Azure Entra ID इंटीग्रेशन के साथ एयरफ़्लो में प्राधिकरण संबंधी समस्याओं का समाधान करना

एकाधिक स्क्रिप्टिंग दृष्टिकोण के साथ एयरफ़्लो में OAuth प्राधिकरण त्रुटियों का समाधान

पहला समाधान - OAuth प्राधिकरण के लिए पायथन बैकएंड स्क्रिप्ट

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

वैकल्पिक बैकएंड दृष्टिकोण - सुरक्षित टोकन सत्यापन के लिए जेडब्ल्यूकेएस और ओपनआईडी का उपयोग करके एयरफ्लो कॉन्फ़िगरेशन

एयरफ़्लो में ओपनआईडी कनेक्ट और JSON वेब कुंजी सेट कॉन्फ़िगरेशन पर ध्यान देने के साथ एक और बैकएंड समाधान

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

फ्रंटएंड स्क्रिप्ट - OAuth प्राधिकरण हैंडलिंग के लिए जावास्क्रिप्ट

OAuth रीडायरेक्ट और फ्रंटएंड पर त्रुटियों से निपटने के लिए एक जावास्क्रिप्ट दृष्टिकोण

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

एज़्योर एंट्रा आईडी को एयरफ़्लो के साथ एकीकृत करने पर आवश्यक प्रश्न

1. का उद्देश्य क्या है AUTH_ROLES_MAPPING एयरफ्लो में पैरामीटर?
2. AUTH_ROLES_MAPPING पैरामीटर Azure भूमिकाओं को एयरफ़्लो भूमिकाओं से जोड़ता है, Azure में समूह सदस्यता के आधार पर स्वचालित भूमिका असाइनमेंट को सक्षम करता है। यह Azure Entra ID के माध्यम से लॉग इन करने वाले उपयोगकर्ताओं को उचित अनुमतियाँ प्रदान करके पहुंच नियंत्रण को सरल बनाता है।
3. कैसे करता है jwks_uri OAuth सेटअप में काम करें?
4. jwks_uri यूआरआई को परिभाषित करता है जहां जेडब्ल्यूटी टोकन सत्यापन के लिए एज़्योर की सार्वजनिक कुंजी पुनर्प्राप्त की जा सकती है। यह कदम टोकन की प्रामाणिकता को सत्यापित करने, अनधिकृत पहुंच को रोकने के लिए महत्वपूर्ण है।
5. क्यों सेट कर रहा है redirect_uri OAuth प्रदाताओं में महत्वपूर्ण?
6. redirect_uri Azure को बताता है कि सफल प्रमाणीकरण के बाद उपयोगकर्ताओं को कहाँ भेजना है। इसे अक्सर OAuth प्रतिक्रियाओं को संभालने वाले एयरफ़्लो एंडपॉइंट पर सेट किया जाता है, जिससे Azure और Airflow के बीच सहज एकीकरण की अनुमति मिलती है।
7. क्या एक ही Azure Entra ID समूह को एकाधिक भूमिकाएँ सौंपी जा सकती हैं?
8. हाँ, एकाधिक भूमिकाओं को एक ही Azure समूह में मैप किया जा सकता है, जिससे अनुमतियाँ निर्दिष्ट करने में लचीलापन मिलता है। उदाहरण के लिए, ओवरलैपिंग अनुमतियों के लिए "एडमिन" और "व्यूअर" दोनों भूमिकाओं को एक समूह के साथ जोड़ा जा सकता है।
9. "अमान्य JSON वेब कुंजी सेट" त्रुटियों का निवारण करने का सबसे अच्छा तरीका क्या है?
10. सुनिश्चित करें jwks_uri सही ढंग से कॉन्फ़िगर और पहुंच योग्य है। यदि समापन बिंदु पहुंच योग्य नहीं है या यदि एज़्योर एंट्रा आईडी कुंजियाँ एयरफ्लो में गलत तरीके से कैश की गई हैं, तो त्रुटियाँ अक्सर होती हैं।
11. कैसे करता है client_kwargs दायरा सुरक्षा बढ़ाएँ?
12. client_kwargs दायरा उस डेटा को सीमित करता है जिसे एयरफ़्लो उपयोगकर्ता प्रोफ़ाइल से एक्सेस कर सकता है, संवेदनशील जानकारी तक प्रतिबंधित पहुंच को लागू करता है, जो कॉर्पोरेट सेटिंग्स में अनुपालन के लिए महत्वपूर्ण है।
13. सक्षम करता है WTF_CSRF_ENABLED सुरक्षा में सुधार?
14. हाँ, WTF_CSRF_ENABLED अनधिकृत अनुरोधों को रोकते हुए, एयरफ्लो के लिए क्रॉस-साइट अनुरोध जालसाजी सुरक्षा प्रदान करता है। अतिरिक्त सुरक्षा के लिए उत्पादन परिवेश में इस ध्वज की अत्यधिक अनुशंसा की जाती है।
15. मैं अस्वीकृत साइन-इन अनुरोध को कैसे संभाल सकता हूँ?
16. Azure में उपयोगकर्ता भूमिकाओं की समीक्षा करके पुष्टि करें कि वे सही ढंग से असाइन की गई हैं। इसके अतिरिक्त, सत्यापित करें authorize_url और समूह मानचित्रण सही हैं, क्योंकि ये सेटिंग्स प्रमाणीकरण सफलता को प्रभावित करती हैं।
17. क्या मैं Azure से भिन्न OAuth प्रदाता का उपयोग कर सकता हूँ?
18. हाँ, एयरफ़्लो प्रदाता-विशिष्ट मापदंडों को समायोजित करके Google या Okta जैसे अन्य OAuth प्रदाताओं का समर्थन करता है OAUTH_PROVIDERS. प्रत्येक प्रदाता के पास अद्वितीय URL और कॉन्फ़िगरेशन आवश्यकताएँ हो सकती हैं।

Azure Entra ID के साथ वायु प्रवाह को सुरक्षित करने पर अंतिम विचार

Azure Entra ID को Airflow के साथ एकीकृत करने से सभी संगठनों में प्रमाणीकरण को सुव्यवस्थित किया जा सकता है। जैसे OAuth पैरामीटर को सावधानीपूर्वक कॉन्फ़िगर करके jwks_uri और टोकन यूआरएल तक पहुंच के साथ, आप सुरक्षित कनेक्शन स्थापित कर रहे हैं जो अनधिकृत पहुंच के जोखिम को कम करता है। सुरक्षा का यह स्तर किसी भी डेटा-संचालित संगठन के लिए आवश्यक है।

Azure में भूमिका मैपिंग एयरफ्लो में एक स्केलेबल, भूमिका-आधारित पहुंच रणनीति की अनुमति देती है। इन मैपिंग के साथ, उपयोगकर्ताओं को प्रबंधित करना और अनुमतियाँ निर्दिष्ट करना अधिक कुशल हो जाता है, खासकर बड़ी टीमों में। इन कॉन्फ़िगरेशन की स्पष्ट समझ आपके प्राधिकरण सेटअप को भविष्य की सुरक्षा आवश्यकताओं के लिए अधिक लचीला बना सकती है। 🔒