13.2. Google Workspace를 OIDC ID 공급자로 구성

절차

1. 새 GCP(Google Cloud Platform) 프로젝트를 생성하고 프로젝트 생성 및 관리 주제를 참조하십시오.
2. 프로젝트를 생성한 후 Google API 콘솔에서 인증 정보 페이지를 엽니다.
3. 로고 옆에 있는 상단 왼쪽 상단에 나열된 프로젝트 이름을 확인하여 올바른 프로젝트를 사용하고 있는지 확인합니다.
4. 새 인증 정보를 생성하려면 Create Credentials OAuth 클라이언트 ID 로 이동합니다.
5. 웹 애플리케이션을 애플리케이션 유형으로 선택합니다.
6. 이름 상자에 애플리케이션의 이름을 입력합니다(예: RHACS ).

7. 승인된 리디렉션 URI 상자에 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback 을 입력합니다.

   • & lt;stackrox_hostname >을 Central 인스턴스를 노출하는 호스트 이름으로 바꿉니다.
   • & lt;port_number >를 중앙에서 노출하는 포트 번호로 바꿉니다. 표준 HTTPS 포트 443 을 사용하는 경우 포트 번호를 생략할 수 있습니다.
8. 생성을 클릭합니다. 이렇게 하면 애플리케이션 및 인증 정보가 생성되고 인증 정보 페이지로 다시 리디렉션됩니다.
9. 새로 생성된 애플리케이션에 대한 세부 정보를 보여주는 정보 상자가 열립니다. 정보 상자를 닫습니다.
10. .apps.googleusercontent.com 으로 끝나는 클라이언트 ID 를 복사하여 저장합니다. Google API 콘솔을 사용하여 이 클라이언트 ID를 확인할 수 있습니다.

11. 왼쪽의 탐색 메뉴에서 OAuth 동의 화면을 선택합니다.

    참고

    OAuth 동의 화면 구성은 전체 GCP 프로젝트에 대해 유효하며 이전 단계에서 생성한 애플리케이션에만 유효합니다. 이 프로젝트에 OAuth 동의 화면이 이미 구성되어 있고 Red Hat Advanced Cluster Security for Kubernetes 로그인을 위해 다른 설정을 적용하려면 새 GCP 프로젝트를 생성합니다.

12. OAuth 동의 화면 페이지에서 다음을 수행합니다.

    1. 애플리케이션 유형을 Internal 로 선택합니다. 공개 를 선택하면 Google 계정이 있는 모든 사용자가 로그인할 수 있습니다.
    2. 설명적인 애플리케이션 이름을 입력합니다. 이 이름은 로그인할 때 동의 화면에 사용자에게 표시됩니다. 예를 들어 Kubernetes용 Red Hat Advanced Cluster Security에 RHACS 또는 <organization_name> SSO 를 사용합니다.
    3. Google API의 범위에 이메일,프로필 및 openid 범위만 나열되는지 확인합니다. SSO(Single Sign-On)에는 이러한 범위만 필요합니다. 추가 범위를 부여하면 중요한 데이터를 노출하는 위험이 증가합니다.

절차

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Add an Auth Provider 메뉴를 열고 OpenID Connect 를 선택합니다.

3. 다음에 대한 세부 정보를 작성합니다.

   • 통합 이름: 인증 공급자를 식별하는 이름입니다. 예를 들어 Auth0 또는 Google Workspace". 사용자가 올바른 로그인 옵션을 선택할 수 있도록 로그인 페이지에 통합 이름이 표시됩니다.
   • 콜백 모드: HTTP POST (기본값)를 선택합니다. SPA(Single Page Applications)의 제한을 중심으로 설계된 Fragment 라는 대체 모드도 사용할 수 있습니다. Red Hat은 기존 통합을 위한 Fragment 모드만 지원하며 새로운 통합에는 사용하지 않는 것이 좋습니다.

   • issuer: ID 공급자의 루트 URL (예: Google Workspace 의 경우 https://accounts.google.com)입니다. 자세한 내용은 ID 공급자 설명서를 참조하십시오.

     참고

     Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.49 이상을 사용하는 경우 Issuer 는 다음을 수행할 수 있습니다.

     • 루트 URL을 https+insecure:// 로 접두사로 지정하여 TLS 검증을 건너뜁니다. 이 구성은 안전하지 않으며 Red Hat은 권장하지 않습니다. 테스트 목적으로만 사용하십시오.
     • 쿼리 문자열을 지정합니다(예: 루트 URL과 함께 ?key1=value1&key2=value2). Red Hat Advanced Cluster Security for Kubernetes는 권한 부여 끝점에 있는 것처럼 Issuer 의 값을 추가합니다. 이를 사용하여 공급자의 로그인 화면을 사용자 지정할 수 있습니다. 예를 들어 hd 매개변수를 사용하여 Google Workspace 로그인 화면을 특정 호스팅 도메인에 최적화하거나 pfidpadapterid 매개변수 를 사용하여 PingFederate에서 인증 방법을 사전 선택할 수 있습니다.
   • 클라이언트 ID: 구성된 프로젝트의 OIDC 클라이언트 ID입니다.

4. 선택한 ID 공급자를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에 액세스하는 사용자에 대해 최소 액세스 역할을 선택합니다.

   작은 정보

   설정을 완료하는 동안 Minimum 액세스 역할을 Admin 으로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터에 따라 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.

5. 저장을 클릭합니다.

검증

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Auth Provider Rules 탭을 선택합니다.
3. Auth Providers 섹션에서 구성을 확인할 인증 공급자를 선택합니다.
4. Auth Provider 섹션 헤더에서 Test Login 을 선택합니다. Test Login 페이지가 새 브라우저 탭에서 열립니다.

5. 자격 증명을 사용하여 로그인합니다.

   • 성공 시 Red Hat Advanced Cluster Security for Kubernetes에는 사용자 ID 및 사용자 속성이 로그인에 사용된 자격 증명으로 전송된 ID 공급자가 표시됩니다.
   • 실패 시 Red Hat Advanced Cluster Security for Kubernetes에는 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지가 표시됩니다.
6. Test Login 브라우저 탭을 닫습니다.