Superset集成Keycloak单点登录后获取用户角色的技术实践

2025-04-30 06:35:12作者：卓炯娓

Apache Superset是一款现代化的企业级商业智能Web应用，为数据探索与可视化提供了强大工具，旨在替代或增强现有BI工具。它无缝衔接多种数据源，从快速图表构建的无代码界面到高级SQL编辑，满足不同团队需求。具备丰富的预置可视化类型，覆盖条形图到地理空间图，同时提供轻量级语义层定制维度和指标。支持几乎所有SQL数据库和数据引擎，内置缓存机制减轻数据库压力，并拥有灵活的安全角色配置及API支持深度定制。基于云原生设计，Superset是追求数据洞察力团队的理想选择，结合高度可扩展性和社区活跃度，引领数据分析新风尚。加入全球组织正在使用的行列，解锁数据之美。

项目地址：https://gitcode.com/gh_mirrors/su/superset

在Superset商业智能平台中实现与Keycloak身份认证服务的集成时，开发者经常遇到用户角色同步问题。本文深入分析这一技术挑战的解决方案，帮助开发者实现完整的角色映射流程。

问题背景分析

当Superset通过OAuth协议与Keycloak集成后，系统默认会将所有通过Keycloak认证的用户分配为"Public"角色，而忽略Keycloak中实际配置的用户角色。这种情况会导致权限控制失效，影响多租户环境下的数据安全隔离。

核心问题诊断

通过分析用户提供的配置代码和响应数据，我们发现关键问题在于：

Keycloak的响应数据中缺少角色信息字段
现有的角色映射配置无法生效
用户信息端点未返回必要的角色声明

完整解决方案

Keycloak服务端配置

首先需要在Keycloak管理控制台进行以下配置调整：

进入客户端设置页面，选择用于Superset集成的客户端
在"Mapper"选项卡中添加"User Realm Role"映射器
配置该映射器将用户角色包含在访问令牌中
确保"scope"参数包含必要的角色信息

Superset配置优化

在superset_config.py文件中需要进行以下关键修改：

class CustomSsoSecurityManager(SupersetSecurityManager):
    def oauth_user_info(self, provider, response=None):
        me = self.appbuilder.sm.oauth_remotes[provider].get("openid-connect/userinfo")
        me.raise_for_status()
        data = me.json()
        
        # 获取JWT令牌中的角色信息
        token = self.appbuilder.sm.oauth_remotes[provider].get_access_token()
        decoded_token = jwt.decode(token, options={"verify_signature": False})
        roles = decoded_token.get('realm_access', {}).get('roles', [])
        
        return {
            "username": data.get("preferred_username", ""),
            "first_name": data.get("given_name", ""),
            "last_name": data.get("family_name", ""),
            "email": data.get("email", ""),
            "role_keys": roles,  # 使用从令牌中提取的角色
        }

角色映射策略

在配置文件中完善角色映射关系：

AUTH_ROLES_MAPPING = {
    'Super Admin': ['Admin', 'sql_lab'],
    'Portal Admin': ['Admin'],
    'Company Admin': ['Admin'],
    'Licensed User': ['Alpha'],
    'Regular User': ['Gamma'],
    'External User': ['Public']
}