+1

FlorentGuillin picture FlorentGuillin pada 5 Des 2016

+1

GemsWest picture GemsWest pada 7 Des 2016

+1

simpleuser99 picture simpleuser99 pada 20 Des 2016

+1

kunwon1 picture kunwon1 pada 31 Des 2016

+1

guidodobboletta picture guidodobboletta pada 18 Jan 2017

+1

aremai picture aremai pada 23 Jan 2017

+1

abdalians picture abdalians pada 25 Jan 2017

+1

vinodtalati picture vinodtalati pada 27 Jan 2017

+1

yuwtennis picture yuwtennis pada 27 Jan 2017

+1

mgoritzk picture mgoritzk pada 13 Feb 2017

+1

urtens picture urtens pada 21 Feb 2017

Halo semua,

mungkinkah ini solusi yang mungkin?

Saya menggunakan versi 5.2.0. Di Kibana-Management-Users, buat pengguna (user1) dan peran khusus untuk pengguna ini (role1).

Pengguna ini hanya harus memiliki akses ke indeks "contoh-*", dan hanya visualisasi, dasbor, pencarian mereka...

== PERAN1 ==

Nama: Peran1
Hak istimewa cluster: Tidak ada
Hak istimewa indeks:

| Indeks: contoh-*
| Hak istimewa: baca, lihat_index_metadata
| Bidang yang Diberikan: *

+

| Indeks: .kibana
| Hak istimewa: baca, lihat_index_metadata
| Bidang yang Diberikan: *
| Kueri Dokumen yang Diberikan

{
  "bool" : {
      "should" :  [
              { "term" :  { "_id" : "default_index" } },
              { "term" :  { "_id" : "5.2.0" } },
              { "term" :  { "_id" : "example-*" } },
         { "term" :  { "_id" : "DASHBOARD1" } },
         { "term" :  { "_id" : "DASHBOARD2" } },
         { "term" :  { "_id" : "..." } },
         { "term" :  { "_id" : "VISUALIZATION1" } },
         { "term" :  { "_id" : "VISUALIZATION2" } },
         { "term" :  { "_id" : "..." } },
         { "term" :  { "_id" : "SEARCH1" } },
         { "term" :  { "_id" : "SEARCH2" } },
         { "term" :  { "_id" : "..." } }
      ],
      "minimum_should_match" : 1
  }
}

Anda dapat membuat indeks default netral kosong untuk semua pengguna. PUT / mulai

Salam

sergiolr100 picture sergiolr100 pada 22 Feb 2017

Ada pembaruan tentang ini?

AlexandrTuniev picture AlexandrTuniev pada 13 Mar 2017

+1

xycloud picture xycloud pada 27 Mar 2017

tambah satu

looofi picture looofi pada 28 Mar 2017
👍2

@sergolr100

Yah saya suka solusinya tetapi menghadapi beberapa masalah. Sangat menyesal saya menanyakan pertanyaan di sini.
Jadi peran saya seperti
Nama Peran :- Manajemen
Hak istimewa cluster: Tidak ada
Hak istimewa indeks:
| Indeks: manajemen
| Hak istimewa: baca, lihat_index_metadata
| Bidang yang Diberikan: *

| Indeks: .kibana_management
| Hak istimewa: baca, lihat_index_metadata
| Bidang yang Diberikan: *
| Kueri Dokumen yang Diberikan

{
  "bool" : {
      "should" :  [
{ "term" :  { "_id" : "management" } },
{ "term" :  { "_id" : "5.2.2" } },
{ "term" :  { "_id" : "7a386190-19e5-11e7-90e2-a52016cb5a60" } }
      ],
      "minimum_should_match" : 1
  }
}

Dengan di atas saya tidak dapat melihat data/dokumen di halaman temukan, namun dengan pengguna elastis yang membuat indeks ini (manajemen) dapat melihat dokumen/data di halaman temukan. FYI saya telah menggabungkan kedua pengaturan di atas dalam satu peran saja juga di sini ID adalah ID visualisasi saya meskipun ini tidak menampilkan data apa pun.

vg15 picture vg15 pada 10 Apr 2017

+1

drakkhen picture drakkhen pada 24 Apr 2017

+1

AndreAga picture AndreAga pada 4 Mei 2017

Apache Shiro menginspirasi saya untuk membuat Rushhiro https://github.com/guyboertje/rushiro untuk platform Rails e-commerce yang saya kerjakan beberapa tahun yang lalu.

Dari apa yang saya lihat dari sistem izin AWS, itu juga terinspirasi oleh Shiro.

------ ekstrak
Bagian izin memiliki beberapa bagian yang dipisahkan pipa, Anda benar-benar gratis
untuk memilih skema, tetapi ingat bahwa evaluasi dilakukan dari kiri ke kanan.

Satu saran mungkin: Domain|Action|Instance

  • Domain - alias sumber daya, misalnya halaman web, entitas db, model atau layanan domain
  • Tindakan - entri dari rangkaian tindakan yang tersedia untuk domain (mentah, rw, gunakan/kelola)
  • Instance - entri ini adalah 'label' yang telah Anda berikan ke instance domain,
    misalnya halaman web tertentu, uuid atau id unik dari catatan db
    Catatan: Beberapa entri yang dipisahkan koma diperbolehkan, seperti * wildcard

contoh: hash ini diproses menjadi hierarki objek

perm = {
  allows: {
    individual: [
      "feature|create,read,update|feat-x",
      "page|*|posts",
      "company|read"
      "company|update|5b90a720-e6b0-012e-dc18-782bcb979e60"
    ],
    organization: [],
    system: []
  },
  denies: {}
}

access_control = AllowBasedControl.new(perm)
access_control.permitted?("company|read|5b90a720-e6b0-012e-dc18-782bcb979e60") ==> true
access_control.permitted?("feature|delete|feat-x") ==> false

------ ekstrak

guyboertje picture guyboertje pada 13 Mei 2017

Hai @tbragin
Adakah pembaruan tentang peningkatan ini? Kapan dan versi Kibana mana yang bisa kita lihat ini? Apakah ini akan tersedia sebagai open source?

arult picture arult pada 8 Sep 2017

Apa masalah # di GitHub untuk meningkatkan kibana untuk memberikan akses berbutir halus yang nyata ke objek kibana (di mana beberapa pengguna akan membaca, yang lain dapat memiliki akses penuh) berdasarkan peran/keanggotaan grup? Saya tidak dapat menemukannya. Jika masalah itu belum ada, seharusnya. Pendekatan yang digunakan dalam masalah ini dengan tag yang dapat Anda tetapkan ke objek masih memberi semua pengguna dengan tag tersebut tingkat akses yang sama (akses penuh) - bukan yang diinginkan banyak orang. Terima kasih.

dfinkbeiner picture dfinkbeiner pada 29 Sep 2017

Solusi terbaik yang saya temukan sejauh ini mengenai masalah ini:

https://github.com/wtakase/kibana-own-home

mostrovoi picture mostrovoi pada 5 Okt 2017

+1

CamiloSierraH picture CamiloSierraH pada 21 Mar 2018

+1

StephanBenning picture StephanBenning pada 22 Mar 2018

+1

georgezoto picture georgezoto pada 4 Mei 2018

+1

dbroeh picture dbroeh pada 31 Mei 2018

Perusahaan kami telah menemukan cara untuk mengatasi masalah ini: menyerah pada ELK dan gunakan saja Splunk. ELK baik-baik saja untuk beberapa orang dalam tim yang erat, tetapi Splunk memiliki fungsionalitas terkait akun pengguna yang jauh lebih baik untuk tim yang lebih besar atau banyak tim.

drakkhen picture drakkhen pada 31 Mei 2018

+1

tudro picture tudro pada 15 Jun 2018

+1

patrickmhoge picture patrickmhoge pada 15 Jun 2018

+1, akan senang melihat fitur ini diimplementasikan dalam bentuk apa pun yang tepat!

jeffrey-e picture jeffrey-e pada 19 Jul 2018

+1 tetapi tiga tahun dan saya tidak percaya ada yang dilakukan di depan ini?

Kami ingin memberikan akses luar ke instans Kibana kami, tetapi akses halus ke dasbor adalah KEHARUSAN. Bahkan secara internal ini adalah semacam kebutuhan dan saya kira itu berlaku untuk semua orang yang menggunakan Kibana di luar tim kecil.

Sjaak01 picture Sjaak01 pada 23 Jul 2018

cc @elastic/kibana-security jangan ragu untuk menutup dan merujuk ke masalah yang lebih terkini, jika ada

timroes picture timroes pada 13 Agu 2018

Digantikan oleh https://github.com/elastic/kibana/issues/18473

kobelb picture kobelb pada 13 Agu 2018
Apakah halaman ini membantu?
0 / 5 - 0 peringkat

Masalah terkait

ynux picture ynux  ·  3Komentar
stacey-gammon picture stacey-gammon  ·  3Komentar
Ginja picture Ginja  ·  3Komentar
snide picture snide  ·  3Komentar
spalger picture spalger  ·  3Komentar