docs/sections/services/prh/authorization.rst

   1 .. This work is licensed under a Creative Commons Attribution 4.0 International License.
   2 .. http://creativecommons.org/licenses/by/4.0
   3
   4 .. _authorization:
   5
   6 SSL/TLS Authentication & Authorization
   7 ======================================
   8
   9 | PRH does not perform any authorization in AAF, as the only endpoint which is provided by the service is the healthcheck, which is unsecured.
  10 | For authentication settings there is a possibility to change from default behavior to certificate-based solution independently for DMaaP and AAI communication.
  11
  12 AAI authentication
  13 ^^^^^^^^^^^^^^^^^^
  14
  15 Default
  16 """""""
  17 | By default basic authentication is being used with following credentials:
  18 | user=AAI
  19 | password=AAI
  20
  21 Certificate-based
  22 """""""""""""""""
  23 | There is an option to enable certificate-based authentication for PRH towards AAI service calls.
  24 | To achieve this secure flag needs to be turned on in PRH :ref:`configuration <prh_configuration>` :
  25
  26 .. code-block:: bash
  27
  28   security.enableAaiCertAuth=true
  29
  30 DMaaP BC authentication
  31 ^^^^^^^^^^^^^^^^^^^^^^^
  32
  33 Default
  34 """""""
  35 | By default basic authentication is being used with following credentials (for both DMaaP consumer and DMaaP publisher endpoints):
  36 | user=admin
  37 | password=admin
  38
  39 Certificate-based
  40 """"""""""""""""""
  41 | There is an option to enable certificate-based authentication for PRH towards DMaaP Bus Controller service calls.
  42 | To achieve this secure flag needs to be turned on in PRH :ref:`configuration <prh_configuration>` :
  43
  44 .. code-block:: bash
  45
  46   --security.enableDmaapCertAuth=true
  47
  48 PRH identity and certificate data
  49 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  50 | PRH is using ``dcae`` identity when certificate-based authentication is turned on.
  51 | It's the DCAEGEN2 responsibility to generate certificate for dcae identity and provide it to the collector.
  52 |
  53 | PRH by default expects that the volume ``tls-info`` is being mounted under path ``/opt/app/prh/etc/cert``.
  54 | It's the component/collector responsibility to provide necessary inputs in Helm charts to get the volume mounted.
  55 | See :doc:`../../tls_enablement` for detailed information.
  56 |
  57 | PRH is using four files from ``tls-info`` DCAE volume (``cert.jks, jks.pass, trust.jks, trust.pass``).
  58 | Refer :ref:`configuration <prh_configuration>` for proper security attributes settings.
  59 |
  60 | **IMPORTANT** Even when certificate-based authentication security features are disabled,
  61 | still all security settings needs to be provided in configuration to make PRH service start smoothly.
  62 | Security attributes values are not validated in this case, and can point to non-existent data.