ਅਜ਼ੂਰ ਐਂਟਰਾ ਆਈਡੀ ਏਕੀਕਰਣ ਦੇ ਨਾਲ ਏਅਰਫਲੋ ਵਿੱਚ ਅਧਿਕਾਰਤ ਮੁੱਦਿਆਂ ਨੂੰ ਹੱਲ ਕਰਨਾ

ਮਲਟੀਪਲ ਸਕ੍ਰਿਪਟਿੰਗ ਪਹੁੰਚਾਂ ਨਾਲ ਏਅਰਫਲੋ ਵਿੱਚ OAuth ਪ੍ਰਮਾਣੀਕਰਨ ਤਰੁਟੀਆਂ ਨੂੰ ਹੱਲ ਕਰਨਾ

ਪਹਿਲਾ ਹੱਲ - OAuth ਪ੍ਰਮਾਣੀਕਰਨ ਲਈ ਪਾਈਥਨ ਬੈਕਐਂਡ ਸਕ੍ਰਿਪਟ

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

ਵਿਕਲਪਕ ਬੈਕਐਂਡ ਪਹੁੰਚ - ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ JWKS ਅਤੇ OpenID ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਏਅਰਫਲੋ ਸੰਰਚਨਾ

ਏਅਰਫਲੋ ਵਿੱਚ OpenID ਕਨੈਕਟ ਅਤੇ JSON ਵੈੱਬ ਕੁੰਜੀ ਸੈੱਟ ਕੌਂਫਿਗਰੇਸ਼ਨ 'ਤੇ ਫੋਕਸ ਦੇ ਨਾਲ ਇੱਕ ਹੋਰ ਬੈਕਐਂਡ ਹੱਲ

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

ਫਰੰਟਐਂਡ ਸਕ੍ਰਿਪਟ - OAuth ਪ੍ਰਮਾਣੀਕਰਨ ਹੈਂਡਲਿੰਗ ਲਈ JavaScript

ਫਰੰਟਐਂਡ 'ਤੇ OAuth ਰੀਡਾਇਰੈਕਟਸ ਅਤੇ ਤਰੁੱਟੀਆਂ ਨੂੰ ਸੰਭਾਲਣ ਲਈ ਇੱਕ JavaScript ਪਹੁੰਚ

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

ਏਅਰਫਲੋ ਨਾਲ ਅਜ਼ੂਰ ਐਂਟਰਾ ਆਈਡੀ ਨੂੰ ਜੋੜਨ 'ਤੇ ਜ਼ਰੂਰੀ ਸਵਾਲ

1. ਦਾ ਮਕਸਦ ਕੀ ਹੈ AUTH_ROLES_MAPPING ਏਅਰਫਲੋ ਵਿੱਚ ਪੈਰਾਮੀਟਰ?
2. ਦ AUTH_ROLES_MAPPING ਪੈਰਾਮੀਟਰ Azure ਰੋਲ ਨੂੰ ਏਅਰਫਲੋ ਰੋਲ ਨਾਲ ਜੋੜਦਾ ਹੈ, Azure ਵਿੱਚ ਗਰੁੱਪ ਮੈਂਬਰਸ਼ਿਪ ਦੇ ਆਧਾਰ 'ਤੇ ਸਵੈਚਲਿਤ ਰੋਲ ਅਸਾਈਨਮੈਂਟ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ Azure Entra ID ਦੁਆਰਾ ਲੌਗਇਨ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਚਿਤ ਅਨੁਮਤੀਆਂ ਦੇ ਕੇ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦਾ ਹੈ।
3. ਕਿਵੇਂ ਕਰਦਾ ਹੈ jwks_uri OAuth ਸੈੱਟਅੱਪ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹੋ?
4. ਦ jwks_uri URI ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜਿੱਥੇ Azure ਦੀਆਂ ਜਨਤਕ ਕੁੰਜੀਆਂ JWT ਟੋਕਨ ਤਸਦੀਕ ਲਈ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ। ਇਹ ਕਦਮ ਟੋਕਨਾਂ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ, ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਰੋਕਣ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ।
5. ਕਿਉਂ ਸੈੱਟ ਕਰ ਰਿਹਾ ਹੈ redirect_uri ਕੀ OAuth ਪ੍ਰਦਾਤਾਵਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਹੈ?
6. ਦ redirect_uri Azure ਨੂੰ ਦੱਸਦਾ ਹੈ ਕਿ ਸਫਲ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਿੱਥੇ ਭੇਜਣਾ ਹੈ। ਇਹ ਅਕਸਰ ਏਅਰਫਲੋ ਐਂਡਪੁਆਇੰਟ ਹੈਂਡਲਿੰਗ OAuth ਜਵਾਬਾਂ 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ Azure ਅਤੇ Airflow ਵਿਚਕਾਰ ਸੁਚਾਰੂ ਏਕੀਕਰਨ ਹੁੰਦਾ ਹੈ।
7. ਕੀ ਇੱਕ ਅਜ਼ੂਰ ਐਂਟਰਾ ਆਈਡੀ ਸਮੂਹ ਨੂੰ ਕਈ ਭੂਮਿਕਾਵਾਂ ਦਿੱਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ?
8. ਹਾਂ, ਅਨੁਮਤੀਆਂ ਨਿਰਧਾਰਤ ਕਰਨ ਵਿੱਚ ਲਚਕਤਾ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹੋਏ, ਇੱਕਲੇ Azure ਸਮੂਹ ਵਿੱਚ ਕਈ ਭੂਮਿਕਾਵਾਂ ਨੂੰ ਮੈਪ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, "ਪ੍ਰਬੰਧਕ" ਅਤੇ "ਦਰਸ਼ਕ" ਦੋਵੇਂ ਭੂਮਿਕਾਵਾਂ ਨੂੰ ਓਵਰਲੈਪਿੰਗ ਅਨੁਮਤੀਆਂ ਲਈ ਇੱਕ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ।
9. "ਅਵੈਧ JSON ਵੈੱਬ ਕੁੰਜੀ ਸੈੱਟ" ਤਰੁੱਟੀਆਂ ਦਾ ਨਿਪਟਾਰਾ ਕਰਨ ਦਾ ਸਭ ਤੋਂ ਵਧੀਆ ਤਰੀਕਾ ਕੀ ਹੈ?
10. ਯਕੀਨੀ ਬਣਾਓ jwks_uri ਸਹੀ ਢੰਗ ਨਾਲ ਸੰਰਚਿਤ ਅਤੇ ਪਹੁੰਚਯੋਗ ਹੈ। ਗਲਤੀਆਂ ਅਕਸਰ ਵਾਪਰਦੀਆਂ ਹਨ ਜੇਕਰ ਐਂਡਪੁਆਇੰਟ ਪਹੁੰਚਯੋਗ ਨਹੀਂ ਹੈ ਜਾਂ ਜੇਕਰ Azure Entra ID ਕੁੰਜੀਆਂ ਏਅਰਫਲੋ ਵਿੱਚ ਗਲਤ ਤਰੀਕੇ ਨਾਲ ਕੈਸ਼ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ।
11. ਕਿਵੇਂ ਕਰਦਾ ਹੈ client_kwargs ਸਕੋਪ ਸੁਰੱਖਿਆ ਨੂੰ ਵਧਾਉਣ?
12. ਦ client_kwargs ਸਕੋਪ ਉਸ ਡੇਟਾ ਨੂੰ ਸੀਮਿਤ ਕਰਦਾ ਹੈ ਜੋ ਏਅਰਫਲੋ ਉਪਭੋਗਤਾ ਪ੍ਰੋਫਾਈਲ ਤੋਂ ਐਕਸੈਸ ਕਰ ਸਕਦਾ ਹੈ, ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਸੀਮਤ ਪਹੁੰਚ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਕਾਰਪੋਰੇਟ ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਪਾਲਣਾ ਲਈ ਕੁੰਜੀ ਹੈ।
13. ਯੋਗ ਕਰਦਾ ਹੈ WTF_CSRF_ENABLED ਸੁਰੱਖਿਆ ਵਿੱਚ ਸੁਧਾਰ?
14. ਹਾਂ, WTF_CSRF_ENABLED ਏਅਰਫਲੋ ਲਈ ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਅਣਅਧਿਕਾਰਤ ਬੇਨਤੀਆਂ ਨੂੰ ਰੋਕਦਾ ਹੈ। ਵਾਧੂ ਸੁਰੱਖਿਆ ਲਈ ਉਤਪਾਦਨ ਵਾਤਾਵਰਨ ਵਿੱਚ ਇਸ ਫਲੈਗ ਦੀ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
15. ਮੈਂ ਅਸਵੀਕਾਰ ਕੀਤੀ ਸਾਈਨ-ਇਨ ਬੇਨਤੀ ਨੂੰ ਕਿਵੇਂ ਸੰਭਾਲ ਸਕਦਾ ਹਾਂ?
16. ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ Azure ਵਿੱਚ ਉਪਭੋਗਤਾ ਭੂਮਿਕਾਵਾਂ ਦੀ ਸਮੀਖਿਆ ਕਰੋ ਕਿ ਉਹਨਾਂ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੁਸ਼ਟੀ ਕਰੋ authorize_url ਅਤੇ ਗਰੁੱਪ ਮੈਪਿੰਗ ਸਹੀ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਸੈਟਿੰਗਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਸਫਲਤਾ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀਆਂ ਹਨ।
17. ਕੀ ਮੈਂ Azure ਤੋਂ ਵੱਖਰੇ OAuth ਪ੍ਰਦਾਤਾ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹਾਂ?
18. ਹਾਂ, ਏਅਰਫਲੋ ਵਿੱਚ ਪ੍ਰਦਾਤਾ-ਵਿਸ਼ੇਸ਼ ਮਾਪਦੰਡਾਂ ਨੂੰ ਵਿਵਸਥਿਤ ਕਰਕੇ Google ਜਾਂ Okta ਵਰਗੇ ਹੋਰ OAuth ਪ੍ਰਦਾਤਾਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ OAUTH_PROVIDERS. ਹਰੇਕ ਪ੍ਰਦਾਤਾ ਕੋਲ ਵਿਲੱਖਣ URL ਅਤੇ ਸੰਰਚਨਾ ਲੋੜਾਂ ਹੋ ਸਕਦੀਆਂ ਹਨ।

Azure Entra ID ਨਾਲ ਏਅਰਫਲੋ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਬਾਰੇ ਅੰਤਿਮ ਵਿਚਾਰ

Airflow ਨਾਲ Azure Entra ID ਨੂੰ ਜੋੜਨਾ ਸਾਰੇ ਸੰਗਠਨਾਂ ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾ ਸਕਦਾ ਹੈ। OAuth ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਧਿਆਨ ਨਾਲ ਸੰਰਚਿਤ ਕਰਕੇ ਜਿਵੇਂ ਕਿ jwks_uri ਅਤੇ ਐਕਸੈਸ ਟੋਕਨ URL, ਤੁਸੀਂ ਸੁਰੱਖਿਅਤ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰ ਰਹੇ ਹੋ ਜੋ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕਰਦੇ ਹਨ। ਕਿਸੇ ਵੀ ਡਾਟਾ-ਸੰਚਾਲਿਤ ਸੰਗਠਨ ਲਈ ਸੁਰੱਖਿਆ ਦਾ ਇਹ ਪੱਧਰ ਜ਼ਰੂਰੀ ਹੈ।

Azure ਵਿੱਚ ਰੋਲ ਮੈਪਿੰਗ ਏਅਰਫਲੋ ਵਿੱਚ ਇੱਕ ਸਕੇਲੇਬਲ, ਰੋਲ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਰਣਨੀਤੀ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਮੈਪਿੰਗਾਂ ਨਾਲ, ਉਪਭੋਗਤਾਵਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨਾ ਅਤੇ ਅਨੁਮਤੀਆਂ ਨਿਰਧਾਰਤ ਕਰਨਾ ਵਧੇਰੇ ਕੁਸ਼ਲ ਬਣ ਜਾਂਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਵੱਡੀਆਂ ਟੀਮਾਂ ਵਿੱਚ। ਇਹਨਾਂ ਸੰਰਚਨਾਵਾਂ ਦੀ ਸਪਸ਼ਟ ਸਮਝ ਭਵਿੱਖ ਦੀਆਂ ਸੁਰੱਖਿਆ ਲੋੜਾਂ ਲਈ ਤੁਹਾਡੇ ਪ੍ਰਮਾਣੀਕਰਨ ਸੈੱਟਅੱਪ ਨੂੰ ਵਧੇਰੇ ਲਚਕੀਲਾ ਬਣਾ ਸਕਦੀ ਹੈ। 🔒