Superset集成Keycloak单点登录后获取用户角色的技术实践

2025-04-30 02:35:22作者：卓炯娓

在Superset商业智能平台中实现与Keycloak身份认证服务的集成时，开发者经常遇到用户角色同步问题。本文深入分析这一技术挑战的解决方案，帮助开发者实现完整的角色映射流程。

问题背景分析

当Superset通过OAuth协议与Keycloak集成后，系统默认会将所有通过Keycloak认证的用户分配为"Public"角色，而忽略Keycloak中实际配置的用户角色。这种情况会导致权限控制失效，影响多租户环境下的数据安全隔离。

核心问题诊断

通过分析用户提供的配置代码和响应数据，我们发现关键问题在于：

Keycloak的响应数据中缺少角色信息字段
现有的角色映射配置无法生效
用户信息端点未返回必要的角色声明

完整解决方案

Keycloak服务端配置

首先需要在Keycloak管理控制台进行以下配置调整：

进入客户端设置页面，选择用于Superset集成的客户端
在"Mapper"选项卡中添加"User Realm Role"映射器
配置该映射器将用户角色包含在访问令牌中
确保"scope"参数包含必要的角色信息

Superset配置优化

在superset_config.py文件中需要进行以下关键修改：

class CustomSsoSecurityManager(SupersetSecurityManager):
    def oauth_user_info(self, provider, response=None):
        me = self.appbuilder.sm.oauth_remotes[provider].get("openid-connect/userinfo")
        me.raise_for_status()
        data = me.json()
        
        # 获取JWT令牌中的角色信息
        token = self.appbuilder.sm.oauth_remotes[provider].get_access_token()
        decoded_token = jwt.decode(token, options={"verify_signature": False})
        roles = decoded_token.get('realm_access', {}).get('roles', [])
        
        return {
            "username": data.get("preferred_username", ""),
            "first_name": data.get("given_name", ""),
            "last_name": data.get("family_name", ""),
            "email": data.get("email", ""),
            "role_keys": roles,  # 使用从令牌中提取的角色
        }

角色映射策略

在配置文件中完善角色映射关系：

AUTH_ROLES_MAPPING = {
    'Super Admin': ['Admin', 'sql_lab'],
    'Portal Admin': ['Admin'],
    'Company Admin': ['Admin'],
    'Licensed User': ['Alpha'],
    'Regular User': ['Gamma'],
    'External User': ['Public']
}