Authentifier les comptes via OpenID Connect

Note

L’authentification OpenID Connect est une fonctionnalité d’entreprise Flower. Voir Flower Enterprise pour plus de détails.

Dans ce guide, vous apprendrez à configurer SuperLink avec l’authentification et l’autorisation des comptes au niveau du compte, et comment vous connecter en utilisant la CLI flwr. Une fois connecté, tout compte Flower autorisé sur le SuperLink peut exécuter les commandes de la CLI qui interagissent avec le SuperLink.

Important

Avec l’authentification et l’autorisation de compte activées, seuls les comptes qui ont soumis la commande flwr run peuvent visualiser et interagir avec leurs exécutions. Cela signifie que vos exécutions sont privées par défaut, garantissant que seuls les comptes autorisés puissent y accéder.

Prérequis

Pour activer l’authentification et l’autorisation de compte, le SuperLink doit être déployé avec un fournisseur OpenID Connect (OIDC) et un serveur OpenFGA. Le fournisseur OIDC est utilisé pour l’authentification des comptes, tandis que OpenFGA est utilisé pour la contrôle d’accès fin. Cela signifie qu’un compte authentifié peut uniquement exécuter les commandes flwr CLI sur le SuperLink si ils ont été autorisés par l’administrateur SuperLink. Lorsque cela est activé, l’authentification et l’autorisation de compte doivent être configurées sur le SuperLink.

Activer l’authentification et l’autorisation des comptes sur le SuperLink

Créez un fichier de configuration YAML avec le contenu suivant:

authentication:
  authn_type: oidc
  authn_url:          # OIDC provider's authorization_endpoint
  token_url:          # OIDC provider's token_endpoint
  validate_url:       # OIDC provider's account-authinfo_endpoint
  oidc_client_id:     # OIDC provider Client ID
  oidc_client_secret: # The corresponding Client Secret

authorization:
  authz_type: openfga
  authz_url:          # The base OpenFGA API URL
  store_id:           # The store ID containing the model store
  model_id:           # The model ID containing the latest authorization model for the SuperLink
  relation:           # The authorized relation between the account and the resource, e.g. `has_access`
  object:             # The object and identifier at which an account has an authorized relation.
                      # The expected format is `object_type:object_identifier`, e.g.:
                      #   service:researchgrid
                      #   │       └─ Identifier of the object
                      #   └─ Object type

Enregistrez ce fichier sous le nom account-auth-config.yaml. Puis passez-le au SuperLink via la flag --account-auth-config lors du déploiement du SuperLink:

$ flower-superlink \
    --account-auth-config=account-auth-config.yaml
    <other flags>

Note

Pour autoriser un compte, l’administrateur du SuperLink doit ajouter la revendication OIDC sub du compte à l’OpenFGA avec la relation appropriée.

Avertissement

À partir de Flower v1.23.0, les options/les clés suivantes ont été renommées :

• auth_type → authn_type (dans la configuration YAML)

• auth_url → authn_url (dans la configuration YAML)

• --user-auth-config → --account-auth-config (dans l’interface de ligne de commande SuperLink)

Connectez-vous au SuperLink

Une fois que le SuperLink avec authentification et autorisation d’utilisateur est en cours d’exécution, un utilisateur peut s’y connecter après avoir installé le paquet PyPI flwr via l’interface de ligne de commande Flower. Configurez la connexion SuperLink dans votre fichier de configuration Flower (généralement situé à $HOME/.flwr/config.toml) :

config.toml

[superlink]
default = "my-prod-superlink"  # Set the default connection configuration

[superlink.my-prod-superlink]
address = "<SUPERLINK-ADDRESS>:<CONTROL-API-PORT>"   # Address of the SuperLink Control API
root-certificate = "<PATH/TO/ca.crt>" # TLS certificate set for the SuperLink. Required for self-signed certificates.

Note

• L’authentification et l’autorisation des utilisateurs ne sont prises en charge que avec les connexions TLS.

• La mise en place de la connexion par défaut est facultative. Si vous n’installez pas le SuperLink par défaut, vous pouvez spécifier explicitement le nom de la connexion dans chaque commande, par exemple : flwr login my-prod-superlink.

En savoir plus sur le fichier de configuration Flower dans la référence Flower Configuration.

Vous devez vous connecter en premier avant que d’autres commandes CLI puissent être exécutées. Lorsque vous exécutez flwr login, une URL sera retournée par le plugin d’authentification dans le SuperLink. Cliquez dessus et authentifiez-vous directement contre le fournisseur OIDC.

$ flwr login
A browser window has been opened for you to log into your Flower account.
If it did not open automatically, use this URL:
https://account.flower.blue/realms/flower/device?user_code=...
# [... follows URL and logs in ... in the meantime the CLI will wait ...]
✅ Login successful.

Une fois l’authentification réussie, les informations de compte retournées par le fournisseur OIDC via le SuperLink seront stockées localement. Les jetons seront envoyés transparentement avec chaque demande flwr CLI ultérieure vers le SuperLink, et il transmettra ceux-ci au fournisseur OIDC pour effectuer les contrôles d’authentification.

Exécutez les commandes autorisées flwr CLI

Une fois ces étapes terminées, vous pouvez maintenant exécuter les commandes flwr CLI contre un ensemble de configuration avec l’authentification et l’autorisation de compte. Par exemple, en tant que compte autorisé, vous pouvez exécuter la commande flwr run pour démarrer une application Flower:

$ flwr run
🎊 Successfully started run 1859953118041441032

Si l’utilisateur n’a pas les autorisations nécessaires pour exécuter la commande, une erreur sera renvoyée :

$ flwr run
╭─ Error ──────────────────────────────────────────────────────────────────────────╮
│ Authentication failed. Please run `flwr login` to authenticate and try again.    │
╰──────────────────────────────────────────────────────────────────────────────────╯