HTTP認証

EMQXは外部HTTPサービスを介したパスワード認証をサポートしています。クライアントが接続すると、EMQXはクライアント情報を使ってHTTPリクエストを構築し、リクエストの返却内容に基づいて認証結果を判定します。これにより、複雑な認証および認可ロジックを実現できます。

注意

HTTP認証はEMQX Serverlessのデプロイメントではサポートされていません。

HTTP認証の仕組み

認証プロセスはHTTP APIコールに似ており、EMQXはリクエストを行うクライアントとして、「API」が要求する形式でリクエストを構築し、HTTPサービスに対して発行します。HTTPサービスは「クライアント」の要求に応じて以下の結果を返す必要があります：

• レスポンスのContent-Typeはapplication/jsonであること。
• 認証結果はボディ内のresultで示し、allow、deny、ignoreのいずれかを指定します。
• スーパーユーザーの状態はボディ内のis_superuserフラグで示し、trueまたはfalseを設定できます。trueに設定すると、そのユーザー名を使うクライアントは認可制約を受けません。スーパーユーザーの設定は推奨されません。
• HTTPレスポンスのステータスコードは200または204であるべきです。4xx/5xxのステータスコードの場合、ボディは無視され、結果はignoreとして扱われ、認証チェーンが継続されます。

レスポンス例：

HTTP/1.1 200 OK
Headers: Content-Type: application/json
...
Body:
{
    "result": "allow", // "allow" | "deny" | "ignore"
    "is_superuser": true, // オプション: true | false、デフォルト値: false
    "client_attrs": { // オプション（v5.7.0以降）
    "role": "admin",
    "sn": "10c61f1a1f47"
}

HTTP認証の設定

デプロイメント画面で、アクセス制御 -> 認証 -> 拡張認証をクリックし、HTTP認証を選択してから設定をクリックします。

認証のために、EMQXプラットフォームは現在のクライアント情報を用いてユーザーが設定した認証クエリリクエストを構築・発行し、HTTPサーバー側でクライアントの認証データを照会します。

以下のように関連設定を行えます：

• Method：HTTPリクエストメソッドを選択します。選択肢はget、postです。

  TIP

  POSTメソッドの使用を推奨します。GETメソッドはHTTPサーバーログに平文パスワードなどの機密情報が記録される可能性があります。また、信頼できない環境ではHTTPSを使用してください。

• URL：HTTPサービスのURLアドレスを入力します。

  TIP

  • Dedicatedデプロイメントの場合はVPCピアリング接続を作成し、内部ネットワークアドレスをサーバーアドレスとして使用してください。
  • BYOCデプロイメントの場合はパブリッククラウドコンソールでVPCピアリング接続を作成してください。詳細はCreate VPC Peering Connectionsを参照し、内部ネットワークアドレスをサーバーアドレスとして使用します。
  • 「Init resource failure!」というメッセージが出た場合は、サーバーアドレスが正しいか、セキュリティグループがアクセスを許可しているかを確認してください。
  • URLアドレスはhttp://またはhttps://で始まる必要があります。
  • ドメイン名にプレースホルダーは使用しないでください。
  • URLパスには以下のプレースホルダーを使用可能です：
    • ${clientid}
    • ${username}
    • ${password}
    • ${peerhost}
    • ${cert_subject}
    • ${cert_common_name}

• Headers（オプション）：HTTPリクエストヘッダーの設定。複数のヘッダーを追加可能です。

• 接続設定：同時接続数、接続タイムアウト、最大HTTPリクエスト数、リクエストタイムアウト時間を設定します。

  • TLSを有効化：TLSを有効にするかどうかを設定します。
  • コネクションプールサイズ（オプション）：EMQXノードから外部HTTPサーバーへの同時接続数を整数で指定します。デフォルト値は8です。
  • 接続タイムアウト（オプション）：接続タイムアウト時間を秒単位で入力します。
  • HTTPパイプライン（オプション）：レスポンスを待たずに送信可能な最大HTTPリクエスト数を正の整数で指定します。デフォルト値は100です。
  • リクエストタイムアウト（オプション）：リクエストタイムアウト時間を入力します。単位は時間、分、秒、ミリ秒が使用可能です。
  • Body：リクエストテンプレート。POSTリクエストの場合はJSON形式でリクエストボディに送信されます。GETリクエストの場合はURLのクエリパラメータとしてエンコードされます。マッピングのキーと値にはプレースホルダーを使用可能です。リクエストボディで使用可能なプレースホルダーは以下の通りです：
    • ${clientid}：実行時にクライアントIDに置き換えられます。クライアントIDは通常、クライアントがCONNECTパケットで明示的に指定します。
    • ${username}：実行時にユーザー名に置き換えられます。ユーザー名はCONNECTパケットのUsernameフィールドから取得します。
    • ${password}：実行時にパスワードに置き換えられます。パスワードはCONNECTパケットのPasswordフィールドから取得します。
    • ${client_attrs.<attribute>}：クライアント属性。<attribute>は事前定義された設定に基づき実行時に属性名に置き換えられます。