broadinstitute/cromiam

Cromwell IAM Addon 镜像文档

镜像概述

Cromwell IAM Addon 是为Cromwell工作流管理系统设计的身份与访问管理插件，旨在通过集成身份验证、权限控制和安全访问策略，提升Cromwell在多用户协作环境中的安全性、合规性和可管理性。该镜像与Cromwell原生架构无缝集成，无需修改Cromwell核心代码即可实现访问控制增强。

核心功能与特性

身份验证机制

• 支持多种身份验证协议：OAuth2.0、OpenID Connect、LDAP/Active Directory及API Key认证
• 支持单点登录（SSO）集成，兼容主流身份提供商（如Keycloak、Azure AD、Google Identity）
• 支持多因素认证（MFA）配置，增强用户身份验证安全性

权限控制

• 细粒度权限管理：支持基于用户/用户组的工作流、任务、资源（如存储、计算）访问权限控制
• 角色-based访问控制（RBAC）：预设管理员、开发者、只读用户等角色，支持自定义角色创建
• 资源级权限：可针对特定工作流名称、标签、元数据或执行环境设置访问权限规则

安全审计与日志

• 完整审计日志：记录用户登录、权限变更、工作流访问/执行等操作日志
• 日志导出功能：支持将审计日志导出至ELK Stack、Splunk等日志分析平台
• 安全事件告警：支持配置异常访问行为告警（如多次认证失败、权限越权尝试）

集成能力

• 与Cromwell API无缝集成：通过拦截Cromwell API请求实现权限校验，不影响原有工作流执行逻辑
• 支持Cromwell Server和Cromwell CLI客户端访问控制
• 兼容Cromwell所有版本（v50+）

使用场景与适用范围

适用场景

• 多用户协作的Cromwell部署环境（如科研机构、高校实验室、企业研发团队）
• 对数据安全和访问合规性有严格要求的场景（如***、***、政务领域的工作流管理）
• 需要区分管理员、普通用户、访客等不同角色权限的Cromwell平台

适用范围

• 基于Docker/Kubernetes部署的Cromwell实例
• 单机或分布式Cromwell集群
• 云环境（AWS、Azure、GCP）或本地数据中心的Cromwell部署

使用方法与配置说明

前置条件

• 已部署Cromwell Server（v50+），且可通过网络访问
• 已准备身份提供商（如LDAP服务器、OAuth2服务）或API Key认证所需的密钥管理系统
• 宿主机需开放插件通信端口（默认8080/tcp）

Docker运行命令示例

基础运行命令

bash
docker run -d \
  --name cromwell-iam-addon \
  -p 8080:8080 \
  -e CROMWELL_SERVER_URL="http://cromwell-server:8000" \
  -e IAM_AUTH_PROVIDER="ldap" \
  -e IAM_LDAP_URL="ldap://ldap-server:389" \
  -e IAM_LDAP_BASE_DN="dc=example,dc=com" \
  -v /path/to/iam-config:/etc/cromwell-iam/config \
  -v /path/to/audit-logs:/var/log/cromwell-iam \
  cromwell-iam-addon:latest

使用OAuth2认证的示例

bash
docker run -d \
  --name cromwell-iam-addon \
  -p 8080:8080 \
  -e CROMWELL_SERVER_URL="https://cromwell.example.com" \
  -e IAM_AUTH_PROVIDER="oauth2" \
  -e IAM_OAUTH2_CLIENT_ID="your-client-id" \
  -e IAM_OAUTH2_CLIENT_SECRET="your-client-secret" \
  -e IAM_OAUTH2_ISSUER_URL="https://auth.example.com/oauth2" \
  -e IAM_OAUTH2_REDIRECT_URI="https://cromwell-iam.example.com/callback" \
  -v /path/to/oauth2-config:/etc/cromwell-iam/oauth2 \
  cromwell-iam-addon:latest

环境变量配置

配置文件说明

插件支持通过配置文件（config.yaml）自定义权限规则和认证细节，示例配置如下：

yaml
# 权限规则配置
permissions:
  roles:
    - name: "admin"
      permissions: ["workflow:create", "workflow:delete", "task:manage", "user:manage"]
    - name: "user"
      permissions: ["workflow:create", "workflow:read", "task:read"]
    - name: "viewer"
      permissions: ["workflow:read", "task:read"]
  user_roles:
    - user: "alice@example.com"
      roles: ["admin"]
    - user_group: "research_team"
      roles: ["user"]

# LDAP认证配置（当IAM_AUTH_PROVIDER=ldap时生效）
ldap:
  user_search_base: "ou=users"
  user_filter: "(uid={username})"
  group_search_base: "ou=groups"
  group_filter: "(member={user_dn})"

# API Key认证配置（当IAM_AUTH_PROVIDER=api_key时生效）
api_key:
  key_file: "/etc/cromwell-iam/api-keys.json"  # 存储API Key的JSON文件路径
  header_name: "X-Cromwell-IAM-Key"            # 客户端请求头中的API Key字段名

与Cromwell集成

1. 配置Cromwell使用IAM插件：修改Cromwell配置文件（application.conf），添加API拦截器：

   hocon
   cromwell {
     services {
       api {
         interceptors = [
           {
             class = "com.example.cromwell.iam.IamApiInterceptor"
             config {
               iamServerUrl = "http://cromwell-iam-addon:8080"
             }
           }
         ]
       }
     }
   }
   

2. 重启Cromwell服务：使配置生效

3. 验证集成：通过Cromwell CLI或API提交请求，验证权限控制是否生效

数据持久化

为确保配置和审计日志不丢失，建议挂载以下目录：

• 配置文件目录：-v /host/path/to/config:/etc/cromwell-iam/config
• 审计日志目录：-v /host/path/to/logs:/var/log/cromwell-iam
• API Key文件（若使用API Key认证）：-v /host/path/to/api-keys.json:/etc/cromwell-iam/api-keys.json

注意事项

• 确保Cromwell服务器与IAM插件之间网络连通，无防火墙限制
• 首次部署需初始化管理员账户（通过环境变量IAM_INIT_ADMIN_USER指定）
• 生产环境建议启用HTTPS，可通过添加反向代理（如Nginx）配置SSL证书
• 定期备份审计日志和配置文件，避免数据丢失