Я решил это. Для потомков вот что нужно сделать в дополнение к настройкам openis в файле Kibana.yml.
1: в файле config.yml на каждом из моих узлов Elasticsearch мне нужно было добавить следующее:
authc:
openid_auth_domain:
http_enabled: true
transport_enabled: true
order: 0
http_authenticator:
type: openid
challenge: false
config:
subject_key: email
roles_key: roles
openid_connect_url: https://accounts.google.com/.well-known/openid-configuration
authentication_backend:
type: noop
Поскольку я использую Google в качестве провайдера идентификации, мне нужно было убедиться, что мой subject_key был "email"
2: необходимо запустить скрипт конфигурации безопасности на каждом узле:
docker exec -it elasticsearch-node1 /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cacert /usr/share/elasticsearch/config/root-ca.pem -cert /usr/share/elasticsearch/config/kirk.pem -key /usr/share/elasticsearch/config/kirk-key.pem -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -icl && docker exec -it elasticsearch-node2 /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cacert /usr/share/elasticsearch/config/root-ca.pem -cert /usr/share/elasticsearch/config/kirk.pem -key /usr/share/elasticsearch/config/kirk-key.pem -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -icl
3: мне нужно было настроить пользователя, которому я хочу иметь доступ администратора к роли:
all_access:
reserved: false
backend_roles:
- "admin"
users:
- "name@email.com"
description: "Maps an openid user to all_access"
Теперь я могу назначать других пользователей из Kibana