JupyterHub on Kubernetes 中配置 Azure AD 认证的最佳实践

2025-07-10 12:56:47作者：戚魁泉Nursing

在 Kubernetes 上部署 JupyterHub 时，集成 Azure Active Directory (Azure AD) 认证是一个常见需求。本文将详细介绍如何安全高效地配置 Azure AD 认证，特别关注如何通过 Kubernetes Secrets 管理敏感凭证。

认证配置基础

JupyterHub 支持通过 AzureAdOAuthenticator 与 Azure AD 集成。基础配置通常直接在 values.yaml 文件中指定客户端 ID 和密钥：

hub:
  config:
    AzureAdOAuthenticator:
      client_id: "XXXXX"
      client_secret: "YYYY"

虽然这种方法简单直接，但将敏感信息明文存储在配置文件中存在安全风险，特别是在版本控制系统中。

使用 Kubernetes Secrets 的安全实践

更安全的做法是通过 Kubernetes Secrets 管理认证凭证，然后通过环境变量注入。以下是推荐的配置方式：

hub:
  extraEnv:
    OAUTH_CLIENT_ID:
      valueFrom:
        secretKeyRef:
          key: client-id
          name: azure-oauth
    OAUTH_CLIENT_SECRET:
      valueFrom:
        secretKeyRef:
          key: client-secret
          name: azure-oauth

这种方法的优势在于：

敏感信息不会出现在配置文件中
可以通过 Kubernetes RBAC 控制对 Secrets 的访问
便于轮换凭证而不需要修改部署配置

完整配置示例

以下是一个完整的 Azure AD 认证配置示例，结合了环境变量和显式配置：

hub:
  extraEnv:
    OAUTH_CLIENT_ID:
      valueFrom:
        secretKeyRef:
          key: client-id
          name: azure-oauth
    OAUTH_CLIENT_SECRET:
      valueFrom:
        secretKeyRef:
          key: client-secret
          name: azure-oauth
  config:
    AzureAdOAuthenticator:
      oauth_callback_url: "https://jupyterhub.domain.com/hub/oauth_callback"
      tenant_id: "XX-XXX-XXX"
      allow_all: false
      admin_groups:
        - "XXX-XXXX"  # 管理员组ID
        - "YYY-YYYY"   # 另一个管理员组ID
      allowed_groups:
        - "XXX-XXXX"  # 允许访问的组ID
        - "YYY-YYYY"   # 另一个允许访问的组ID
      manage_groups: true
      scope: ["openid", "profile", "email", "User.Read", "GroupMember.Read.All"]
    JupyterHub:
      authenticator_class: azuread