身份验证和授权

通过密钥配置 LDAP 密码

要将 Neo4j Helm 部署配置为通过密钥使用 LDAP 系统密码,您需要创建一个包含 LDAP 密码的 Kubernetes 密钥,然后将密钥名称和挂载路径添加到 values.yaml 文件中。

  1. 通过运行以下命令创建包含 LDAP 密码的密钥。密钥必须包含一个名为 LDAP_PASS 的密钥。

    kubectl create secret generic <secret-name> --from-literal=LDAP_PASS=<ldap-password>

  2. 将密钥名称添加到 values.yaml 文件中。

    # ldapPasswordFromSecret defines the secret which holds the password for ldap system account
# Secret key name must be LDAP_PASS
# This secret is accessible by Neo4j at the path defined in ldapPasswordMountPath
ldapPasswordFromSecret: "" (1)

# The above secret gets mounted to the path mentioned here
ldapPasswordMountPath: "" (2)
    1 — Kubernetes 集群中显示的密钥名称。
    2 — 密钥将作为卷挂载到 Neo4j 容器中的路径。

配置 SSO

Neo4j 支持通过实现 OpenID Connect (OIDC) 标准的身份提供程序进行 SSO 身份验证和授权。

要配置 Neo4j helm 部署以使用 SSO 身份验证,首先,您需要使用 ID 令牌配置您的身份提供商以进行身份验证和授权。然后,通过将所有 SSO 配置添加到 values.yaml 文件中,配置 Neo4j helm 部署以使用该身份提供商进行身份验证。

有关如何配置身份提供商以及应定义哪些设置的更多信息,请参阅 Neo4j 单点登录 (SSO) 配置

配置 Neo4j 以使用 Azure SSO 进行身份验证的示例
config:
  dbms.security.oidc.azure.audience: "00f3a7d3-d855-4849-9e3c-57d7b6e12794"
  dbms.security.oidc.azure.params: "client_id=00f3a7d3-d855-4849-9e3c-57d7b6e12794;response_type=code;scope=openid profile email"
  dbms.security.oidc.azure.well_known_discovery_uri: "https://login.microsoftonline.com/da501982-4ca7-420c-8926-1e65b5bf565f/v2.0/.well-known/openid-configuration"
  dbms.security.authorization_providers: "oidc-azure,native"
  dbms.security.authentication_providers: "oidc-azure,native"
  dbms.security.oidc.azure.display_name: "Azure SSO on K8s"
  dbms.security.oidc.azure.auth_flow: "pkce"
  server_type_principal=id_token;token_type_authentication=id_token"
  dbms.security.oidc.azure.config: "principal=unique_name;code_challenge_method=S256;
  dbms.security.oidc.azure.claims.username: "sub"
  dbms.security.oidc.azure.claims.groups: "groups"
  dbms.security.oidc.azure.authorization.group_to_role_mapping: "group1=editor;group2=editor,publisher"

sub 是唯一保证唯一且稳定的声明。其他声明,例如 emailpreferred_username,可能会随着时间的推移而发生变化,并且不应用于身份验证。Neo4j 可能会根据此用户名值在混合授权配置中向用户分配权限。因此,不建议更改来自 sub 的用户名声明。有关详细信息,请参阅 Microsoft 文档 以及 OpenId 规范

配置服务账户

在某些部署情况下,可能需要将 Kubernetes 服务账户分配给 Neo4j Pod。例如,如果 Pod 中的进程想要连接到需要服务账户授权的服务。要配置 Neo4j Pod 以使用 Kubernetes 服务账户,请将 podSpec.serviceAccountName 设置为要使用的服务账户的名称。

例如

# neo4j-values.yaml
neo4j:
  password: "my-password"

podSpec:
  serviceAccountName: "neo4j-service-account"

服务账户必须已存在。在集群的情况下,Neo4j Helm 图表创建并配置服务账户。