Apache Airflow 3.0.0版本中EntraID SSO登录失效问题解析

Apache Airflow作为一款流行的开源工作流编排工具，在3.0.0版本升级后，部分用户反馈通过Azure EntraID（原Azure AD）进行SSO登录时出现了问题。本文将深入分析这一问题的技术背景、原因及解决方案。

问题背景

在Airflow 2.x版本中，用户可以通过配置enable_proxy_fix = True参数，使系统生成HTTPS格式的重定向URL。这一设置在对接Azure EntraID的应用注册时尤为重要，因为EntraID严格要求重定向URL必须使用HTTPS协议。

然而在升级到3.0.0版本后，该参数被移除，导致系统默认生成HTTP格式的重定向URL，无法通过EntraID的安全验证，最终造成SSO登录失败。

技术原理分析

Airflow与EntraID的SSO集成基于OAuth 2.0协议。在认证流程中，关键的"redirect_uri"参数必须与应用注册时配置的URL完全匹配。EntraID出于安全考虑，强制要求此URL必须使用HTTPS。

在反向代理环境中，应用服务器通常运行在HTTP协议上，而外部访问通过HTTPS。2.x版本的enable_proxy_fix参数正是用于解决这种协议不匹配问题，它能正确识别外部请求的协议类型。

解决方案

针对3.0.0版本，开发者提供了两种解决方案：

1. 自定义webserver_config.py配置： 用户可以创建自定义的Flask配置，手动设置协议转换逻辑。示例代码如下：

   def root_app(environ, start_response):
       environ['wsgi.url_scheme'] = 'https'
       return original_app(environ, start_response)
   

2. 官方补丁恢复proxy_fix参数： 在后续版本中，开发团队已恢复了对proxy_fix参数的支持，用户可以直接在配置中启用该功能。

最佳实践建议

对于生产环境中的Airflow部署，建议：

• 始终使用HTTPS协议对外暴露服务
• 在反向代理层（如Nginx、Apache）正确配置协议转发头
• 定期检查Airflow与身份提供商的集成配置
• 在升级前充分测试SSO功能

总结

Airflow 3.0.0版本在架构调整过程中暂时移除了对协议转换的支持，导致与严格遵循安全规范的EntraID集成出现问题。通过理解底层技术原理，用户可以灵活选择适合自身环境的解决方案。这也提醒我们在进行系统升级时，需要特别关注安全相关功能的兼容性变化。