Superset整合keycloak系统

2023-11-18

本篇主要介绍superset如何整合单点登陆系统keycloak，现在网上的博客大部分都是失效了，这里我相当于更新一下，避免大家再走弯路

一、环境配置

Macos

keycloak：18.0.0

superset：2.1.0

keycloak规定：每一个要接入keycloak的三方系统必须要有一个client与之相对应，所以上来就要创建一个，假设名字为superset

最后对client进行配置，主要包括url设置，具体如下：

二、代码配置

这部分内容在网上大部分都是过期的，基于网上的博客，进行部分依赖库的修改，这里是用macos进行开发，环境部署在linux docker容器中，以下是我修改的文件列表：

下面分别一个一个将代码进行展示出来：

2.1、Makefile

主要增加环境变量，指定PYTHONPATH所在目录，目的是后面增加文件后能找到变量声明

# 环境变量配置，env，在Makefile 开头附近加上就可以
CUR_DIR:=$(shell pwd)
export PYTHONPATH=$(CUR_DIR)/superset

2.2、base.txt & development.txt

在base.txt增加依赖：

Flask-OpenID==1.3.0
flask-oidc-ext==1.4.5

在development.txt修改依赖：

requests==2.26.0 ==> requests==2.28.2

2.3、superset/config.py

修改AUTH_TYPE = AUTH_DB ==> AUTH_TYPE = AUTH_OID

2.4、新增superset/client_secret.json

{
  "web": {
     "issuer": "https://sso.test.com/auth/realms/master",
     "auth_uri":"https://sso.test.com/auth/realms/master/protocol/openid-connect/auth",
     "client_id": "superset",
     "client_secret": "这个key是从keycloak中web界面里面有提供",
     "verify_ssl_server": false,
     "post_logout_redirect_uri": "http://superset.test.com/",
     "userinfo_uri":"https://sso.test.com/auth/realms/master/protocol/openid-connect/userinfo",
     "token_uri":"https://sso.test.com/auth/realms/master/protocol/openid-connect/token",
     "token_introspection_uri":"https://sso.test.com/auth/realms/master/protocol/openid-connect/token/introspect"
    }
}

2.5、新增superset/superset_config.py

import os
from superset.keycloak_sso import OIDCSecurityManager

#---------------------------------------------------------
# Flask App Builder configuration
#---------------------------------------------------------
# Your App secret key，这个地方SECRET_KEY，需要是随机字符串，代表当前superset app
# 此处的key，和上文中client key不一样
SECRET_KEY='IKyZMVz0hz+Uq097CmD22ghww8oxYvot4yFj2dy3'
OIDC_CLIENT_SECRETS = os.path.dirname(os.path.realpath(__file__)) + '/client_secret.json'
OIDC_ID_TOKEN_COOKIE_SECURE = False
OIDC_REQUIRE_VERIFIED_EMAIL = False
AUTH_USER_REGISTRATION = True
AUTH_USER_REGISTRATION_ROLE = 'Public'
CUSTOM_SECURITY_MANAGER = OIDCSecurityManager
OVERWRITE_REDIRECT_URI = 'http://superset.test.com/oidc_callback'

2.6、新增superset/keycloak_sso.py

import logging
import json
from flask_appbuilder.security.manager import AUTH_OID
from superset.security import SupersetSecurityManager
from flask_appbuilder.security.views import AuthOIDView
from flask_login import login_user
from urllib.parse import quote
from flask_appbuilder.views import expose
from flask import request, redirect
from flask_oidc_ext import OpenIDConnect
from oauth2client.client import OAuth2Credentials

logger = logging.getLogger(__name__)


class OIDCSecurityManager(SupersetSecurityManager):

    def __init__(self, appbuilder):
        super(OIDCSecurityManager, self).__init__(appbuilder)
        if self.auth_type == AUTH_OID:
            self.oid = OpenIDConnect(self.appbuilder.get_app)
        self.authoidview = AuthOIDCView

class AuthOIDCView(AuthOIDView):
    @expose('/login/', methods=['GET', 'POST'])
    def login(self, flag=True):
        sm = self.appbuilder.sm
        oidc = sm.oid
        superset_roles = ["Admin", "Alpha", "Gamma", "Public", "granter", "sql_lab"]
        default_role = "Gamma"

        @self.appbuilder.sm.oid.require_login
        def handle_login():
            user = sm.auth_user_oid(oidc.user_getfield('email'))

            if user is None:
                info = oidc.user_getinfo(
                    ['preferred_username', 'given_name', 'family_name', 'email', 'roles'])
                roles = [role for role in superset_roles if
                         role in info.get('roles', [])]
                roles += [default_role, ] if not roles else []
                user = sm.add_user(info.get('preferred_username'),
                                   info.get('given_name', ''),
                                   info.get('family_name', ''),
                                   info.get('email'),
                                   [sm.find_role(role) for role in roles])

            login_user(user, remember=False)
            return redirect(self.appbuilder.get_url_for_index)

        return handle_login()

    @expose('/logout/', methods=['GET', 'POST'])
    def logout(self):
        try:
            oidc = self.appbuilder.sm.oid
            info = oidc.user_getinfo(
                ['preferred_username', 'email', 'sub', 'given_name', 'iss'])
            id_token_jwt = OAuth2Credentials.from_json(
                oidc.credentials_store[info.get('sub')]).id_token_jwt
            oidc.logout()
            super(AuthOIDCView, self).logout()
            logoutUri = oidc.client_secrets.get('issuer') + '/protocol/openid-connect/logout'
            post_logout_redirect_uri = oidc.client_secrets.get('post_logout_redirect_uri')
            return redirect(logoutUri + '?id_token_hint=' + id_token_jwt + '&post_logout_redirect_uri=' + \
                        quote(post_logout_redirect_uri))
        except Exception as err:
            msg = repr(err)
            if msg.find("User was not authenticated") != -1:
                return redirect('/login/')
            raise

三、linux docker环境修改

上面介绍的内容是在本地直接运行，如果在docker中需要将superset_config.py文件合并到superset/config.py中，主要原因是环境变量问题。所以总体来说，superset_config.py文件没有用的。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

superset单点登陆

Keycloak

单点登陆

Superset整合keycloak系统的相关文章

在keycloak登录页面显示应用程序名称

我有两个应用程序App1 and App2与相互作用keycloak用于用户身份验证我想在以下位置显示应用程序名称keycloak登录页面例如如果用户正在登录App1 the keycloak登录页面应显示登录到 App1 同样的情
禁用用户通过电子邮件确认后Keycloak自动登录

我们将 keycloak KC 与自定义提供程序一起用于注册流程在注册流程结束时在将确认电子邮件发送给用户之前作为默认 KC 功能我们会禁用该用户因为它适合我们的用例当用户单击电子邮件确认时邮件将被确认并且用户将自动登录尽管
Keycloak / SpringBoot - OpenID 配置中提供的颁发者与请求的颁发者不匹配

我对我刚刚加入的项目有疑问技术栈 Jhipster 与 Angular 和 SpringBoot Keycloak 我将正确的网址替换为 example com 和 bar com 应用程序 yaml https i stack imgu
重启容器后Keycloak Docker容器启动失败

我有一个 Keycloak 安装在 docker compose 环境中作为 docker 容器运行每天晚上我的备份都会停止相关容器执行数据库和卷备份然后再次重新启动容器对于大多数人来说它是有效的但 Keycloak 似乎有一个
如何使用 REST API 在 keycloak 中重置用户密码

我想对我的 Keycloak 服务器进行休息调用根据文档这应该很容易 https www keycloak org docs api 10 0 rest api index html executeactionsemail https
如何让Keycloak注销取消会话？

我有一个配置其中使用 Keycloak 作为身份代理并使用自定义身份提供程序使用 Spring Security OAuth 来提供用户信息我观察到当我尝试注销使用 frontchannel 流时 Keycloak cooki
Spring Boot中获取Keycloak的AccessToken

我在 Spring Boot 应用程序中使用 Keycloak 进行授权管理我从以下curl命令中获取访问令牌 curl d client id admin cli d username user d password password
协议映射器在 Keycloak 中如何工作？

我正在尝试一个示例来将用户属性添加到声明中我正在按照这个例子here https www baeldung com keycloak custom user attributes 我正在尝试访问过滤器中的声明但没有成功我想了解协议映射
Keycloak/Wildfly 如何将所有控制台日志配置为 JSON 格式

我正在使用官方 Keycloak 图像并尝试为控制台日志设置 JSON 格式如下所示启动 cli embed server server config standalone ha xml std out echo subsystem l
Keycloak 社交登录 Rest API 重定向您太多次

我尝试保护我的 Spring Boot 应用程序服务器我使用 keycloak 来保护它我想使用谷歌身份验证创建社交登录这是我的钥匙斗篷配置包 com example keycloaklearning config import o
如何在 AuditorAware 中获取 Keycloak 用户名

我已经使用 Spring Data JPA 实现了审计完全遵循本文档 https www baeldung com database auditing jpa 当我运行应用程序时一切正常但是当我将 WAR 部署到 Tomcat 并尝试
使用 Keycloak SSO 在 2 个应用程序之间保持身份验证

我有 2 个 JHipster 应用程序每个应用程序都在一个子域 app1 domain tld 和 app2 domain tld 上运行在这两个应用程序中用户都通过 Keycloak 登录顺序如下 Angular 应用程序将带有
Keycloak - 如何检查用户名和电子邮件是否存在

我们希望以编程方式创建 Keycloak 用户并检查用户名和或电子邮件地址是否已存在于 Keycloak 中我们正在使用的版本4 4 0 FINAL 当我们使用 Keycloak 管理客户端以编程方式创建用户时如果用户名或电子邮件地
使用相同Keycloak的2个APP的身份验证（SSO）

我需要您针对特殊用例的帮助我在互联网上搜索但没有找到任何适合我的情况的内容我是 keycloak 的新手所以这可能很容易做到但我未能解决它我有两个具有 Spring Boot 安全性的应用程序它们连接到同一个 keycloak
在 python 中使用 PyJWT 解码 jwt 令牌给出错误算法不支持

我正在使用 PyJWT 解码来自 keycloak 的 JWT 令牌 eyJhbGciOiJSUzI1NiIsInR5cCIGOiAiSldUIiwia2lkIiA6ICJ6MWpiUExrTndMVTBkTHk3a0NIT1pyS2FJd
如何在keycloak登录页面实现Recaptcha

我想在 keycloak 登录页面如注册页面中实现 recaptcha 我用所需的工厂类扩展了 UsernamePasswordForm 类我什至还开设了行动要求课程但我仍然看不到在提供程序选项卡中添加登录我也修改了现有的logi
Keycloak - 自定义表单操作在流程中不可见

我正在尝试为用户注册实现自定义表单操作我在表单上添加了一些自定义字段我希望验证这些字段在浏览了 keycloak 文档后我意识到我需要扩展 FormAction FormActionFactory 将actionfactory打包
Cordova Android 应用程序中的网页不可用

编辑我一直在解决这个问题并回顾我的所有步骤我很乐意缩小这个问题的规模并在令人困惑的情况下获得更多确切的细节目前我觉得 Keycloak 似乎只想将我重定向到 https 据我所知这应该是 Wildfly 服务器配置问题编辑我
Spring OAuth2 Keycloak Kubernetes 内部/外部访问

我在 Kubernetes 集群内配置了 Keycloak 10 0 3 服务器 keycloak 服务器必须处理外部用户的身份验证使用外部 url 并处理用于 Spring 微服务通信的 oauth2 令牌然后Web应用程序Sprin
如何使用 keycloak 强制每个客户端登录（最佳实践？）

我们目前正在实施 keycloak 但我们面临着一个问题我们不确定解决它的最佳方法是什么我们有不同的网络应用程序使用单点登录并且运行良好我们遇到的问题是当我们在一个 Web 应用程序中使用 sso 登录然后在另一个 Web 应用

随机推荐

iview on-change用法

原地址 https segmentfault com q 1010000011589626 iview框架select选择框on change事件如何返回当前选中的值这是文档中的解释 on change 选中的Option变化时触发默认
C++类与封装实例说明

众所周知 C 具有三大特性分别为封装继承多态今天有位同学问到我应该如何去理解我翻了翻笔记本找到以前上课时学到的案例来解释首先成员函数存在希望公开或不希望公开的属性这也构成了定义成员函数访问级别的三项 1 public 公开
架构师--IT策略灵魂的创造者

http blog csdn net aspop archive 2006 01 21 585823 aspx 在比尔盖茨的众多称谓中据说他更偏爱首席软件架构师同样在网易创始人丁磊名字前也有首席架构师这样的称谓对于企业来说
IDEA国际化资源Key无法全局重命名的解决方案

一前言最近在开发中使用到了HibernateValidator进行入参校验以及错误消息的国际化支持大家应该都知道在使用HibernateValidator进行校验的时候我们只需在需要在校验的变量上添加相应的注解同时在message
Flutter 应用程序更新

Flutter 应用程序更新原文 https medium com flutter community in app update the flutter way 2f25e4a02c02 前言当您推出应用程序的新版本时您希望您的用户
CSS3背景渐变

我们经常可以看到有些背景色并不是纯色而是好看的渐变色 css3知我懂我给我们提供了制作渐变背景色的属性渐变主要包括线性渐变和径向渐变接下来逐一介绍用法 1 线性渐变线性渐变 linear gradients 表示颜色沿着一条直线过
设计模式--原型模式

原型模式属于创建型模式基本原理又称为克隆模式拷贝本身对象可以直接使用语言中的拷贝构造主要流程在构建对象的时候实现一个对本身的拷贝函数特别注意要有对应的销毁方法 include
集合框架(二)

集合框架二回顾 Collection List Set的特点 Collection 不唯一的无序的 List 不唯一的有序 Set 唯一的无序的 Collection和Collections的区别 Collection是集合的顶级
C语言/C++实现栈操作

一栈的概念栈是一种常用的数据结构它遵循先入后出 Last In First Out LIFO 的原则栈的操作只在栈的一端进行该端被称为栈顶而另一端称为栈底栈的基本操作包括压栈入栈 push 和弹栈出栈 pop 分别用于将元
HTTP 常见错误

HTTP 错误 400 400 请求出错由于语法格式有误服务器无法理解此请求不作修改客户程序就无法重复此请求 HTTP 错误 401 401 1 未授权登录失败此错误表明传输给服务器的证书与登录服务器所需的证书不匹配请与 We
【Python与机器学习2-1】pandas 基本数据对象及操作

series 相当于一维数组要有向量化操作思想 series是类似一维数组的对象即一个列向量初始化series 通过列表初始化series 默认数字为索引 ser obj pandas Series list 通过字典初始化serie
JSP页面中page指令contentPage/pageEncoding具有什么功能呢？

转自 JSP页面中page指令contentPage pageEncoding具有什么功能呢下文将讲述page指令的contentPage及pageEncoding指令的功能简介说明如下所示 page指令的contentPage及pag
Antd DatePicker 设置默认值报clone.weekday is not a function

代码 dayjs版本1 11 7 页面当点击页面日期框会报clone weekday is not a function 解决方法在jsx文件中添加如下js import dayjs from dayjs import advanced
AngularJS单元测试环境搭建及验证

AngularJS的单元测试要测试AngularJS 需要先搭建相关的测试环境之前已经安装了Node js并验证了基本的功能同时下载了AngularJS的包成功运行了AngularJS编写的程序也就是说基本的开发环境已经构建完成
ArcGIS处理自相交面

问题我们在获取一些osm等开源地理数据网站获取数据后比如建筑物数据往往需要对数据进行处理后才可以进行分析对于面数据处理面自相交问题是必须操作如下图就是自相交的面解决方案该问题可以使用ArcGIS轻松解决新建线要素选择
ARm 移植最新版QT5.12

转载 https blog csdn net weixin 37771089 article details 84989447 一准备 ubuntu 12 04 源码 http download qt io archive qt 5 12
IDEA使用maven进行多模块项目打包并梳理正确的打包顺序

maven多模块打包一般相互之间都有互相的依赖关系如果没有按照正确的依赖关系顺序进行打包就会报错例如有三个模块web service common 其中web依赖service web和service都依赖common 那么正确的打包顺
hsql获取数组中最后一个值的写法

一问题抛出在数据分析中我们有时候会遇到需要取出数组中最后一个值的方法 1 表xxx数据如下图所示 2 现在需要取出字符串最后的 321 和 987 二方案探讨 1 反转字符串后使用切割函数切割获取第一个值然后再反转一下代码如下
Spring Boot starter 启动流程（无废话版）

如果无产阶级不能发出自己的声音他们就会被社会遗忘一 pom xml文件 1 父依赖其中它主要是依赖一个父项目主要是管理项目的资源过滤及插件
Superset整合keycloak系统

本篇主要介绍superset如何整合单点登陆系统keycloak 现在网上的博客大部分都是失效了这里我相当于更新一下避免大家再走弯路一环境配置 Macos keycloak 18 0 0 superset 2 1 0 keycloa

Superset整合keycloak系统

Superset整合keycloak系统 的相关文章

随机推荐

热门标签

Superset整合keycloak系统的相关文章