broadinstitute/cromiam Docker Image Overview

broadinstitute/cromiam

broadinstitute

Cromwell工作流管理系统的IAM（身份与访问管理）插件，提供身份验证、权限控制和安全访问管理功能，增强Cromwell在多用户环境下的安全性和访问控制能力。

下载次数: 0状态：社区镜像维护者：broadinstitute仓库类型：镜像最近更新：22 天前

轩辕镜像，加速的不只是镜像。点击查看

中文简介版本下载

轩辕镜像，加速的不只是镜像。点击查看

Cromwell IAM Addon 镜像文档

镜像概述

Cromwell IAM Addon 是为Cromwell工作流管理系统设计的身份与访问管理插件，旨在通过集成身份验证、权限控制和安全访问策略，提升Cromwell在多用户协作环境中的安全性、合规性和可管理性。该镜像与Cromwell原生架构无缝集成，无需修改Cromwell核心代码即可实现访问控制增强。

核心功能与特性

身份验证机制

支持多种身份验证协议：OAuth2.0、OpenID Connect、LDAP/Active Directory及API Key认证
支持单点登录（SSO）集成，兼容主流身份提供商（如Keycloak、Azure AD、Google Identity）
支持多因素认证（MFA）配置，增强用户身份验证安全性

权限控制

细粒度权限管理：支持基于用户/用户组的工作流、任务、资源（如存储、计算）访问权限控制
角色-based访问控制（RBAC）：预设管理员、开发者、只读用户等角色，支持自定义角色创建
资源级权限：可针对特定工作流名称、标签、元数据或执行环境设置访问权限规则

安全审计与日志

完整审计日志：记录用户登录、权限变更、工作流访问/执行等操作日志
日志导出功能：支持将审计日志导出至ELK Stack、Splunk等日志分析平台
安全事件告警：支持配置异常访问行为告警（如多次认证失败、权限越权尝试）

集成能力

与Cromwell API无缝集成：通过拦截Cromwell API请求实现权限校验，不影响原有工作流执行逻辑
支持Cromwell Server和Cromwell CLI客户端访问控制
兼容Cromwell所有版本（v50+）

使用场景与适用范围

适用场景

多用户协作的Cromwell部署环境（如科研机构、高校实验室、企业研发团队）
对数据安全和访问合规性有严格要求的场景（如***、***、政务领域的工作流管理）
需要区分管理员、普通用户、访客等不同角色权限的Cromwell平台

适用范围

基于Docker/Kubernetes部署的Cromwell实例
单机或分布式Cromwell集群
云环境（AWS、Azure、GCP）或本地数据中心的Cromwell部署

使用方法与配置说明

前置条件

已部署Cromwell Server（v50+），且可通过网络访问
已准备身份提供商（如LDAP服务器、OAuth2服务）或API Key认证所需的密钥管理系统
宿主机需开放插件通信端口（默认8080/tcp）

Docker运行命令示例

基础运行命令

bash
docker run -d \
  --name cromwell-iam-addon \
  -p 8080:8080 \
  -e CROMWELL_SERVER_URL="[***]" \
  -e IAM_AUTH_PROVIDER="ldap" \
  -e IAM_LDAP_URL="ldap://ldap-server:389" \
  -e IAM_LDAP_BASE_DN="dc=example,dc=com" \
  -v /path/to/iam-config:/etc/cromwell-iam/config \
  -v /path/to/audit-logs:/var/log/cromwell-iam \
  cromwell-iam-addon:latest

使用OAuth2认证的示例

bash
docker run -d \
  --name cromwell-iam-addon \
  -p 8080:8080 \
  -e CROMWELL_SERVER_URL="[***]" \
  -e IAM_AUTH_PROVIDER="oauth2" \
  -e IAM_OAUTH2_CLIENT_ID="your-client-id" \
  -e IAM_OAUTH2_CLIENT_SECRET="your-client-secret" \
  -e IAM_OAUTH2_ISSUER_URL="[***]" \
  -e IAM_OAUTH2_REDIRECT_URI="[***]" \
  -v /path/to/oauth2-config:/etc/cromwell-iam/oauth2 \
  cromwell-iam-addon:latest

环境变量配置

环境变量名	描述	可选值/示例	默认值
`CROMWELL_SERVER_URL`	Cromwell服务器API地址	`[***]`	无（必填）
`IAM_AUTH_PROVIDER`	身份验证提供者	`ldap`, `oauth2`, `api_key`	`api_key`
`IAM_PORT`	插件服务端口	`8080`, `9090`	`8080`
`IAM_LOG_LEVEL`	日志级别	`DEBUG`, `INFO`, `WARN`	`INFO`
`IAM_CONFIG_PATH`	配置文件路径（容器内）	`/etc/cromwell-iam/config`	`/config`
`IAM_AUDIT_LOG_PATH`	审计日志存储路径（容器内）	`/var/log/cromwell-iam`	`/logs`

配置文件说明

插件支持通过配置文件（config.yaml）自定义权限规则和认证细节，示例配置如下：

yaml
# 权限规则配置
permissions:
  roles:
    - name: "admin"
      permissions: ["workflow:create", "workflow:delete", "task:manage", "user:manage"]
    - name: "user"
      permissions: ["workflow:create", "workflow:read", "task:read"]
    - name: "viewer"
      permissions: ["workflow:read", "task:read"]
  user_roles:
    - user: "***"
      roles: ["admin"]
    - user_group: "research_team"
      roles: ["user"]

# LDAP认证配置（当IAM_AUTH_PROVIDER=ldap时生效）
ldap:
  user_search_base: "ou=users"
  user_filter: "(uid={username})"
  group_search_base: "ou=groups"
  group_filter: "(member={user_dn})"

# API Key认证配置（当IAM_AUTH_PROVIDER=api_key时生效）
api_key:
  key_file: "/etc/cromwell-iam/api-keys.json"  # 存储API Key的JSON文件路径
  header_name: "X-Cromwell-IAM-Key"            # 客户端请求头中的API Key字段名

与Cromwell集成

配置Cromwell使用IAM插件：修改Cromwell配置文件（application.conf），添加API拦截器：

hocon
cromwell {
  services {
    api {
      interceptors = [
        {
          class = "com.example.cromwell.iam.IamApiInterceptor"
          config {
            iamServerUrl = "[***]"
          }
        }
      ]
    }
  }
}

重启Cromwell服务：使配置生效
验证集成：通过Cromwell CLI或API提交请求，验证权限控制是否生效

数据持久化

为确保配置和审计日志不丢失，建议挂载以下目录：

配置文件目录：-v /host/path/to/config:/etc/cromwell-iam/config
审计日志目录：-v /host/path/to/logs:/var/log/cromwell-iam
API Key文件（若使用API Key认证）：-v /host/path/to/api-keys.json:/etc/cromwell-iam/api-keys.json