Résolution des problèmes d'autorisation dans Airflow avec l'intégration d'Azure Entra ID

Temp mail SuperHeros
Résolution des problèmes d'autorisation dans Airflow avec l'intégration d'Azure Entra ID
Résolution des problèmes d'autorisation dans Airflow avec l'intégration d'Azure Entra ID
Daniel Marino
Lundi 11 novembre 2024 à 18:20:32

Surmonter les défis OAuth avec Azure Entra ID et Airflow

La configuration de l'authentification pour les applications d'entreprise peut souvent être un processus complexe, en particulier lorsque vous travaillez avec des plates-formes avancées telles que Identifiant Azure Entra et Flux d'air Apache. 🎛️ Dans les environnements cloud d’aujourd’hui, de telles intégrations offrent une gestion sécurisée et centralisée des utilisateurs, mais peuvent apporter leur lot d’obstacles techniques, en particulier avec l’autorisation basée sur OAuth.

Imaginez que vous avez tout configuré méticuleusement – ​​des clients OAuth aux rôles dans Azure – et que l'authentification initiale fonctionne de manière transparente. Cependant, juste au moment où vous pensez être prêt à passer au live, un erreur d'autorisation apparaît, arrêtant votre progression à froid. Cela peut être une expérience frustrante, mais c’est un défi qui peut être résolu avec une compréhension plus approfondie des exigences du jeu de clés Web JSON (JWKS) d’Azure.

Cet article aborde un scénario réel dans lequel la configuration est terminée, mais Airflow rejette les utilisateurs au stade de l'autorisation. Nous examinerons les causes potentielles du message d'erreur « Jeu de clés Web JSON non valide » et passerons en revue les conseils de dépannage pour garantir intégration OAuth réussie dans un environnement de production.

En résolvant ces problèmes courants, vous serez prêt à optimiser votre configuration de sécurité pour une expérience d’accès fluide et autorisée. Allons-y pour transformer ces erreurs en informations ! 🔑

Commande Exemple d'utilisation
azure.authorize(callback=url_for('authorized', _external=True)) Cette commande lance le processus d'autorisation OAuth, redirigeant les utilisateurs vers la page de connexion d'Azure. Le paramètre de rappel spécifie une fonction pour gérer la réponse d'autorisation une fois l'utilisateur authentifié.
jwks_uri L’URI JSON Web Key Set (JWKS) est spécifié pour récupérer les clés publiques utilisées par Azure pour valider l’authenticité des jetons JWT. Ce paramètre est essentiel pour garantir une vérification sécurisée des jetons.
get_oauth_user_info Cette méthode est remplacée pour analyser et extraire les informations utilisateur du jeton JWT reçu lors de l'authentification. Il personnalise la façon dont les détails de l'utilisateur sont traités après autorisation, en mappant les données du jeton aux propriétés de l'utilisateur Airflow.
authorize_url Cette commande définit le point de terminaison de l'URL pour l'autorisation utilisateur avec Azure. C'est là que commence le flux OAuth, dirigeant les utilisateurs vers une interface de connexion pour autoriser l'accès à l'application.
access_token_url Spécifie le point de terminaison Azure utilisé pour échanger un code d'autorisation contre un jeton d'accès, qui accorde l'accès au profil de l'utilisateur et à d'autres autorisations définies dans la portée.
session.get('azure_token') Récupère le jeton Azure OAuth du stockage de session, permettant l'accès aux points de terminaison sécurisés en fournissant le jeton d'accès dans les requêtes API. Cette commande garantit que le jeton est stocké et géré de manière sécurisée dans le stockage de session.
client_kwargs Contient des paramètres de configuration client supplémentaires pour OAuth. Ici, client_kwargs est utilisé pour définir des étendues telles que openid, email et profile afin de contrôler le type de données auxquelles l'application peut accéder au nom de l'utilisateur.
super().get_oauth_user_info Utilise la fonction super() de Python pour étendre la méthode d'informations utilisateur OAuth par défaut avec une analyse personnalisée. Cette approche nous permet de gérer les erreurs et les journaux de débogage tout en conservant les fonctionnalités héritées.
request_token_params Définit des paramètres supplémentaires pour la requête OAuth initiale. Dans cette configuration, il spécifie l'étendue de l'accès demandé à l'utilisateur, ce qui permet de récupérer uniquement les données utilisateur requises lors de l'authentification.
window.location.href Utilisée dans le script frontal JavaScript, cette commande redirige dynamiquement le navigateur vers l'URL d'autorisation OAuth. Il construit l'URL avec des paramètres de requête spécifiques à l'utilisateur pour lancer le flux de connexion.

Améliorer la sécurité OAuth dans Airflow avec des scripts personnalisés

Dans cette solution, nous abordons comment intégrer Identifiant Azure Entra avec Flux d'air pour l'authentification et l'autorisation basées sur OAuth. Cette intégration offre un moyen sécurisé et centralisé de gérer l'accès des utilisateurs, idéal pour les organisations ayant des exigences de sécurité complexes. Le script initial fonctionne en configurant la configuration OAuth nécessaire dans le backend d'Airflow, en définissant des paramètres importants tels que le URI JWKS (JSON Web Key Set URI) pour permettre une vérification sécurisée de l’authenticité du jeton. Le but du « jwks_uri » est de récupérer les clés publiques d’Azure, ce qui garantit que les JWT (JSON Web Tokens) reçus d’Azure sont légitimes et non falsifiés. Il s’agit d’une étape cruciale, car les jetons sans vérification appropriée peuvent conduire à un accès non autorisé.

Le script utilise également les paramètres « authorize_url » et « access_token_url », qui définissent respectivement les points de terminaison d'URL dans Azure pour lancer le flux OAuth et échanger des codes d'autorisation pour les jetons d'accès. Ces URL sont essentielles pour guider les utilisateurs tout au long du processus OAuth, en commençant par une page de connexion Azure et en les renvoyant à Airflow une fois authentifiés. Par exemple, un employé se connectant au tableau de bord Airflow de l’entreprise serait redirigé vers Azure, où il saisirait ses informations d’identification. Une fois la connexion réussie, Azure renvoie l'utilisateur à l'interface Airflow, en lui transmettant un jeton d'accès en arrière-plan, ce qui lui permet un accès autorisé en fonction de son rôle Azure.

De plus, la classe de sécurité personnalisée dans le script, « AzureCustomSecurity », exploite une fonction de remplacement, « get_oauth_user_info », qui permet à Airflow de récupérer des informations spécifiques à l'utilisateur directement à partir du JWT. Ceci est particulièrement utile car il personnalise les données qu'Airflow extrait du jeton, y compris le nom d'utilisateur, l'adresse e-mail et les rôles de groupe, qui sont directement en corrélation avec les rôles dans Azure tels que « Administrateur » ou « Visionneuse ». Par exemple, si un utilisateur appartient au groupe « airflow_nonprod_admin » dans Azure, il est mappé au rôle « Admin » dans Airflow, lui donnant un accès de niveau administrateur. Cette approche élimine le besoin de configuration de rôles supplémentaires dans Airflow, ce qui en fait une solution évolutive pour les organisations.

Enfin, le script frontal JavaScript lance le flux OAuth en redirigeant les utilisateurs vers l'URL d'autorisation spécifiée avec les paramètres de requête appropriés, notamment l'ID client et la portée. Cela garantit que seuls les utilisateurs disposant d'autorisations spécifiques (telles que la lecture de profils et d'e-mails) peuvent poursuivre le flux OAuth. Si l'autorisation échoue, le script alerte l'utilisateur avec un message d'erreur convivial, garantissant une expérience utilisateur fluide même en cas de problèmes. Ensemble, ces composants backend et frontend créent une configuration cohérente et sécurisée qui rationalise l'accès des utilisateurs et renforce l'application contre les tentatives non autorisées – une mesure cruciale pour protéger les données organisationnelles sensibles. 🔒

Résolution des erreurs d'autorisation OAuth dans Airflow avec plusieurs approches de script

Première solution - Script backend Python pour l'autorisation OAuth

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

Approche backend alternative - Configuration du flux d'air à l'aide de JWKS et OpenID pour la validation sécurisée des jetons

Une autre solution backend axée sur la configuration d'OpenID Connect et de JSON Web Key Set dans Airflow

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

Script frontend – JavaScript pour la gestion des autorisations OAuth

Une approche JavaScript pour gérer les redirections et les erreurs OAuth sur le frontend

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

Explorer le mappage de rôles et les autorisations pour Azure Entra ID dans Airflow

Lors de la configuration Identifiant Azure Entra pour une utilisation dans un Flux d'air environnement, l’établissement d’une cartographie claire des rôles est essentiel pour un contrôle d’accès efficace. Le mappage des rôles garantit que les utilisateurs qui se connectent à Airflow via Azure Entra ID se voient attribuer des autorisations en fonction de leurs rôles Azure, offrant ainsi un moyen sécurisé et gérable de contrôler les niveaux d'accès. Par exemple, attribuer des rôles dans Azure à des groupes comme airflow_nonprod_admin ou airflow_nonprod_op permet de mapper chaque rôle à des niveaux d'accès Airflow spécifiques sans dupliquer les autorisations. Cela rationalise la gestion de la sécurité en permettant à un administrateur de gérer directement les configurations d’accès dans Azure.

Dans cette configuration, le AUTH_ROLES_MAPPING Le paramètre est utilisé pour lier les rôles Azure aux rôles Airflow, garantissant ainsi que les utilisateurs héritent des autorisations appropriées lors de la connexion. Si un utilisateur appartient au airflow_nonprod_viewer groupe, ils se verront automatiquement attribuer un rôle « Viewer » dans Airflow, limitant leurs actions à l'affichage des flux de travail et des journaux sans droits de modification. Cette approche est particulièrement utile pour les organisations comptant plusieurs équipes et départements, car elle permet un contrôle plus granulaire sur l'accès des utilisateurs sans nécessiter de mises à jour continues des autorisations individuelles dans Airflow.

Enfin, en utilisant la fonctionnalité d'enregistrement des applications d'Azure Entra ID, les administrateurs peuvent configurer les paramètres SAML et OAuth qui correspondent aux exigences du rôle d'Airflow. Par exemple, la définition de l'ID d'entité et des URL de réponse garantit que les jetons OAuth corrects sont émis lors de l'authentification de l'utilisateur. Cette méthode améliore non seulement la sécurité, mais optimise également les flux de travail des équipes, en garantissant que seuls les utilisateurs autorisés modifient activement les tâches dans Airflow. De telles stratégies sont efficaces dans les déploiements à grande échelle où l'intégration des rôles d'utilisateur avec les politiques de sécurité des applications est vitale pour empêcher tout accès non autorisé. 🔐

Questions essentielles sur l'intégration d'Azure Entra ID avec Airflow

  1. Quel est le but du AUTH_ROLES_MAPPING paramètre dans Airflow ?
  2. Le AUTH_ROLES_MAPPING Le paramètre connecte les rôles Azure aux rôles Airflow, permettant des attributions de rôles automatisées basées sur les appartenances à des groupes dans Azure. Cela simplifie le contrôle d'accès en attribuant les autorisations appropriées aux utilisateurs se connectant via Azure Entra ID.
  3. Comment le jwks_uri fonctionne-t-il dans la configuration OAuth ?
  4. Le jwks_uri définit l'URI où les clés publiques d'Azure peuvent être récupérées pour la vérification du jeton JWT. Cette étape est cruciale pour valider l’authenticité des jetons et empêcher tout accès non autorisé.
  5. Pourquoi définir le redirect_uri dans les fournisseurs OAuth est-il important ?
  6. Le redirect_uri indique à Azure où envoyer les utilisateurs après une authentification réussie. Ceci est souvent défini sur le point de terminaison Airflow gérant les réponses OAuth, permettant une intégration fluide entre Azure et Airflow.
  7. Plusieurs rôles peuvent-ils être attribués à un seul groupe Azure Entra ID ?
  8. Oui, plusieurs rôles peuvent être mappés à un seul groupe Azure, ce qui permet une flexibilité dans l'attribution des autorisations. Par exemple, les rôles « Administrateur » et « Visualiseur » peuvent être associés à un groupe pour des autorisations qui se chevauchent.
  9. Quelle est la meilleure façon de résoudre les erreurs « Jeu de clés Web JSON non valide » ?
  10. Assurer le jwks_uri est correctement configuré et accessible. Des erreurs se produisent souvent si le point de terminaison est inaccessible ou si les clés Azure Entra ID ne sont pas correctement mises en cache dans Airflow.
  11. Comment le client_kwargs la portée améliore-t-elle la sécurité ?
  12. Le client_kwargs la portée limite les données auxquelles Airflow peut accéder à partir d'un profil utilisateur, imposant un accès restreint aux informations sensibles, ce qui est essentiel pour la conformité dans les environnements d'entreprise.
  13. Est-ce que l'activation WTF_CSRF_ENABLED améliorer la sécurité ?
  14. Oui, WTF_CSRF_ENABLED fournit une protection contre la falsification de demandes intersites pour Airflow, empêchant les demandes non autorisées. Cet indicateur est fortement recommandé dans les environnements de production pour plus de sécurité.
  15. Comment puis-je gérer une demande de connexion refusée ?
  16. Examinez les rôles d’utilisateur dans Azure pour confirmer qu’ils sont correctement attribués. De plus, vérifiez authorize_url et le mappage de groupe sont corrects, car ces paramètres ont un impact sur le succès de l'authentification.
  17. Puis-je utiliser un fournisseur OAuth différent d’Azure ?
  18. Oui, Airflow prend en charge d'autres fournisseurs OAuth comme Google ou Okta en ajustant les paramètres spécifiques au fournisseur dans OAUTH_PROVIDERS. Chaque fournisseur peut avoir des URL et des exigences de configuration uniques.

Réflexions finales sur la sécurisation du flux d'air avec Azure Entra ID

L'intégration d'Azure Entra ID avec Airflow peut rationaliser l'authentification dans les organisations. En configurant soigneusement les paramètres OAuth comme le jwks_uri et accédez aux URL des jetons, vous établissez des connexions sécurisées qui minimisent le risque d'accès non autorisé. Ce niveau de sécurité est essentiel pour toute organisation axée sur les données.

Les mappages de rôles dans Azure permettent une stratégie d'accès évolutive et basée sur les rôles dans Airflow. Grâce à ces mappages, la gestion des utilisateurs et l'attribution des autorisations deviennent plus efficaces, en particulier dans les grandes équipes. Une compréhension claire de ces configurations peut rendre votre configuration d’autorisation plus résiliente aux futurs besoins de sécurité. 🔒

Sources et références clés pour l'intégration d'Azure et d'Airflow
  1. Documentation Microsoft sur l'intégration Azure Active Directory et OAuth pour l'authentification d'entreprise et la gestion des accès.
  2. Le guide officiel d'Apache Airflow pour Configurations OAuth et de sécurité , avec des informations sur la configuration des méthodes d'autorisation externes.
  3. Documentation détaillée du tableau de déploiement de Helm pour Tableau de pilotage du flux d'air , en se concentrant sur les pratiques de déploiement sécurisées dans les environnements Kubernetes.
  4. Informations de la bibliothèque Python Flask-OAuth pour l'intégration Flacon OAuthlib avec Azure Entra ID, une ressource clé pour gérer le flux de jetons et l'autorisation des utilisateurs dans les applications basées sur Python.
  5. Ressources de dépannage Azure AD sur la gestion Erreurs liées à OAuth , en se concentrant spécifiquement sur les problèmes liés aux ensembles de clés Web JSON et à la vérification des jetons.