Airflow autorizācijas problēmu risināšana, izmantojot Azure Entra ID integrāciju

Temp mail SuperHeros
Airflow autorizācijas problēmu risināšana, izmantojot Azure Entra ID integrāciju
Airflow autorizācijas problēmu risināšana, izmantojot Azure Entra ID integrāciju
Daniel Marino
Pirmdiena, 2024. gada 11. novembris 19:44:39

OAuth izaicinājumu pārvarēšana, izmantojot Azure Entra ID un Airflow

Autentifikācijas konfigurēšana uzņēmuma lietojumprogrammām bieži var būt sarežģīts process, īpaši strādājot ar tādām uzlabotām platformām kā Azure Entra ID un Apache gaisa plūsma. 🎛️ Mūsdienu mākoņdatošanas vidē šādas integrācijas piedāvā drošu, centralizētu lietotāju pārvaldību, taču var radīt zināmu daļu tehnisku šķēršļu, jo īpaši ar OAuth autorizāciju.

Iedomājieties, ka esat rūpīgi iestatījis visu — no OAuth klientiem līdz lomām Azure — un sākotnējā autentifikācija darbojas nevainojami. Tomēr tieši tad, kad domājat, ka esat gatavs tiešraidi, autorizācijas kļūda parādās, apturot jūsu progresu auksti. Šī pieredze var būt nomākta, taču to var atrisināt, padziļināti izprotot Azure JSON Web Key Set (JWKS) prasības.

Šajā rakstā ir apskatīts reāls scenārijs, kad iestatīšana ir pabeigta, bet Airflow noraida lietotājus autorizācijas posmā. Mēs izpētīsim kļūdas ziņojuma “Nederīga JSON tīmekļa atslēgas kopa” iespējamos iemeslus un izskatīsim problēmu novēršanas padomus, lai nodrošinātu veiksmīga OAuth integrācija ražošanas vidē.

Risinot šīs izplatītās problēmas, jūs būsiet gatavs optimizēt drošības iestatījumus, lai nodrošinātu vienmērīgu, autorizētu piekļuvi. Iedziļināsimies, lai šīs kļūdas pārvērstu ieskatos! 🔑

Pavēli Lietošanas piemērs
azure.authorize(callback=url_for('authorized', _external=True)) Šī komanda sāk OAuth autorizācijas procesu, novirzot lietotājus uz Azure pieteikšanās lapu. Atzvanīšanas parametrs norāda funkciju, kas apstrādā autorizācijas atbildi, kad lietotājs ir autentificēts.
jwks_uri JSON tīmekļa atslēgu kopas (JWKS) URI ir norādīts, lai izgūtu publiskās atslēgas, ko Azure izmanto JWT marķieru autentiskuma apstiprināšanai. Šis iestatījums ir ļoti svarīgs, lai nodrošinātu drošu marķiera verifikāciju.
get_oauth_user_info Šī metode tiek ignorēta, lai parsētu un iegūtu lietotāja informāciju no autentifikācijas laikā saņemtā JWT marķiera. Tas pielāgo veidu, kā pēc autorizācijas tiek apstrādāta lietotāja informācija, kartējot marķiera datus ar Airflow lietotāja rekvizītiem.
authorize_url Šī komanda definē URL galapunktu lietotāja autorizācijai ar Azure. Šeit sākas OAuth plūsma, novirzot lietotājus uz pierakstīšanās saskarni, lai atļautu piekļuvi lietotnēm.
access_token_url Norāda Azure galapunktu, ko izmanto, lai apmainītos ar autorizācijas kodu pret piekļuves pilnvaru, kas piešķir piekļuvi lietotāja profilam un citām tvērumā definētām atļaujām.
session.get('azure_token') Izgūst Azure OAuth pilnvaru no sesijas krātuves, nodrošinot piekļuvi drošiem galapunktiem, API pieprasījumos nodrošinot piekļuves pilnvaru. Šī komanda nodrošina marķiera glabāšanu un drošu pārvaldību sesijas krātuvē.
client_kwargs Ietver papildu klienta konfigurācijas parametrus OAuth. Šeit klients_kwargs tiek izmantots, lai definētu tādas darbības jomas kā openid, e-pasts un profils, lai kontrolētu datu veidu, kuriem lietotne var piekļūt lietotāja vārdā.
super().get_oauth_user_info Izmanto Python funkciju super(), lai paplašinātu noklusējuma OAuth lietotāja informācijas metodi ar pielāgotu parsēšanu. Šī pieeja ļauj mums apstrādāt kļūdas un atkļūdošanas žurnālus, vienlaikus saglabājot mantoto funkcionalitāti.
request_token_params Definē papildu parametrus sākotnējam OAuth pieprasījumam. Šajā iestatījumā tas norāda lietotājam pieprasītās piekļuves apjomu, kas palīdz autentifikācijas laikā iegūt tikai nepieciešamos lietotāja datus.
window.location.href Šī komanda tiek izmantota JavaScript priekšgala skriptā, un tā dinamiski novirza pārlūkprogrammu uz OAuth autorizācijas URL. Tas veido URL ar lietotājam raksturīgiem vaicājuma parametriem, lai sāktu pieteikšanās plūsmu.

OAuth drošības uzlabošana gaisa plūsmā, izmantojot pielāgotos skriptus

Šajā risinājumā mēs runājam par to, kā integrēt Azure Entra ID ar Gaisa plūsma uz OAuth balstītai autentifikācijai un autorizācijai. Šī integrācija nodrošina drošu un centralizētu veidu, kā pārvaldīt lietotāju piekļuvi, kas ir ideāli piemērots organizācijām ar sarežģītām drošības prasībām. Sākotnējais skripts darbojas, iestatot nepieciešamo OAuth konfigurāciju Airflow aizmugursistēmā, definējot svarīgus parametrus, piemēram, JWKS URI (JSON Web Key Set URI), lai nodrošinātu drošu marķiera autentiskuma pārbaudi. “jwks_uri” mērķis ir izgūt publiskās atslēgas no Azure, kas nodrošina, ka no Azure saņemtie JWT (JSON Web Tokens) ir likumīgi un nav bojāti. Tas ir būtisks solis, jo marķieri bez atbilstošas ​​pārbaudes var izraisīt nesankcionētu piekļuvi.

Skripts izmanto arī parametrus “authorize_url” un “access_token_url”, kas definē URL galapunktus Azure, lai attiecīgi uzsāktu OAuth plūsmu un apmainītos ar piekļuves pilnvaru autorizācijas kodiem. Šie vietrāži URL ir svarīgi, lai palīdzētu lietotājiem veikt OAuth procesu, sākot ar Azure pieteikšanās lapu un atgriežot tos Airflow pēc autentifikācijas. Piemēram, darbinieks, kas piesakās uzņēmuma Airflow informācijas panelī, tiks novirzīts uz Azure, kur viņš ievadīs savus akreditācijas datus. Pēc veiksmīgas pieteikšanās Azure nosūta lietotāju atpakaļ uz Airflow saskarni, fonā nododot piekļuves pilnvaru, kas ļauj viņam autorizētu piekļuvi, pamatojoties uz viņu Azure lomu.

Turklāt pielāgotā drošības klase skriptā "AzureCustomSecurity" izmanto ignorēšanas funkciju "get_oauth_user_info", kas ļauj Airflow izgūt lietotājam specifisku informāciju tieši no JWT. Tas ir īpaši noderīgi, jo tas pielāgo to, kādus datus Airflow iegūst no pilnvaras, tostarp lietotājvārdu, e-pastu un grupas lomas, kas tieši korelē ar Azure lomām, piemēram, “Administrators” vai “Viewer”. Piemēram, ja lietotājs pieder grupai “airflow_nonprod_admin” pakalpojumā Azure, viņš programmā Airflow tiek piesaistīts “Administratora” lomai, nodrošinot administratora līmeņa piekļuvi. Šī pieeja novērš nepieciešamību pēc papildu lomu iestatīšanas programmā Airflow, padarot to par mērogojamu risinājumu organizācijām.

Visbeidzot, JavaScript priekšgala skripts sāk OAuth plūsmu, novirzot lietotājus uz norādīto autorizācijas URL ar atbilstošiem vaicājuma parametriem, tostarp klienta ID un tvērumu. Tas nodrošina, ka tikai lietotāji ar īpašām atļaujām (piemēram, profilu un e-pasta ziņojumu lasīšana) var turpināt OAuth plūsmu. Ja autorizācija neizdodas, skripts brīdina lietotāju ar draudzīgu kļūdas ziņojumu, nodrošinot vienmērīgu lietotāja pieredzi pat tad, ja rodas problēmas. Kopā šie aizmugursistēmas un priekšgala komponenti veido vienotu un drošu iestatījumu, kas gan racionalizē lietotāju piekļuvi, gan aizsargā lietojumprogrammu pret nesankcionētiem mēģinājumiem — tas ir būtisks pasākums sensitīvu organizācijas datu aizsardzībai. 🔒

OAuth autorizācijas kļūdu novēršana gaisa plūsmā, izmantojot vairākas skriptēšanas metodes

Pirmais risinājums — Python aizmugursistēmas skripts OAuth autorizācijai

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

Alternatīva aizmugursistēmas pieeja — gaisa plūsmas konfigurācija, izmantojot JWKS un OpenID drošai marķiera validācijai

Vēl viens aizmugursistēmas risinājums, kas koncentrējas uz OpenID Connect un JSON Web Key Set konfigurāciju pakalpojumā Airflow

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

Priekšgala skripts — JavaScript OAuth autorizācijas apstrādei

JavaScript pieeja OAuth novirzīšanas un kļūdu apstrādei priekšgalā

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

Izpētiet lomu kartēšanu un atļaujas Azure Entra ID pakalpojumā Airflow

Konfigurējot Azure Entra ID izmantošanai an Gaisa plūsma efektīvai piekļuves kontrolei ir svarīgi izveidot skaidru lomu kartējumu. Lomu kartēšana nodrošina, ka lietotājiem, kas piesakās Airflow, izmantojot Azure Entra ID, tiek piešķirtas atļaujas, pamatojoties uz viņu Azure lomām, nodrošinot drošu un pārvaldāmu veidu, kā kontrolēt piekļuves līmeņus. Piemēram, lomu piešķiršana Azure grupām, piemēram airflow_nonprod_admin vai airflow_nonprod_op palīdz kartēt katru lomu uz konkrētiem gaisa plūsmas piekļuves līmeņiem, nedublējot atļaujas. Tas racionalizē drošības pārvaldību, ļaujot administratoram tieši apstrādāt piekļuves konfigurācijas pakalpojumā Azure.

Šajā iestatījumā AUTH_ROLES_MAPPING parametrs tiek izmantots, lai saistītu Azure lomas ar Airflow lomām, nodrošinot, ka lietotāji, piesakoties, manto atbilstošas ​​atļaujas. Ja lietotājs pieder airflow_nonprod_viewer grupā, viņiem programmā Airflow tiks automātiski piešķirta “Skatītāja” loma, ierobežojot viņu darbības, lai skatītu darbplūsmas un žurnālus bez rediģēšanas tiesībām. Šī pieeja ir īpaši noderīga organizācijām ar vairākām komandām un nodaļām, jo ​​tā nodrošina precīzāku lietotāja piekļuves kontroli, neprasot nepārtrauktu individuālo atļauju atjaunināšanu pakalpojumā Airflow.

Visbeidzot, izmantojot Azure Entra ID lietotņu reģistrācijas līdzekli, administratori var konfigurēt SAML un OAuth iestatījumus, kas atbilst Airflow lomu prasībām. Piemēram, entītijas ID un atbildes URL definēšana nodrošina, ka lietotāja autentifikācijas laikā tiek izsniegti pareizi OAuth marķieri. Šī metode ne tikai uzlabo drošību, bet arī optimizē komandas darbplūsmas, nodrošinot, ka tikai pilnvaroti lietotāji aktīvi pārveido uzdevumus programmā Airflow. Šādas stratēģijas ir efektīvas liela mēroga izvietošanā, kur lietotāju lomu integrācija ar lietotņu drošības politikām ir ļoti svarīga, lai novērstu nesankcionētu piekļuvi. 🔐

Būtiski jautājumi par Azure Entra ID integrēšanu ar gaisa plūsmu

  1. Kāds ir mērķis AUTH_ROLES_MAPPING parametrs Gaisa plūsma?
  2. The AUTH_ROLES_MAPPING parametrs savieno Azure lomas ar Airflow lomām, iespējojot automatizētu lomu piešķiršanu, pamatojoties uz dalību grupām pakalpojumā Azure. Tas vienkāršo piekļuves kontroli, piešķirot atbilstošas ​​atļaujas lietotājiem, kuri piesakās, izmantojot Azure Entra ID.
  3. Kā darbojas jwks_uri strādāt OAuth iestatījumos?
  4. The jwks_uri definē URI, kurā var izgūt Azure publiskās atslēgas JWT marķiera pārbaudei. Šis solis ir ļoti svarīgs, lai apstiprinātu marķieru autentiskumu un novērstu nesankcionētu piekļuvi.
  5. Kāpēc tiek iestatīts redirect_uri Vai OAuth pakalpojumu sniedzēji ir svarīgi?
  6. The redirect_uri norāda Azure, kur nosūtīt lietotājus pēc veiksmīgas autentifikācijas. Tas bieži tiek iestatīts uz Airflow galapunktu, kas apstrādā OAuth atbildes, nodrošinot vienmērīgu integrāciju starp Azure un Airflow.
  7. Vai vienai Azure Entra ID grupai var piešķirt vairākas lomas?
  8. Jā, vienai Azure grupai var piesaistīt vairākas lomas, kas ļauj elastīgi piešķirt atļaujas. Piemēram, gan “Administratora”, gan “Skatītāja” lomas var būt saistītas ar grupu, lai iegūtu atļaujas, kas pārklājas.
  9. Kāds ir labākais veids, kā novērst kļūdas “Nederīga JSON tīmekļa atslēgu kopa”?
  10. Nodrošiniet jwks_uri ir pareizi konfigurēts un pieejams. Kļūdas bieži rodas, ja galapunkts nav sasniedzams vai Azure Entra ID atslēgas ir nepareizi kešatmiņā Airflow.
  11. Kā darbojas client_kwargs joma palielina drošību?
  12. The client_kwargs tvērums ierobežo datus, ko Airflow var piekļūt no lietotāja profila, nodrošinot ierobežotu piekļuvi sensitīvai informācijai, kas ir būtiska atbilstības nodrošināšanai korporatīvajos iestatījumos.
  13. Iespējo WTF_CSRF_ENABLED uzlabot drošību?
  14. Jā, WTF_CSRF_ENABLED nodrošina gaisa plūsmas aizsardzību pret dažādu vietņu pieprasījumu viltošanu, novēršot nesankcionētus pieprasījumus. Šis karodziņš ir ļoti ieteicams ražošanas vidēs, lai nodrošinātu papildu drošību.
  15. Kā rīkoties ar noraidītu pierakstīšanās pieprasījumu?
  16. Pārskatiet lietotāju lomas pakalpojumā Azure, lai pārliecinātos, ka tās ir pareizi piešķirtas. Turklāt pārbaudiet authorize_url un grupu kartēšana ir pareiza, jo šie iestatījumi ietekmē autentifikācijas panākumus.
  17. Vai varu izmantot citu OAuth nodrošinātāju, nevis Azure?
  18. Jā, Airflow atbalsta citus OAuth pakalpojumu sniedzējus, piemēram, Google vai Okta, pielāgojot pakalpojumu sniedzējam raksturīgos parametrus OAUTH_PROVIDERS. Katram pakalpojumu sniedzējam var būt unikāli URL un konfigurācijas prasības.

Pēdējās domas par gaisa plūsmas nodrošināšanu ar Azure Entra ID

Integrējot Azure Entra ID ar Airflow, var racionalizēt autentifikāciju dažādās organizācijās. Rūpīgi konfigurējot OAuth parametrus, piemēram, jwks_uri un piekļuves pilnvaras URL, jūs izveidojat drošus savienojumus, kas samazina nesankcionētas piekļuves risku. Šis drošības līmenis ir būtisks jebkurai uz datiem balstītai organizācijai.

Lomu kartēšana pakalpojumā Azure nodrošina mērogojamu, uz lomām balstītu piekļuves stratēģiju Airflow. Izmantojot šos kartējumus, lietotāju pārvaldība un atļauju piešķiršana kļūst efektīvāka, īpaši lielākās komandās. Skaidra izpratne par šīm konfigurācijām var padarīt jūsu autorizācijas iestatījumu noturīgāku pret turpmākajām drošības vajadzībām. 🔒

Galvenie Azure un Airflow integrācijas avoti un atsauces
  1. Microsoft dokumentācija par integrāciju Azure Active Directory un OAuth uzņēmuma autentifikācijai un piekļuves pārvaldībai.
  2. Apache Airflow oficiālais ceļvedis OAuth un drošības konfigurācijas , ar ieskatu ārējo autorizācijas metožu konfigurēšanā.
  3. Helmas detalizētā izvietošanas diagrammas dokumentācija Gaisa plūsmas stūres diagramma , koncentrējoties uz drošas izvietošanas praksi Kubernetes vidēs.
  4. Ieskati no Python Flask-OAuth bibliotēkas integrēšanai Kolba OAuthlib ar Azure Entra ID, kas ir galvenais resurss pilnvaru plūsmas un lietotāju autorizācijas pārvaldībai Python lietojumprogrammās.
  5. Azure AD problēmu novēršanas resursi par apstrādi Ar OAuth saistītas kļūdas , īpaši koncentrējoties uz problēmām, kas saistītas ar JSON tīmekļa atslēgu kopām un pilnvaru verifikāciju.