与 Okta 集成的 Apache 超集

从 Flask-AppBuilder 3.2.2 开始，Okta 集成应该是开箱即用的，但事实并非如此。

这对我有用：

在 Okta 的应用设置中，字段 Sign-in redirect URIs 应如下所示：

http://localhost:8088/oauth-authorized/okta

您的 superset_config.py 应包含类似以下内容：

OKTA_BASE_URL = 'https://dev-<your-okta-id>.okta.com'

AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [
    {
        'name': 'okta','token_key': 'access_token','icon': 'fa-circle-o','remote_app': {
            'client_id': OKTA_CLIENT_ID,'client_secret': OKTA_CLIENT_SECRET,'client_kwargs': {
                'scope': 'openid profile email groups'
            },'access_token_method': 'POST','api_base_url': f'{OKTA_BASE_URL}/oauth2/v1/','access_token_url': f'{OKTA_BASE_URL}/oauth2/v1/token','authorize_url': f'{OKTA_BASE_URL}/oauth2/v1/authorize','server_metadata_url': f'{OKTA_BASE_URL}/.well-known/openid-configuration',},}
]


from custom_sso_security_manager import CustomSsoSecurityManager
CUSTOM_SECURITY_MANAGER = CustomSsoSecurityManager

最后，您的 custom_sso_security_manager.py 必须与您的 superset_config.py 位于同一目录中，应包含如下内容：

from superset.security import SupersetSecurityManager


class CustomSsoSecurityManager(SupersetSecurityManager):

    def oauth_user_info(self,provider,response=None):

        if provider == 'okta':
            user_info = self.appbuilder.sm.oauth_remotes[provider].parse_id_token(
                response)

            return {
                'name': user_info['name'],'email': user_info['email'],'id': user_info['email'],'username': user_info['email']
            }

对象 oauth_user_info 返回的重要属性是 email 和 username，它们将用于匹配您数据库的 ab_user 表记录。如果没有匹配的记录，则登录将失败。