„Airflow“ autorizacijos problemų sprendimas naudojant „Azure Entra ID“ integraciją

Temp mail SuperHeros
„Airflow“ autorizacijos problemų sprendimas naudojant „Azure Entra ID“ integraciją
„Airflow“ autorizacijos problemų sprendimas naudojant „Azure Entra ID“ integraciją
Daniel Marino
2024 m. lapkričio 11 d., pirmadienis 19:48:29

„OAuth“ iššūkių įveikimas naudojant „Azure Entra ID“ ir „Airflow“.

Autentifikavimo konfigūravimas įmonės programoms dažnai gali būti sudėtingas procesas, ypač dirbant su tokiomis pažangiomis platformomis kaip Azure Entra ID ir Apache oro srautas. 🎛️ Šiuolaikinėje debesimis paremtoje aplinkoje tokios integracijos siūlo saugų, centralizuotą vartotojų valdymą, tačiau gali susidurti su techninėmis kliūtimis, ypač naudojant OAuth pagrįstą autorizaciją.

Įsivaizduokite, kad viską kruopščiai nustatėte – nuo ​​„OAuth“ klientų iki „Azure“ vaidmenų – ir pradinis autentifikavimas veikia sklandžiai. Tačiau kai tik manote, kad esate pasirengęs tiesiogiai transliuoti, an leidimo klaida pasirodo, stabdo jūsų progresą šaltai. Tai gali būti varginanti patirtis, tačiau tai iššūkis, kurį galima išspręsti geriau suprantant Azure JSON žiniatinklio raktų rinkinio (JWKS) reikalavimus.

Šiame straipsnyje aptariamas realus scenarijus, kai sąranka baigta, bet „Airflow“ atmeta vartotojus autorizacijos etape. Išnagrinėsime galimas klaidos pranešimo „Netinkamas JSON žiniatinklio raktų rinkinys“ priežastis ir pateiksime trikčių šalinimo patarimus, kad įsitikintume sėkmingas OAuth integravimas gamybinėje aplinkoje.

Išspręsdami šias įprastas problemas būsite pasirengę optimizuoti saugos sąranką, kad užtikrintumėte sklandžią, įgaliotą prieigą. Pasinerkime, kad šias klaidas paverstume įžvalgomis! 🔑

komandą Naudojimo pavyzdys
azure.authorize(callback=url_for('authorized', _external=True)) Ši komanda inicijuoja OAuth autorizacijos procesą, nukreipdama vartotojus į Azure prisijungimo puslapį. Atgalinio iškvietimo parametras nurodo funkciją, kuri apdoroja autorizacijos atsakymą, kai vartotojas yra autentifikuotas.
jwks_uri JSON žiniatinklio raktų rinkinio (JWKS) URI nurodytas viešiesiems raktams, kuriuos „Azure“ naudoja JWT prieigos raktų autentiškumui patvirtinti, gauti. Šis nustatymas yra labai svarbus siekiant užtikrinti saugų prieigos rakto patvirtinimą.
get_oauth_user_info Šis metodas yra nepaisomas, kad būtų galima analizuoti ir išgauti vartotojo informaciją iš JWT prieigos rakto, gauto autentifikavimo metu. Jis pritaiko naudotojo informacijos tvarkymo po autorizacijos būdą, susiejant prieigos rakto duomenis su „Airflow“ naudotojo ypatybėmis.
authorize_url Ši komanda apibrėžia URL galutinį tašką, skirtą vartotojo autorizacijai naudojant Azure. Čia prasideda OAuth srautas, nukreipiantis vartotojus į prisijungimo sąsają, leidžiančią pasiekti programą.
access_token_url Nurodomas „Azure“ galutinis taškas, naudojamas prieigos prieigos rakto prieigos kodui pakeisti, kuris suteikia prieigą prie vartotojo profilio ir kitus apimtyje apibrėžtus leidimus.
session.get('azure_token') Nuskaito „Azure OAuth“ prieigos raktą iš seanso saugyklos, įgalindamas prieigą prie saugių galinių taškų pateikdamas prieigos prieigos raktą API užklausose. Ši komanda užtikrina, kad prieigos raktas būtų saugomas ir saugiai valdomas seanso saugykloje.
client_kwargs Yra papildomų „OAuth“ kliento konfigūracijos parametrų. Čia client_kwargs naudojamas apibrėžti apimtis, pvz., „Openid“, el. paštą ir profilį, kad būtų galima valdyti duomenų, kuriuos programa gali pasiekti vartotojo vardu, tipą.
super().get_oauth_user_info Naudoja Python funkciją super(), kad išplėstų numatytąjį OAuth naudotojo informacijos metodą naudojant pasirinktinį analizavimą. Šis metodas leidžia tvarkyti klaidas ir derinti žurnalus išlaikant paveldėtas funkcijas.
request_token_params Apibrėžia papildomus pradinės OAuth užklausos parametrus. Šioje sąrankoje ji nurodo prieigos, kurios prašoma iš vartotojo, apimtį, kuri padeda gauti tik reikiamus vartotojo duomenis autentifikavimo metu.
window.location.href Naudojama „JavaScript“ sąsajos scenarijuje, ši komanda dinamiškai nukreipia naršyklę į OAuth prieigos URL. Jis sukuria URL su konkretaus vartotojo užklausos parametrais, kad būtų pradėtas prisijungimo srautas.

„OAuth“ saugumo gerinimas oro sraute naudojant pasirinktinius scenarijus

Šiame sprendime mes sprendžiame, kaip integruoti Azure Entra ID su Oro srautas OAuth pagrįsto autentifikavimo ir prieigos teisės suteikimui. Ši integracija suteikia saugų ir centralizuotą vartotojo prieigos valdymo būdą, idealiai tinkantį organizacijoms, turinčioms sudėtingų saugos reikalavimų. Pradinis scenarijus veikia nustatant reikiamą OAuth konfigūraciją „Airflow“ užpakalinėje sistemoje, apibrėžiant svarbius parametrus, tokius kaip JWKS URI (JSON žiniatinklio raktų rinkinio URI), kad būtų galima saugiai patikrinti prieigos rakto autentiškumą. „jwks_uri“ tikslas yra gauti viešuosius raktus iš „Azure“, kuris užtikrina, kad iš „Azure“ gauti JWT (JSON žiniatinklio prieigos raktai) būtų teisėti ir nepažeisti. Tai labai svarbus žingsnis, nes žetonai be tinkamo patvirtinimo gali sukelti neteisėtą prieigą.

Scenarijus taip pat naudoja parametrus „authorize_url“ ir „access_token_url“, kurie atitinkamai apibrėžia URL galutinius taškus „Azure“, kad būtų inicijuojamas „OAuth“ srautas ir keičiamasi prieigos prieigos raktų prieigos kodais. Šie URL yra labai svarbūs norint nukreipti vartotojus per OAuth procesą, pradedant „Azure“ prisijungimo puslapiu ir grąžinant juos į „Airflow“, kai bus autentifikuotas. Pavyzdžiui, darbuotojas, prisijungęs prie įmonės „Airflow“ prietaisų skydelio, būtų nukreiptas į „Azure“, kur įves savo kredencialus. Sėkmingai prisijungus, „Azure“ siunčia vartotoją atgal į „Airflow“ sąsają, fone perduodamas prieigos prieigos raktą, kuris suteikia jiems įgaliotą prieigą pagal „Azure“ vaidmenį.

Be to, pasirinktinė scenarijaus saugos klasė „AzureCustomSecurity“ naudoja nepaisymo funkciją „get_oauth_user_info“, kuri leidžia „Airflow“ gauti konkrečią vartotojo informaciją tiesiai iš JWT. Tai ypač naudinga, nes pritaikoma, kokius duomenis „Airflow“ paima iš prieigos rakto, įskaitant vartotojo vardą, el. pašto adresą ir grupės vaidmenis, kurie tiesiogiai koreliuoja su „Azure“ vaidmenimis, pvz., „Administratorius“ arba „Žiūrėtojas“. Pavyzdžiui, jei vartotojas priklauso „Azure“ grupei „airflow_nonprod_admin“, „Airflow“ jis susietas su „Administratoriaus“ vaidmeniu, suteikiant jam administratoriaus lygio prieigą. Šis metodas pašalina papildomo vaidmens nustatymo poreikį „Airflow“, todėl tai yra keičiamo dydžio sprendimas organizacijoms.

Galiausiai „JavaScript“ sąsajos scenarijus inicijuoja „OAuth“ srautą, nukreipdamas vartotojus į nurodytą prieigos URL su atitinkamais užklausos parametrais, įskaitant kliento ID ir apimtį. Tai užtikrina, kad tik naudotojai, turintys konkrečius leidimus (pvz., skaityti profilius ir el. laiškus), gali tęsti OAuth srautą. Jei autorizacija nepavyksta, scenarijus įspėja vartotoją patogiu klaidos pranešimu, užtikrinančiu sklandžią vartotojo patirtį net iškilus problemoms. Kartu šie užpakalinės ir priekinės sistemos komponentai sukuria darnią ir saugią sąranką, kuri supaprastina vartotojo prieigą ir apsaugo programą nuo neteisėtų bandymų – tai yra esminė jautrių organizacijos duomenų apsaugos priemonė. 🔒

OAuth autorizacijos klaidų sprendimas oro sraute naudojant kelis scenarijų metodus

Pirmasis sprendimas – Python Backend scenarijus, skirtas OAuth autorizacijai

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

Alternatyvus foninis metodas – oro srauto konfigūracija naudojant JWKS ir OpenID saugiam prieigos rakto patvirtinimui

Kitas vidinis sprendimas, kuriame pagrindinis dėmesys skiriamas „OpenID Connect“ ir JSON žiniatinklio raktų rinkinio konfigūracijai „Airflow“.

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

Frontend scenarijus – „JavaScript“, skirta OAuth autorizacijos tvarkymui

„JavaScript“ metodas, skirtas tvarkyti „OAuth“ peradresavimus ir klaidas sąsajoje

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

„Airflow“ „Azure Entra ID“ vaidmenų sudarymo ir leidimų tyrinėjimas

Konfigūruojant Azure Entra ID skirtas naudoti an Oro srautas Norint veiksmingai kontroliuoti prieigą, labai svarbu nustatyti aiškų vaidmenų suskirstymą. Vaidmenų susiejimas užtikrina, kad naudotojams, prisijungiantiems prie „Airflow“ per „Azure Entra ID“, būtų priskirti leidimai pagal jų „Azure“ vaidmenis, todėl tai yra saugus ir valdomas prieigos lygių valdymo būdas. Pavyzdžiui, „Azure“ vaidmenų priskyrimas tokioms grupėms kaip airflow_nonprod_admin arba airflow_nonprod_op padeda susieti kiekvieną vaidmenį su tam tikrais oro srauto prieigos lygiais nedubliuojant leidimų. Tai supaprastina saugos valdymą, nes administratorius gali tiesiogiai tvarkyti prieigos konfigūracijas „Azure“.

Šioje sąrankoje AUTH_ROLES_MAPPING parametras naudojamas susieti „Azure“ vaidmenis su „Airflow“ vaidmenimis, užtikrinant, kad prisijungdami vartotojai paveldėtų atitinkamus leidimus. Jei vartotojas priklauso airflow_nonprod_viewer grupėje, jiems bus automatiškai priskirtas „Žiūrėjo“ vaidmuo sistemoje „Airflow“, apribojant jų veiksmus tik peržiūrint darbo eigas ir žurnalus be redagavimo teisių. Šis metodas ypač naudingas organizacijoms, turinčioms kelias komandas ir padalinius, nes leidžia tiksliau valdyti vartotojo prieigą, nereikalaujant nuolat atnaujinti atskirų „Airflow“ leidimų.

Galiausiai, naudodamiesi „Azure Entra ID“ programų registravimo funkcija, administratoriai gali sukonfigūruoti SAML ir OAuth nustatymus, atitinkančius „Airflow“ vaidmens reikalavimus. Pavyzdžiui, subjekto ID ir atsakymo URL apibrėžimas užtikrina, kad autentifikuojant naudotoją bus išduoti teisingi OAuth prieigos raktai. Šis metodas ne tik padidina saugumą, bet ir optimizuoja komandos darbo eigą, užtikrinant, kad tik įgalioti vartotojai aktyviai keistų užduotis sistemoje „Airflow“. Tokios strategijos yra veiksmingos didelio masto diegimuose, kai vartotojų vaidmenų integravimas su programos saugos politika yra labai svarbus siekiant užkirsti kelią neteisėtai prieigai. 🔐

Pagrindiniai klausimai apie Azure Entra ID integravimą su oro srautu

  1. Koks yra tikslas AUTH_ROLES_MAPPING parametras oro sraute?
  2. The AUTH_ROLES_MAPPING parametras sujungia „Azure“ vaidmenis su „Airflow“ vaidmenimis, įgalindamas automatinį vaidmenų priskyrimą pagal „Azure“ grupės narystes. Tai supaprastina prieigos valdymą, priskiriant atitinkamus leidimus vartotojams, prisijungiantiems per Azure Entra ID.
  3. Kaip veikia jwks_uri dirbti su OAuth sąranka?
  4. The jwks_uri apibrėžia URI, iš kurio galima gauti „Azure“ viešuosius raktus, kad būtų galima patikrinti JWT prieigos raktą. Šis žingsnis yra labai svarbus norint patvirtinti žetonų autentiškumą ir užkirsti kelią neteisėtai prieigai.
  5. Kodėl nustatoma redirect_uri ar „OAuth“ teikėjai svarbūs?
  6. The redirect_uri nurodo „Azure“, kur siųsti vartotojus po sėkmingo autentifikavimo. Tai dažnai nustatoma kaip „Airflow“ galutinis taškas, tvarkantis „OAuth“ atsakymus, todėl „Azure“ ir „Airflow“ galima sklandžiai integruoti.
  7. Ar vienai Azure Entra ID grupei galima priskirti kelis vaidmenis?
  8. Taip, keli vaidmenys gali būti susieti su viena „Azure“ grupe, kad būtų galima lanksčiai priskirti leidimus. Pavyzdžiui, ir „Administratoriaus“, ir „Žiūrėjo“ vaidmenys gali būti susieti su persidengiančių leidimų grupe.
  9. Koks yra geriausias būdas pašalinti klaidas „Netinkamas JSON žiniatinklio raktų rinkinys“?
  10. Užtikrinti, jwks_uri yra tinkamai sukonfigūruotas ir pasiekiamas. Klaidos dažnai įvyksta, jei galutinis taškas nepasiekiamas arba jei „Azure Entra ID“ raktai yra neteisingai saugomi „Airflow“ talpykloje.
  11. Kaip veikia client_kwargs apimtis padidina saugumą?
  12. The client_kwargs apimtis riboja duomenis, kuriuos „Airflow“ gali pasiekti iš vartotojo profilio, todėl apribojama prieiga prie neskelbtinos informacijos, o tai yra labai svarbu siekiant atitikties įmonės nustatymuose.
  13. Įgalina WTF_CSRF_ENABLED pagerinti saugumą?
  14. taip, WTF_CSRF_ENABLED užtikrina oro srauto apsaugą nuo kelių svetainių užklausų klastojimo, užkertant kelią neteisėtoms užklausoms. Ši žyma labai rekomenduojama gamybos aplinkoje, kad būtų užtikrintas didesnis saugumas.
  15. Kaip galiu tvarkyti atmestą prisijungimo užklausą?
  16. Peržiūrėkite „Azure“ naudotojų vaidmenis, kad įsitikintumėte, jog jie tinkamai priskirti. Be to, patikrinkite authorize_url ir grupės susiejimas yra teisingi, nes šie nustatymai turi įtakos autentifikavimo sėkmei.
  17. Ar galiu naudoti kitą „OAuth“ teikėją nei „Azure“?
  18. Taip, „Airflow“ palaiko kitus „OAuth“ teikėjus, pvz., „Google“ ar „Okta“, koreguodamas konkrečius teikėjo parametrus OAUTH_PROVIDERS. Kiekvienas teikėjas gali turėti unikalius URL adresus ir konfigūracijos reikalavimus.

Paskutinės mintys apie oro srauto užtikrinimą naudojant Azure Entra ID

„Azure Entra ID“ integravimas su „Airflow“ gali supaprastinti autentifikavimą visose organizacijose. Kruopščiai sukonfigūruodami OAuth parametrus, pvz., jwks_uri ir prieigos prieigos rakto URL, užmezgate saugius ryšius, kurie sumažina neteisėtos prieigos riziką. Šis saugumo lygis yra būtinas bet kuriai duomenimis pagrįstai organizacijai.

„Azure“ vaidmenų priskyrimas leidžia taikyti keičiamo dydžio, vaidmenimis pagrįstą prieigos strategiją „Airflow“. Naudojant šiuos susiejimus, vartotojų valdymas ir leidimų priskyrimas tampa efektyvesnis, ypač didesnėse komandose. Aiškus šių konfigūracijų supratimas gali padaryti jūsų prieigos teisės sąranką atsparesnę būsimiems saugos poreikiams. 🔒

Pagrindiniai „Azure“ ir „Airflow“ integravimo šaltiniai ir nuorodos
  1. „Microsoft“ dokumentacija apie integravimą Azure Active Directory ir OAuth, skirtas įmonės autentifikavimui ir prieigos valdymui.
  2. Oficialus „Apache Airflow“ vadovas OAuth ir saugos konfigūracijos , su įžvalgomis apie išorinio autorizacijos metodų konfigūravimą.
  3. Išsamią „Helm“ diegimo diagramos dokumentaciją Oro srauto vairo diagrama , daugiausia dėmesio skiriant saugaus diegimo praktikai Kubernetes aplinkose.
  4. Integravimo įžvalgos iš Python Flask-OAuth bibliotekos Kolba OAuthlib su „Azure Entra ID“ – pagrindiniu šaltiniu, skirtu valdyti prieigos raktų srautą ir vartotojo įgaliojimą „Python“ pagrindu veikiančiose programose.
  5. Azure AD trikčių šalinimo ištekliai apie tvarkymą Su OAuth susijusios klaidos , daugiausia dėmesio skiriant problemoms, susijusioms su JSON žiniatinklio raktų rinkiniais ir prieigos raktų patvirtinimu.