配置 AWS IAM Identity Center¶

为了使用 AWS 身份验证管理器，您首先需要配置 AWS IAM Identity Center。AWS IAM Identity Center 由 AWS 身份验证管理器用于身份验证目的（登录和注销）。完成配置后，Airflow 环境管理员可以使用 Identity Center 服务管理用户和组。

创建资源¶

AWS 身份验证管理器需要在 AWS IAM Identity Center 中创建两个资源：一个实例和一个应用程序。您必须手动创建它们。

创建实例¶

AWS 身份验证管理器利用 SAML 2.0 作为底层技术，支持针对 AWS Identity Center 的身份验证。

实例类型有多种，但只有组织级别的实例才能使用 SAML 2.0 应用程序。有关实例类型的更多详细信息，请参阅此处。

请按照 AWS 文档在组织级别创建 AWS IAM Identity Center 实例。

创建应用程序¶

请按照以下说明创建 AWS IAM Identity Center 应用程序。

打开 IAM Identity Center 控制台。
选择 应用程序。
选择 客户管理 选项卡。
选择 添加应用程序。
在 选择应用程序类型 页面上的 设置首选项 下，选择 我有一个要设置的应用程序。
在 应用程序类型 下，选择 SAML 2.0。
选择 下一步。
在 配置应用程序 页面的 配置应用程序 下，输入应用程序的 显示名称，例如 Airflow。然后，输入描述。
在 IAM Identity Center 元数据 下，复制 IAM Identity Center SAML 元数据文件 的地址。

注意

您稍后需要在 Airflow 配置中设置此地址。

在 应用程序元数据 下，选择 手动键入元数据值。然后，提供 应用程序 ACS URL 和 应用程序 SAML 受众，如下所示。

重要

将 <base_url> 替换为您的 Airflow UI 的基本 URL。它应该在 AIRFLOW__WEBSERVER__BASE_URL 中定义（例如，如果 Airflow 在本地运行，则为 localhost:8080）。

应用程序 ACS URL: <base_url>/login_callback

应用程序 SAML 受众: <base_url>/login_metadata

选择提交。应用程序现在已创建。

属性映射配置¶

创建应用程序后，您需要配置属性映射。

转到您刚创建的应用程序的详细信息页面。
选择操作。
在操作下，选择 编辑属性映射。
在 属性映射 页面上，您需要配置您的身份源和 AWS IAM Identity Center 之间的不同属性映射。有关属性映射的更多信息，请参阅 IAM Identity Center 文档。AWS 身份验证管理器需要两个属性：id 和 groups。如果您使用默认的 Identity Center 目录作为身份源，则可以使用以下配置
- id
  - 应用程序中的用户属性: id
  - 映射到 IAM Identity Center 中的此字符串值或用户属性: ${user:AD_GUID}
  - 格式: 基本
- groups
  - 应用程序中的用户属性: groups
  - 映射到 IAM Identity Center 中的此字符串值或用户属性: ${user:groups}
  - 格式: 基本
定义了属性 id 和 groups 后，选择 保存更改。

配置 Airflow¶

您需要在 Airflow 配置中设置先前创建的 IAM Identity Center SAML 元数据文件。

[aws_auth_manager]
saml_metadata_url = <saml_metadata_file_url>

或

export AIRFLOW__AWS_AUTH_MANAGER__SAML_METADATA_URL='<saml_metadata_file_url>'