Menyelesaikan Masalah Otorisasi di Airflow dengan Integrasi Azure Entra ID

Temp mail SuperHeros
Menyelesaikan Masalah Otorisasi di Airflow dengan Integrasi Azure Entra ID
Menyelesaikan Masalah Otorisasi di Airflow dengan Integrasi Azure Entra ID
Daniel Marino
Senin, 11 November 2024 19.24.54

Mengatasi Tantangan OAuth dengan Azure Entra ID dan Airflow

Mengonfigurasi autentikasi untuk aplikasi perusahaan seringkali menjadi proses yang rumit, terutama saat bekerja dengan platform canggih seperti ID Entra Azure Dan Aliran Udara Apache. đŸŽ›ïž Di lingkungan berbasis cloud saat ini, integrasi semacam itu menawarkan manajemen pengguna yang aman dan terpusat, namun dapat menimbulkan banyak kendala teknis, terutama dengan otorisasi berbasis OAuth.

Bayangkan Anda telah menyiapkan semuanya dengan cermat – mulai dari klien OAuth hingga peran di Azure – dan autentikasi awal berfungsi dengan lancar. Namun, saat Anda merasa siap untuk melakukan siaran langsung, sebuah kesalahan otorisasi muncul, menghentikan kemajuan Anda. Ini bisa menjadi pengalaman yang membuat frustrasi, namun ini merupakan tantangan yang dapat diselesaikan dengan pemahaman yang lebih mendalam tentang persyaratan JSON Web Key Set (JWKS) Azure.

Artikel ini membahas skenario dunia nyata saat penyiapan selesai, tetapi Airflow menolak pengguna pada tahap otorisasi. Kami akan menyelidiki kemungkinan penyebab pesan kesalahan, "Kumpulan Kunci Web JSON Tidak Valid", dan mempelajari kiat pemecahan masalah untuk memastikannya. integrasi OAuth berhasil dalam lingkungan produksi.

Dengan mengatasi masalah umum ini, Anda akan siap mengoptimalkan pengaturan keamanan untuk pengalaman akses resmi yang lancar. Mari selami untuk mengubah kesalahan ini menjadi wawasan! 🔑

Memerintah Contoh Penggunaan
azure.authorize(callback=url_for('authorized', _external=True)) Perintah ini memulai proses otorisasi OAuth, mengarahkan pengguna ke halaman masuk Azure. Parameter panggilan balik menentukan fungsi untuk menangani respons otorisasi setelah pengguna diautentikasi.
jwks_uri URI JSON Web Key Set (JWKS) ditentukan untuk mengambil kunci publik yang digunakan oleh Azure untuk memvalidasi keaslian token JWT. Pengaturan ini penting untuk memastikan verifikasi token yang aman.
get_oauth_user_info Metode ini diganti untuk mengurai dan mengekstrak informasi pengguna dari token JWT yang diterima selama otentikasi. Ini mengkustomisasi cara detail pengguna ditangani setelah otorisasi, memetakan data token ke properti pengguna Airflow.
authorize_url Perintah ini menentukan titik akhir URL untuk otorisasi pengguna dengan Azure. Di sinilah alur OAuth dimulai, mengarahkan pengguna ke antarmuka masuk untuk mengizinkan akses aplikasi.
access_token_url Menentukan titik akhir Azure yang digunakan untuk menukar kode otorisasi dengan token akses, yang memberikan akses ke profil pengguna dan izin lain yang ditentukan dalam cakupan.
session.get('azure_token') Mengambil token Azure OAuth dari penyimpanan sesi, memungkinkan akses ke titik akhir aman dengan menyediakan token akses dalam permintaan API. Perintah ini memastikan token disimpan dan dikelola dengan aman di penyimpanan sesi.
client_kwargs Berisi parameter konfigurasi klien tambahan untuk OAuth. Di sini, client_kwargs digunakan untuk menentukan cakupan seperti openid, email, dan profil untuk mengontrol jenis data yang dapat diakses aplikasi atas nama pengguna.
super().get_oauth_user_info Menggunakan fungsi super() Python untuk memperluas metode informasi pengguna OAuth default dengan penguraian khusus. Pendekatan ini memungkinkan kami menangani kesalahan dan men-debug log sambil mempertahankan fungsionalitas yang diwarisi.
request_token_params Mendefinisikan parameter tambahan untuk permintaan OAuth awal. Dalam pengaturan ini, ini menentukan cakupan akses yang diminta dari pengguna, yang membantu dalam mengambil hanya data pengguna yang diperlukan selama otentikasi.
window.location.href Digunakan dalam skrip front-end JavaScript, perintah ini secara dinamis mengalihkan browser ke URL otorisasi OAuth. Ini membuat URL dengan parameter kueri khusus pengguna untuk memulai alur login.

Meningkatkan Keamanan OAuth di Airflow dengan Skrip Kustom

Dalam solusi ini, kami menangani cara mengintegrasikan ID Entra Azure dengan Aliran udara untuk autentikasi dan otorisasi berbasis OAuth. Integrasi ini memberikan cara yang aman dan terpusat untuk mengelola akses pengguna, ideal untuk organisasi dengan persyaratan keamanan yang kompleks. Skrip awal bekerja dengan menyiapkan konfigurasi OAuth yang diperlukan di backend Airflow, menentukan parameter penting seperti URI JWKS (JSON Web Key Set URI) untuk memungkinkan verifikasi keaslian token yang aman. Tujuan dari “jwks_uri” adalah untuk mengambil kunci publik dari Azure, yang memastikan bahwa JWT (Token Web JSON) yang diterima dari Azure adalah sah dan tidak diubah. Ini adalah langkah penting, karena token tanpa verifikasi yang tepat dapat menyebabkan akses tidak sah.

Skrip ini juga menggunakan parameter “authorize_url” dan “access_token_url”, yang masing-masing menentukan titik akhir URL di Azure untuk memulai aliran OAuth dan menukar kode otorisasi untuk token akses. URL ini adalah kunci untuk memandu pengguna melalui proses OAuth, dimulai dengan halaman masuk Azure dan mengembalikan mereka ke Airflow setelah diautentikasi. Misalnya, karyawan yang masuk ke dasbor Airflow perusahaan akan dialihkan ke Azure, tempat mereka memasukkan kredensialnya. Setelah login berhasil, Azure mengirim pengguna kembali ke antarmuka Airflow, meneruskan token akses di latar belakang, yang memungkinkan mereka memberi otorisasi akses berdasarkan peran Azure mereka.

Selain itu, kelas keamanan khusus dalam skrip, `AzureCustomSecurity`, memanfaatkan fungsi override, “get_oauth_user_info”, yang memungkinkan Airflow mengambil informasi spesifik pengguna langsung dari JWT. Hal ini sangat berguna karena menyesuaikan data apa yang diambil Airflow dari token, termasuk nama pengguna, email, dan peran grup, yang berkorelasi langsung dengan peran di Azure seperti “Admin” atau “Viewer.” Misalnya, jika pengguna termasuk dalam grup “airflow_nonprod_admin” di Azure, mereka dipetakan ke peran “Admin” di Airflow, sehingga memberi mereka akses tingkat administrator. Pendekatan ini menghilangkan kebutuhan akan pengaturan peran tambahan dalam Airflow, menjadikannya solusi yang terukur bagi organisasi.

Terakhir, skrip frontend JavaScript memulai aliran OAuth dengan mengarahkan pengguna ke URL otorisasi yang ditentukan dengan parameter kueri yang sesuai, termasuk ID klien dan cakupan. Hal ini memastikan bahwa hanya pengguna dengan izin tertentu (seperti membaca profil dan email) yang dapat melanjutkan alur OAuth. Jika otorisasi gagal, skrip akan memperingatkan pengguna dengan pesan kesalahan yang ramah, memastikan pengalaman pengguna yang lancar bahkan ketika masalah muncul. Bersama-sama, komponen backend dan frontend ini menciptakan pengaturan yang kohesif dan aman yang menyederhanakan akses pengguna dan memperkuat aplikasi terhadap upaya tidak sah – sebuah langkah penting untuk melindungi data organisasi yang sensitif. 🔒

Mengatasi Kesalahan Otorisasi OAuth di Airflow dengan Pendekatan Skrip Berganda

Solusi Pertama - Skrip Backend Python untuk Otorisasi OAuth

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

Pendekatan Backend Alternatif - Konfigurasi Aliran Udara Menggunakan JWKS dan OpenID untuk Validasi Token Aman

Solusi backend lain dengan fokus pada konfigurasi OpenID Connect dan JSON Web Key Set di Airflow

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

Skrip Frontend - JavaScript untuk Penanganan Otorisasi OAuth

Pendekatan JavaScript untuk menangani pengalihan dan kesalahan OAuth di frontend

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

Menjelajahi Pemetaan Peran dan Izin untuk Azure Entra ID di Airflow

Saat mengkonfigurasi ID Entra Azure untuk digunakan dalam sebuah Aliran udara lingkungan, menetapkan pemetaan peran yang jelas sangat penting untuk pengendalian akses yang efektif. Pemetaan peran memastikan bahwa pengguna yang masuk ke Airflow melalui Azure Entra ID diberi izin berdasarkan peran Azure mereka, sehingga memberikan cara yang aman dan mudah dikelola untuk mengontrol tingkat akses. Misalnya, menetapkan peran di Azure ke grup seperti airflow_nonprod_admin atau airflow_nonprod_op membantu memetakan setiap peran ke tingkat akses Airflow tertentu tanpa menduplikasi izin. Hal ini menyederhanakan manajemen keamanan dengan mengizinkan admin menangani konfigurasi akses di Azure secara langsung.

Dalam pengaturan ini, AUTH_ROLES_MAPPING parameter digunakan untuk menautkan peran Azure ke peran Airflow, memastikan bahwa pengguna mewarisi izin yang sesuai saat masuk. Jika pengguna termasuk dalam airflow_nonprod_viewer grup, mereka akan secara otomatis diberi peran "Penampil" di Airflow, membatasi tindakan mereka untuk melihat alur kerja dan log tanpa hak mengedit. Pendekatan ini sangat berguna bagi organisasi dengan banyak tim dan departemen, karena memungkinkan kontrol yang lebih terperinci atas akses pengguna tanpa memerlukan pembaruan terus-menerus pada izin individu dalam Airflow.

Terakhir, dengan menggunakan fitur Pendaftaran Aplikasi Azure Entra ID, administrator dapat mengonfigurasi pengaturan SAML dan OAuth yang selaras dengan persyaratan peran Airflow. Misalnya, menentukan ID Entitas dan URL Balasan memastikan token OAuth yang benar dikeluarkan setelah autentikasi pengguna. Metode ini tidak hanya meningkatkan keamanan tetapi juga mengoptimalkan alur kerja tim, memastikan bahwa hanya pengguna resmi yang secara aktif mengubah tugas dalam Airflow. Strategi tersebut efektif dalam penerapan skala besar di mana integrasi peran pengguna dengan kebijakan keamanan aplikasi sangat penting untuk mencegah akses tidak sah. 🔐

Pertanyaan Penting tentang Mengintegrasikan Azure Entra ID dengan Airflow

  1. Apa tujuan dari AUTH_ROLES_MAPPING parameter dalam Aliran Udara?
  2. Itu AUTH_ROLES_MAPPING parameter menghubungkan peran Azure ke peran Airflow, memungkinkan penetapan peran otomatis berdasarkan keanggotaan grup di Azure. Hal ini menyederhanakan kontrol akses dengan memberikan izin yang sesuai kepada pengguna yang masuk melalui ID Azure Entra.
  3. Bagaimana caranya jwks_uri berfungsi di pengaturan OAuth?
  4. Itu jwks_uri mendefinisikan URI tempat kunci publik Azure dapat diambil untuk verifikasi token JWT. Langkah ini penting untuk memvalidasi keaslian token dan mencegah akses tidak sah.
  5. Mengapa pengaturan itu redirect_uri di penyedia OAuth penting?
  6. Itu redirect_uri memberi tahu Azure ke mana harus mengirim pengguna setelah autentikasi berhasil. Hal ini sering kali diatur ke titik akhir Airflow yang menangani respons OAuth, sehingga memungkinkan integrasi yang lancar antara Azure dan Airflow.
  7. Bisakah beberapa peran ditetapkan ke satu grup ID Azure Entra?
  8. Ya, beberapa peran dapat dipetakan ke satu grup Azure, sehingga memungkinkan fleksibilitas dalam menetapkan izin. Misalnya, peran "Admin" dan "Pemirsa" dapat dikaitkan dengan grup untuk izin yang tumpang tindih.
  9. Apa cara terbaik untuk memecahkan masalah kesalahan “Kumpulan Kunci Web JSON Tidak Valid”?
  10. Pastikan jwks_uri dikonfigurasi dengan benar dan dapat diakses. Kesalahan sering terjadi jika titik akhir tidak dapat dijangkau atau jika kunci ID Azure Entra salah di-cache di Airflow.
  11. Bagaimana caranya client_kwargs ruang lingkup meningkatkan keamanan?
  12. Itu client_kwargs cakupannya membatasi data yang dapat diakses Airflow dari profil pengguna, sehingga memberlakukan akses terbatas ke informasi sensitif, yang merupakan kunci kepatuhan dalam pengaturan perusahaan.
  13. Apakah memungkinkan WTF_CSRF_ENABLED meningkatkan keamanan?
  14. Ya, WTF_CSRF_ENABLED memberikan perlindungan Pemalsuan Permintaan Lintas Situs untuk Aliran Udara, mencegah permintaan yang tidak sah. Tanda ini sangat direkomendasikan di lingkungan produksi untuk keamanan tambahan.
  15. Bagaimana cara menangani permintaan masuk yang ditolak?
  16. Tinjau peran pengguna di Azure untuk mengonfirmasi bahwa peran tersebut ditetapkan dengan benar. Selain itu, verifikasi authorize_url dan pemetaan grup sudah benar, karena pengaturan ini memengaruhi keberhasilan autentikasi.
  17. Bisakah saya menggunakan penyedia OAuth yang berbeda dari Azure?
  18. Ya, Airflow mendukung penyedia OAuth lain seperti Google atau Okta dengan menyesuaikan parameter khusus penyedia OAUTH_PROVIDERS. Setiap penyedia mungkin memiliki URL unik dan persyaratan konfigurasi.

Pemikiran Akhir tentang Mengamankan Aliran Udara dengan Azure Entra ID

Mengintegrasikan Azure Entra ID dengan Airflow dapat menyederhanakan autentikasi di seluruh organisasi. Dengan mengonfigurasi parameter OAuth secara hati-hati seperti jwks_uri dan mengakses URL token, Anda membangun koneksi aman yang meminimalkan risiko akses tidak sah. Tingkat keamanan ini penting bagi organisasi berbasis data mana pun.

Pemetaan peran di Azure memungkinkan strategi akses berbasis peran yang skalabel di Airflow. Dengan pemetaan ini, pengelolaan pengguna dan pemberian izin menjadi lebih efisien, terutama di tim yang lebih besar. Pemahaman yang jelas tentang konfigurasi ini dapat membuat pengaturan otorisasi Anda lebih tahan terhadap kebutuhan keamanan di masa depan. 🔒

Sumber dan Referensi Utama untuk Integrasi Azure dan Airflow
  1. Dokumentasi Microsoft tentang integrasi Direktori Aktif Azure dan OAuth untuk autentikasi perusahaan dan manajemen akses.
  2. Panduan resmi Apache Airflow untuk OAuth dan konfigurasi keamanan , dengan wawasan tentang mengonfigurasi metode otorisasi eksternal.
  3. Dokumentasi diagram penerapan rinci Helm untuk Bagan Helm Aliran Udara , dengan fokus pada praktik penerapan yang aman di lingkungan Kubernetes.
  4. Wawasan dari perpustakaan Python Flask-OAuth untuk integrasi Labu OAuthlib dengan Azure Entra ID, sumber daya utama untuk mengelola aliran token dan otorisasi pengguna dalam aplikasi berbasis Python.
  5. Sumber daya pemecahan masalah Microsoft Azure Active Directory pada penanganannya Kesalahan terkait OAuth , secara khusus berfokus pada masalah yang terkait dengan JSON Web Key Set dan verifikasi token.