ÙØ§ ÙÙ Ø§ÙØºØ±Ø¶ ÙÙ AUTH_ROLES_MAPPING Ø§ÙÙØ¹ÙÙØ© ÙÙ ØªØ¯ÙÙ Ø§ÙÙÙØ§Ø¡Ø

ÙÙÙ jwks_uri Ø§ÙØ¹ÙÙ ÙÙ Ø¥Ø¹Ø¯Ø§Ø¯ OAuthØ

Ø§Ù jwks_uri ÙØØ¯Ø¯ URI ØÙØ« ÙÙÙÙ Ø§Ø³ØªØ±Ø¯Ø§Ø¯ ÙÙØ§ØªÙØ Azure Ø§ÙØ¹Ø§ÙØ© ÙÙØªØÙÙ ÙÙ Ø±ÙØ² JWT. ØªØ¹ØªØ¨Ø± ÙØ°Ù Ø§ÙØ®Ø·ÙØ© Ø¶Ø±ÙØ±ÙØ© ÙÙØªØÙÙ ÙÙ ØµØØ© Ø§ÙØ±ÙÙØ² Ø§ÙÙÙÙØ²Ø©Ø ÙÙÙØ¹ Ø§ÙÙØµÙÙ ØºÙØ± Ø§ÙÙØµØ±Ø Ø¨Ù.

ÙÙØ§Ø°Ø§ ÙØªÙ ØªØ¹ÙÙÙ redirect_uri ÙÙ ÙÙØ¯ÙÙ OAuth Ø§ÙÙÙÙØ

ÙÙ ÙÙÙÙ ØªØ¹ÙÙÙ Ø£Ø¯ÙØ§Ø± ÙØªØ¹Ø¯Ø¯Ø© ÙÙØ¬ÙÙØ¹Ø© Azure Entra ID ÙØ§ØØ¯Ø©Ø

ØªØ£ÙØ¯ ÙÙ jwks_uri ØªÙ ØªÙÙÙÙÙ Ø¨Ø´ÙÙ ØµØÙØ ÙÙÙÙÙ Ø§ÙÙØµÙÙ Ø¥ÙÙÙ. ØªØØ¯Ø« Ø§ÙØ£Ø®Ø·Ø§Ø¡ ØºØ§ÙØ¨ÙØ§ Ø¥Ø°Ø§ ØªØ¹Ø°Ø± Ø§ÙÙØµÙÙ Ø¥ÙÙ ÙÙØ·Ø© Ø§ÙÙÙØ§ÙØ© Ø£Ù Ø¥Ø°Ø§ ØªÙ ØªØ®Ø²ÙÙ ÙÙØ§ØªÙØ Azure Entra ID ÙØ¤ÙØªÙØ§ Ø¨Ø´ÙÙ ØºÙØ± ØµØÙØ ÙÙ Airflow.

ÙÙÙ client_kwargs ÙØ·Ø§Ù ØªØ¹Ø²ÙØ² Ø§ÙØ£ÙÙØ

ÙÙ ØªÙÙÙÙ WTF_CSRF_ENABLED ØªØØ³ÙÙ Ø§ÙØ£ÙÙØ

ÙÙ ÙÙÙÙÙÙ Ø§Ø³ØªØ®Ø¯Ø§Ù ÙÙÙØ± OAuth ÙØ®ØªÙÙ Ø¹Ù AzureØ

ÙØ¹ÙØ ÙØ¯Ø¹Ù Airflow ÙÙÙØ±Ù OAuth Ø§ÙØ¢Ø®Ø±ÙÙ ÙØ«Ù Google Ø£Ù Okta Ø¹Ù Ø·Ø±ÙÙ Ø¶Ø¨Ø· Ø§ÙÙØ¹ÙÙØ§Øª Ø§ÙØ®Ø§ØµØ© Ø¨Ø§ÙÙÙÙØ± OAUTH_PROVIDERS. ÙØ¯ ÙÙÙÙ ÙØ¯Ù ÙÙ ÙØ²ÙØ¯ Ø¹ÙØ§ÙÙÙ URL ÙØ±ÙØ¯Ø© ÙÙØªØ·ÙØ¨Ø§Øª ØªÙÙÙÙ.

Ø§ÙØ¯ÙÙÙ Ø§ÙØ±Ø³ÙÙ ÙÙ Apache Airflow OAuth ÙØªÙÙÙÙØ§Øª Ø§ÙØ£ÙØ§ÙØ ÙØ¹ Ø±Ø¤Ù ØÙÙ ØªÙÙÙÙ Ø·Ø±Ù Ø§ÙØªÙÙÙØ¶ Ø§ÙØ®Ø§Ø±Ø¬Ù.

حل مشكلات الترخيص في تدفق الهواء

Daniel Marino

الاثنين، ١١ نوفمبر ٢٠٢٤ ٦:٢٨:١٣ م

التغلب على تحديات OAuth باستخدام Azure Entra ID وAirflow

قد يكون تكوين المصادقة لتطبيقات المؤسسات في كثير من الأحيان عملية معقدة، خاصة عند العمل مع الأنظمة الأساسية المتقدمة مثل معرف أزور إنترا و أباتشي تدفق الهواء. 🎛️ في البيئات المستندة إلى السحابة اليوم، توفر عمليات التكامل هذه إدارة آمنة ومركزية للمستخدمين، ولكنها يمكن أن تجلب نصيبها من العقبات التقنية، لا سيما مع التفويض المستند إلى OAuth.

تخيل أنك قمت بإعداد كل شيء بدقة - بدءًا من عملاء OAuth وحتى الأدوار في Azure - وأن المصادقة الأولية تعمل بسلاسة. ومع ذلك، فقط عندما تعتقد أنك مستعد لبدء البث المباشر، فإن خطأ في التفويض يظهر، ووقف التقدم المحرز الخاص بك الباردة. يمكن أن تكون هذه تجربة محبطة، ولكنها تمثل تحديًا يمكن حله من خلال فهم أعمق لمتطلبات Azure JSON Web Key Set (JWKS).

تتناول هذه المقالة سيناريو حقيقيًا حيث يكتمل الإعداد، ولكن Airflow يرفض المستخدمين في مرحلة الترخيص. سنتعمق في الأسباب المحتملة لرسالة الخطأ، "مجموعة مفاتيح ويب JSON غير صالحة"، ونستعرض نصائح استكشاف الأخطاء وإصلاحها للتأكد تكامل OAuth الناجح في بيئة الإنتاج.

من خلال معالجة هذه المشكلات الشائعة، ستكون جاهزًا لتحسين إعداد الأمان الخاص بك للحصول على تجربة وصول سلسة ومصرح بها. دعونا نتعمق في تحويل هذه الأخطاء إلى رؤى! 🔑

يأمر	مثال للاستخدام
azure.authorize(callback=url_for('authorized', _external=True))	يبدأ هذا الأمر عملية ترخيص OAuth، ويعيد توجيه المستخدمين إلى صفحة تسجيل الدخول إلى Azure. تحدد معلمة رد الاتصال وظيفة للتعامل مع استجابة التفويض بمجرد مصادقة المستخدم.
jwks_uri	تم تحديد URI لمجموعة مفاتيح الويب JSON (JWKS) لاسترداد المفاتيح العامة التي يستخدمها Azure للتحقق من صحة رموز JWT المميزة. يعد هذا الإعداد أمرًا بالغ الأهمية لضمان التحقق الآمن من الرمز المميز.
get_oauth_user_info	يتم تجاوز هذه الطريقة لتحليل واستخراج معلومات المستخدم من رمز JWT المستلم أثناء المصادقة. فهو يقوم بتخصيص طريقة التعامل مع تفاصيل المستخدم بعد الترخيص، وتعيين بيانات الرمز المميز إلى خصائص مستخدم Airflow.
authorize_url	يحدد هذا الأمر نقطة نهاية URL لتخويل المستخدم باستخدام Azure. هذا هو المكان الذي يبدأ فيه تدفق OAuth، لتوجيه المستخدمين إلى واجهة تسجيل الدخول للسماح بالوصول إلى التطبيق.
access_token_url	يحدد نقطة نهاية Azure المستخدمة لتبادل رمز التفويض لرمز وصول، والذي يمنح الوصول إلى ملف تعريف المستخدم والأذونات الأخرى المحددة في النطاق.
session.get('azure_token')	يسترد رمز Azure OAuth المميز من مساحة تخزين الجلسة، مما يتيح الوصول إلى نقاط النهاية الآمنة من خلال توفير رمز الوصول في طلبات API. يضمن هذا الأمر تخزين الرمز المميز وإدارته بشكل آمن في مساحة تخزين الجلسة.
client_kwargs	يحتوي على معلمات تكوين عميل إضافية لـ OAuth. هنا، يتم استخدام client_kwargs لتحديد نطاقات مثل openid والبريد الإلكتروني والملف الشخصي للتحكم في نوع البيانات التي يمكن للتطبيق الوصول إليها نيابة عن المستخدم.
super().get_oauth_user_info	يستخدم وظيفة Python super() لتوسيع طريقة معلومات مستخدم OAuth الافتراضية من خلال التحليل المخصص. يسمح لنا هذا الأسلوب بمعالجة الأخطاء وسجلات التصحيح مع الحفاظ على الوظائف الموروثة.
request_token_params	يحدد معلمات إضافية لطلب OAuth الأولي. في هذا الإعداد، يحدد نطاق الوصول المطلوب من المستخدم، مما يساعد في جلب بيانات المستخدم المطلوبة فقط أثناء المصادقة.
window.location.href	يُستخدم هذا الأمر في البرنامج النصي للواجهة الأمامية لـ JavaScript، وهو يعيد توجيه المتصفح ديناميكيًا إلى عنوان URL لتفويض OAuth. يقوم بإنشاء عنوان URL باستخدام معلمات استعلام خاصة بالمستخدم لبدء تدفق تسجيل الدخول.

تعزيز أمان OAuth في تدفق الهواء باستخدام البرامج النصية المخصصة

في هذا الحل، نتناول كيفية التكامل معرف أزور إنترا مع تدفق الهواء للمصادقة والتفويض المستند إلى OAuth. يوفر هذا التكامل طريقة آمنة ومركزية لإدارة وصول المستخدم، وهو مثالي للمؤسسات ذات متطلبات الأمان المعقدة. يعمل البرنامج النصي الأولي عن طريق إعداد تكوين OAuth الضروري في الواجهة الخلفية لـ Airflow، وتحديد المعلمات المهمة مثل JWKS URI (JSON Web Key Set URI) للسماح بالتحقق الآمن من صحة الرمز المميز. الغرض من "jwks_uri" هو استرداد المفاتيح العامة من Azure، مما يضمن أن JWTs (JSON Web Tokens) المستلمة من Azure شرعية وغير قابلة للتلاعب. تعد هذه خطوة حاسمة، حيث أن الرموز المميزة بدون التحقق المناسب يمكن أن تؤدي إلى وصول غير مصرح به.

يستخدم البرنامج النصي أيضًا معلمات "authorize_url" و"access_token_url"، التي تحدد نقاط نهاية URL في Azure لبدء تدفق OAuth وتبادل رموز التفويض لرموز الوصول، على التوالي. تعد عناوين URL هذه أساسية لتوجيه المستخدمين خلال عملية OAuth، بدءًا من صفحة تسجيل الدخول إلى Azure وإعادتهم إلى Airflow بمجرد المصادقة. على سبيل المثال، ستتم إعادة توجيه الموظف الذي يقوم بتسجيل الدخول إلى لوحة معلومات Airflow الخاصة بالشركة إلى Azure، حيث يقوم بإدخال بيانات الاعتماد الخاصة به. عند تسجيل الدخول بنجاح، يرسل Azure المستخدم مرة أخرى إلى واجهة Airflow، ويمرر رمز وصول في الخلفية، مما يسمح له بالوصول المصرح به بناءً على دور Azure الخاص به.

بالإضافة إلى ذلك، تستفيد فئة الأمان المخصصة في البرنامج النصي، `AzureCustomSecurity`، من وظيفة التجاوز، "get_oauth_user_info"، والتي تسمح لـ Airflow باسترداد المعلومات الخاصة بالمستخدم مباشرةً من JWT. يعد هذا مفيدًا بشكل خاص لأنه يقوم بتخصيص البيانات التي تسحبها Airflow من الرمز المميز، بما في ذلك اسم المستخدم والبريد الإلكتروني وأدوار المجموعة، والتي ترتبط بشكل مباشر بالأدوار في Azure مثل "المسؤول" أو "العارض". على سبيل المثال، إذا كان المستخدم ينتمي إلى مجموعة "airflow_nonprod_admin" في Azure، فسيتم تعيينه إلى دور "المسؤول" في Airflow، مما يمنحه حق الوصول على مستوى المسؤول. يلغي هذا النهج الحاجة إلى إعداد دور إضافي داخل Airflow، مما يجعله حلاً قابلاً للتطوير للمؤسسات.

أخيرًا، يبدأ البرنامج النصي للواجهة الأمامية لـ JavaScript تدفق OAuth عن طريق إعادة توجيه المستخدمين إلى عنوان URL المحدد للتفويض باستخدام معلمات الاستعلام المناسبة، بما في ذلك معرف العميل والنطاق. وهذا يضمن أن المستخدمين الذين لديهم أذونات محددة فقط (مثل قراءة الملفات الشخصية ورسائل البريد الإلكتروني) يمكنهم متابعة تدفق OAuth. في حالة فشل التفويض، يقوم البرنامج النصي بتنبيه المستخدم برسالة خطأ سهلة، مما يضمن تجربة مستخدم سلسة حتى عند ظهور المشكلات. تعمل مكونات الواجهة الخلفية والأمامية معًا على إنشاء إعداد متماسك وآمن يعمل على تبسيط وصول المستخدم وتحصين التطبيق ضد المحاولات غير المصرح بها - وهو إجراء حاسم لحماية البيانات التنظيمية الحساسة. 🔒

حل أخطاء تفويض OAuth في تدفق الهواء باستخدام أساليب البرمجة النصية المتعددة

الحل الأول - البرنامج النصي Python Backend لترخيص OAuth

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

النهج الخلفي البديل - تكوين تدفق الهواء باستخدام JWKS وOpenID للتحقق من صحة الرمز المميز

حل خلفي آخر مع التركيز على تكوين OpenID Connect وJSON Web Key Set في Airflow

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

Frontend Script - JavaScript للتعامل مع تفويض OAuth

أسلوب JavaScript للتعامل مع عمليات إعادة توجيه OAuth والأخطاء على الواجهة الأمامية

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

استكشاف تعيين الأدوار والأذونات لمعرف Azure Entra في Airflow

عند التكوين معرف أزور إنترا للاستخدام في تدفق الهواء البيئة، فإن إنشاء تعيينات واضحة للأدوار أمر ضروري للتحكم الفعال في الوصول. يضمن تعيين الأدوار أن المستخدمين الذين يقومون بتسجيل الدخول إلى Airflow من خلال Azure Entra ID قد تم تعيينهم لأذونات بناءً على أدوارهم في Azure، مما يوفر طريقة آمنة وسهلة الإدارة للتحكم في مستويات الوصول. على سبيل المثال، تعيين الأدوار في Azure لمجموعات مثل airflow_nonprod_admin أو airflow_nonprod_op يساعد على تعيين كل دور لمستويات وصول محددة لتدفق الهواء دون تكرار الأذونات. يؤدي ذلك إلى تبسيط إدارة الأمان من خلال السماح للمسؤول بالتعامل مع تكوينات الوصول في Azure مباشرةً.

في هذا الإعداد، AUTH_ROLES_MAPPING يتم استخدام المعلمة لربط أدوار Azure بأدوار Airflow، مما يضمن أن المستخدمين يرثون الأذونات المناسبة عند تسجيل الدخول. إذا كان المستخدم ينتمي إلى airflow_nonprod_viewer المجموعة، سيتم تعيين دور "العارض" لهم تلقائيًا في Airflow، مما يقصر إجراءاتهم على عرض سير العمل والسجلات دون حقوق التحرير. يعد هذا النهج مفيدًا بشكل خاص للمؤسسات التي لديها فرق وأقسام متعددة، حيث يتيح تحكمًا أكثر دقة في وصول المستخدم دون الحاجة إلى تحديثات مستمرة للأذونات الفردية داخل Airflow.

أخيرًا، باستخدام ميزة تسجيل التطبيقات في Azure Entra ID، يمكن للمسؤولين تكوين إعدادات SAML وOAuth التي تتوافق مع متطلبات دور Airflow. على سبيل المثال، يضمن تحديد معرف الكيان وعناوين URL للرد إصدار رموز OAuth المميزة الصحيحة عند مصادقة المستخدم. لا تعمل هذه الطريقة على تعزيز الأمان فحسب، بل تعمل أيضًا على تحسين سير عمل الفريق، مع التأكد من أن المستخدمين المصرح لهم فقط هم الذين يقومون بتعديل المهام بشكل نشط داخل Airflow. تعتبر هذه الاستراتيجيات فعالة في عمليات النشر واسعة النطاق حيث يعد دمج أدوار المستخدم مع سياسات أمان التطبيق أمرًا حيويًا لمنع الوصول غير المصرح به. 🔐

أسئلة أساسية حول دمج Azure Entra ID مع Airflow

ما هو الغرض من AUTH_ROLES_MAPPING المعلمة في تدفق الهواء؟
ال AUTH_ROLES_MAPPING تربط المعلمة أدوار Azure بأدوار Airflow، مما يتيح تعيينات الأدوار التلقائية بناءً على عضويات المجموعة في Azure. يعمل هذا على تبسيط التحكم في الوصول عن طريق تعيين الأذونات المناسبة للمستخدمين الذين يقومون بتسجيل الدخول عبر معرف Azure Entra.
كيف jwks_uri العمل في إعداد OAuth؟
ال jwks_uri يحدد URI حيث يمكن استرداد مفاتيح Azure العامة للتحقق من رمز JWT. تعتبر هذه الخطوة ضرورية للتحقق من صحة الرموز المميزة، ومنع الوصول غير المصرح به.
لماذا يتم تعيين redirect_uri في مقدمي OAuth المهم؟
ال redirect_uri يخبر Azure بالمكان الذي سيتم إرسال المستخدمين إليه بعد المصادقة الناجحة. يتم تعيين هذا غالبًا على نقطة نهاية Airflow التي تتعامل مع استجابات OAuth، مما يسمح بالتكامل السلس بين Azure وAirflow.
هل يمكن تعيين أدوار متعددة لمجموعة Azure Entra ID واحدة؟
نعم، يمكن تعيين أدوار متعددة لمجموعة Azure واحدة، مما يتيح المرونة في تعيين الأذونات. على سبيل المثال، يمكن ربط كل من أدوار "المسؤول" و"العارض" بمجموعة من أجل الأذونات المتداخلة.
ما هي أفضل طريقة لاستكشاف أخطاء "مجموعة مفاتيح ويب JSON غير الصالحة" وإصلاحها؟
تأكد من jwks_uri تم تكوينه بشكل صحيح ويمكن الوصول إليه. تحدث الأخطاء غالبًا إذا تعذر الوصول إلى نقطة النهاية أو إذا تم تخزين مفاتيح Azure Entra ID مؤقتًا بشكل غير صحيح في Airflow.
كيف client_kwargs نطاق تعزيز الأمن؟
ال client_kwargs يحد النطاق من البيانات التي يمكن لـ Airflow الوصول إليها من ملف تعريف المستخدم، مما يفرض تقييد الوصول إلى المعلومات الحساسة، وهو أمر أساسي للامتثال في إعدادات الشركة.
هل تمكين WTF_CSRF_ENABLED تحسين الأمن؟
نعم، WTF_CSRF_ENABLED يوفر الحماية من تزوير الطلب عبر المواقع لتدفق الهواء، مما يمنع الطلبات غير المصرح بها. يوصى بشدة بهذه العلامة في بيئات الإنتاج لمزيد من الأمان.
كيف يمكنني التعامل مع طلب تسجيل الدخول المرفوض؟
قم بمراجعة أدوار المستخدم في Azure للتأكد من تعيينها بشكل صحيح. بالإضافة إلى ذلك، تحقق authorize_url وتعيين المجموعة صحيح، حيث تؤثر هذه الإعدادات على نجاح المصادقة.
هل يمكنني استخدام موفر OAuth مختلف عن Azure؟
نعم، يدعم Airflow موفري OAuth الآخرين مثل Google أو Okta عن طريق ضبط المعلمات الخاصة بالموفر OAUTH_PROVIDERS. قد يكون لدى كل مزود عناوين URL فريدة ومتطلبات تكوين.

الأفكار النهائية حول تأمين تدفق الهواء باستخدام Azure Entra ID

يمكن أن يؤدي دمج Azure Entra ID مع Airflow إلى تبسيط المصادقة عبر المؤسسات. من خلال تكوين معلمات OAuth بعناية مثل ملف jwks_uri والوصول إلى عناوين URL المميزة، فإنك تقوم بإنشاء اتصالات آمنة تقلل من مخاطر الوصول غير المصرح به. يعد هذا المستوى من الأمان ضروريًا لأي مؤسسة تعتمد على البيانات.

تسمح تعيينات الأدوار في Azure بإستراتيجية وصول قابلة للتطوير وقائمة على الأدوار في Airflow. باستخدام هذه التعيينات، تصبح إدارة المستخدمين وتعيين الأذونات أكثر كفاءة، خاصة في الفرق الكبيرة. إن الفهم الواضح لهذه التكوينات يمكن أن يجعل إعداد الترخيص الخاص بك أكثر مرونة لاحتياجات الأمان المستقبلية. 🔒

المصادر والمراجع الرئيسية لتكامل Azure وAirflow

وثائق مايكروسوفت حول التكامل أزور الدليل النشط وOAuth لمصادقة المؤسسة وإدارة الوصول.
الدليل الرسمي لـ Apache Airflow OAuth وتكوينات الأمان ، مع رؤى حول تكوين طرق التفويض الخارجي.
وثائق مخطط النشر التفصيلي لـ Helm لـ مخطط خوذة تدفق الهواء مع التركيز على ممارسات النشر الآمنة في بيئات Kubernetes.
رؤى من مكتبة Python Flask-OAuth للتكامل قارورة أوثليب باستخدام Azure Entra ID، وهو مورد رئيسي لإدارة تدفق الرمز المميز وتفويض المستخدم في التطبيقات المستندة إلى Python.
موارد استكشاف الأخطاء وإصلاحها في Azure AD عند المعالجة الأخطاء المتعلقة بـ OAuth ، مع التركيز بشكل خاص على المشكلات المتعلقة بمجموعات مفاتيح الويب JSON والتحقق من الرمز المميز.

حل مشكلات الترخيص في تدفق الهواء باستخدام تكامل Azure Entra ID