编辑“︁Airflow用户管理”︁（章节）

= Airflow用户管理 =

'''Airflow用户管理'''是Apache Airflow安全与身份验证体系中的核心组件，它通过角色（Role）、权限（Permission）和用户（User）的三层结构实现细粒度的访问控制。本条目将详细介绍其工作原理、配置方法及实际应用场景。

== 核心概念 ==

=== 用户（User） ===
代表访问Airflow的个体账户，每个用户关联一个或多个角色。用户信息通常存储在元数据库（如PostgreSQL、MySQL）中。

=== 角色（Role） ===
预定义或自定义的权限集合，例如：
* '''Admin'''：完全控制系统
* '''Op'''：操作DAG的权限
* '''Viewer'''：仅查看权限

=== 权限（Permission） ===
原子级操作许可，例如：
* `can_read`
* `can_edit`
* `can_delete`

<mermaid>
graph TD
    A[User] -->|关联| B(Role)
    B -->|包含| C(Permission)
</mermaid>

== 配置方法 ==

=== 通过CLI创建用户 ===
<syntaxhighlight lang="bash">
# 创建管理员用户
airflow users create \
    --username admin \
    --firstname Alice \
    --lastname Smith \
    --role Admin \
    --email admin@example.com \
    --password changeme123
</syntaxhighlight>

输出示例：
<pre>
User "admin" created with role "Admin"
</pre>

=== 通过REST API管理 ===
Airflow 2.0+ 提供REST API接口：
<syntaxhighlight lang="python">
import requests
from requests.auth import HTTPBasicAuth

auth = HTTPBasicAuth('admin', 'changeme123')
response = requests.post(
    "http://localhost:8080/api/v1/users",
    json={
        "username": "analyst",
        "password": "securepass",
        "email": "analyst@example.com",
        "first_name": "Bob",
        "last_name": "Johnson",
        "roles": ["Viewer"]
    },
    auth=auth
)
print(response.json())
</syntaxhighlight>

== 权限模型详解 ==

Airflow采用'''动作-资源模型'''，权限格式为：
<math>\text{can\_}\{\text{action}\}\_\{\text{resource}\}</math>

例如：
* `can_read_dag`：读取DAG文件
* `can_edit_connection`：修改数据连接

=== 自定义角色示例 ===
<syntaxhighlight lang="python">
from airflow.www.security import AirflowSecurityManager

class CustomSecurityManager(AirflowSecurityManager):
    def init_role(self, role_name, perms):
        if role_name == "DataEngineer":
            perms.extend([
                (permissions.ACTION_CAN_EDIT, permissions.RESOURCE_DAG),
                (permissions.ACTION_CAN_READ, permissions.RESOURCE_TASK_INSTANCE)
            ])
</syntaxhighlight>

== 实际案例 ==

=== 场景：多团队协作环境 ===
某公司有三个团队需要不同权限：
* '''数据科学团队'''：需要编辑DAG但不可访问敏感连接信息
* '''运维团队'''：需要管理所有基础设施
* '''业务团队'''：仅查看报表DAG

配置方案：
<mermaid>
pie
    title 角色分配比例
    "DataScientist" : 35
    "Ops" : 25
    "BusinessViewer" : 40
</mermaid>

对应CLI命令：
<syntaxhighlight lang="bash">
# 创建数据科学家角色
airflow roles create -n DataScientist \
    -p "can_edit_dag" \
    -p "can_read_task_instance"

# 创建业务查看者角色
airflow roles create -n BusinessViewer \
    -p "can_read_dag" 
</syntaxhighlight>

== 最佳实践 ==

1. '''最小权限原则'''：仅授予必要权限
2. '''定期审计'''：检查`ab_user_role`表
3. '''集成LDAP/AD'''：企业级部署建议
4. '''密码策略'''：强制复杂密码（通过`SECURITY_PASSWORD_POLICY`配置）

== 故障排查 ==

{| class="wikitable"
|-
! 错误现象 !! 可能原因 !! 解决方案
|-
| 权限不生效 || 角色未正确关联用户 || 检查`ab_user_role`关联表
|-
| API返回403 || 缺少CSRF令牌 || 在请求头添加`X-CSRFToken`
|-
| 登录失败 || 密码哈希不匹配 || 重置密码或检查`ab_user.password`字段
|}

== 进阶配置 ==

=== 基于Web的UI管理 ===
Airflow 2.3+ 提供可视化用户管理界面：
<syntaxhighlight lang="text">
访问路径：Security -> List Users
功能包括：
- 批量导入/导出
- 密码重置
- 角色批量分配
</syntaxhighlight>

=== 多因素认证 ===
通过Flask-AppBuilder集成：
<syntaxhighlight lang="python">
from flask_appbuilder.security.manager import AUTH_OAUTH

FAB_SECURITY_MANAGER_CLASS = "airflow.providers.fab.security_manager.fab_security_manager.FabAirflowSecurityManager"
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [
    {
        "name": "google",
        "icon": "fa-google",
        "token_key": "access_token",
        "remote_app": {
            "client_id": "YOUR_CLIENT_ID",
            "client_secret": "YOUR_CLIENT_SECRET",
            "api_base_url": "https://www.googleapis.com/oauth2/v2/",
            "client_kwargs": {"scope": "email profile"},
            "access_token_url": "https://accounts.google.com/o/oauth2/token",
            "authorize_url": "https://accounts.google.com/o/oauth2/auth",
        }
    }
]
</syntaxhighlight>

== 版本差异 ==

* '''Airflow 1.10'''：基于Flask-Admin的简单模型
* '''Airflow 2.0+'''：采用Flask-AppBuilder的RBAC系统
* '''Airflow 2.3+'''：支持用户界面直接管理

通过以上内容，用户可全面掌握Airflow用户管理机制，实现安全的作业调度环境。

[[Category:大数据框架]]
[[Category:Airflow]]
[[Category:Airflow安全与身份验证]]