16.4. ID 공급자 구성

절차

1. Okta 포털의 메뉴 모음 에서 애플리케이션을 선택합니다.
2. 애플리케이션 추가를 클릭한 다음 새 앱 만들기 를 선택합니다.
3. 새 애플리케이션 통합 생성 대화 상자에서 Web 을 플랫폼으로 남겨 두고 사용자에게 로그인할 프로토콜로 SAML 2.0 을 선택합니다.
4. 생성을 클릭합니다.
5. 일반 설정 페이지에서 앱 이름 필드에 앱 이름을 입력합니다.
6. 다음을 클릭합니다.

7. SAML 설정 페이지에서 다음 필드에 대한 값을 설정합니다.

   1. URL의 SSO(Single Sign)

      • https://<RHACS_portal_hostname>/sso/providers/saml/acs 로 지정합니다.
      • 수신자 URL 및 대상 URL에 이 사용 옵션을 선택한 상태로 둡니다.
      • RHACS 포털이 다른 URL에서 액세스할 수 있는 경우 Allow this app to request other SSO URLs 옵션을 선택하고 지정된 형식을 사용하여 대체 URL을 추가하여 여기에 추가할 수 있습니다.

   2. 대상 대상 URI(SP 엔티티 ID)

      • 해당 값을 RHACS 또는 선택한 다른 값으로 설정합니다.
      • 원하는 값을 기록해 두십시오. Kubernetes용 Red Hat Advanced Cluster Security를 구성할 때 이 값이 필요합니다.

   3. 특성 설명

      • 하나 이상의 특성 문을 추가해야 합니다.

      • Red Hat은 email 특성을 사용하는 것이 좋습니다.

        • 이름: 이메일
        • 형식: 지정되지 않음
        • 값: user.email
8. 계속하기 전에 하나 이상의 Attribute 문을 구성했는지 확인합니다.
9. 다음을 클릭합니다.
10. 피드백 페이지에서 사용자에게 적용되는 옵션을 선택합니다.On the Feedback page, select an option that applies to you.
11. 적절한 앱 유형을 선택합니다.
12. 완료를 클릭합니다.

절차

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Create auth provider 를 클릭하고 드롭다운 목록에서 SAML 2.0 을 선택합니다.
3. 이름 필드에 이 인증 공급자를 식별할 이름을 입력합니다(예: Okta 또는 Google ). 사용자가 올바른 로그인 옵션을 선택할 수 있도록 로그인 페이지에 통합 이름이 표시됩니다.
4. ServiceProvider 발행자 필드에 Okta에서 CloudEvent URI 또는 SP Entity ID 로 사용하는 값 또는 다른 공급자의 유사한 값을 입력합니다.

5. 설정 유형을 선택합니다.

   • 옵션 1: 동적 구성: 이 옵션을 선택한 경우 IdP 메타데이터 URL 또는 ID 공급자 콘솔에서 사용할 수 있는 ID 공급자 메타데이터 의 URL을 입력합니다. 구성 값은 URL에서 가져옵니다.

   • 옵션 2: 정적 구성: Okta 콘솔의 View Setup Instructions 링크에서 필수 정적 필드를 복사하거나 다른 공급자의 경우 유사한 위치를 복사합니다.

     • IdP Issuer
     • IdP SSO URL
     • 이름/ID 형식
     • IDP 인증서 (PEM)

6. SAML을 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다.

   작은 정보

   설정을 완료하는 동안 Minimum 액세스 역할을 Admin 으로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터에 따라 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.

7. 저장을 클릭합니다.

검증

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Auth Providers 탭을 선택합니다.
3. 구성을 확인할 인증 공급자를 클릭합니다.
4. Auth Provider 섹션 헤더에서 Test login 을 선택합니다. Test login 페이지가 새 브라우저 탭에서 열립니다.

5. 자격 증명을 사용하여 로그인합니다.

   • 로그인에 성공하면 RHACS에는 시스템에 로그인하는 데 사용한 자격 증명에 대해 ID 공급자가 보낸 사용자 ID 및 사용자 속성이 표시됩니다.
   • 로그인 시도가 실패하면 RHACS에 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지가 표시됩니다.

6. Test login browser 탭을 닫습니다.

   참고

   응답이 인증이 성공했음을 나타내는 경우에도 ID 공급자의 사용자 메타데이터에 따라 추가 액세스 규칙을 생성해야 할 수 있습니다.

절차

1. 새 GCP(Google Cloud Platform) 프로젝트를 생성하고 프로젝트 생성 및 관리 주제를 참조하십시오.
2. 프로젝트를 생성한 후 Google API 콘솔에서 인증 정보 페이지를 엽니다.
3. 로고 옆에 있는 상단 왼쪽 상단에 나열된 프로젝트 이름을 확인하여 올바른 프로젝트를 사용하고 있는지 확인합니다.
4. 새 인증 정보를 생성하려면 Create Credentials OAuth 클라이언트 ID 로 이동합니다.
5. 웹 애플리케이션을 애플리케이션 유형으로 선택합니다.
6. 이름 상자에 애플리케이션의 이름을 입력합니다(예: RHACS ).

7. 승인된 리디렉션 URI 상자에 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback 을 입력합니다.

   • & lt;stackrox_hostname >을 Central 인스턴스를 노출하는 호스트 이름으로 바꿉니다.
   • & lt;port_number >를 중앙에서 노출하는 포트 번호로 바꿉니다. 표준 HTTPS 포트 443 을 사용하는 경우 포트 번호를 생략할 수 있습니다.
8. 생성을 클릭합니다. 이렇게 하면 애플리케이션 및 인증 정보가 생성되고 인증 정보 페이지로 다시 리디렉션됩니다.
9. 새로 생성된 애플리케이션에 대한 세부 정보를 보여주는 정보 상자가 열립니다. 정보 상자를 닫습니다.
10. .apps.googleusercontent.com 으로 끝나는 클라이언트 ID 를 복사하여 저장합니다. Google API 콘솔을 사용하여 이 클라이언트 ID를 확인할 수 있습니다.

11. 왼쪽의 탐색 메뉴에서 OAuth 동의 화면을 선택합니다.

    참고

    OAuth 동의 화면 구성은 전체 GCP 프로젝트에 대해 유효하며 이전 단계에서 생성한 애플리케이션에만 유효합니다. 이 프로젝트에 OAuth 동의 화면이 이미 구성되어 있고 Red Hat Advanced Cluster Security for Kubernetes 로그인을 위해 다른 설정을 적용하려면 새 GCP 프로젝트를 생성합니다.

12. OAuth 동의 화면 페이지에서 다음을 수행합니다.

    1. 애플리케이션 유형을 Internal 로 선택합니다. 공개 를 선택하면 Google 계정이 있는 모든 사용자가 로그인할 수 있습니다.
    2. 설명적인 애플리케이션 이름을 입력합니다. 이 이름은 로그인할 때 동의 화면에 사용자에게 표시됩니다. 예를 들어 Kubernetes용 Red Hat Advanced Cluster Security에 RHACS 또는 <organization_name> SSO 를 사용합니다.
    3. Google API의 범위에 이메일,프로필 및 openid 범위만 나열되는지 확인합니다. SSO(Single Sign-On)에는 이러한 범위만 필요합니다. 추가 범위를 부여하면 중요한 데이터를 노출하는 위험이 증가합니다.

절차

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Create auth provider 를 클릭하고 드롭다운 목록에서 OpenID Connect 를 선택합니다.

3. 다음 필드에 정보를 입력합니다.

   • name: 인증 공급자를 식별하는 이름입니다(예: Google Workspace ). 사용자가 올바른 로그인 옵션을 선택할 수 있도록 로그인 페이지에 통합 이름이 표시됩니다.

   • 콜백 모드: ID 공급자에 다른 모드가 필요하지 않은 경우 기본값인 자동 선택(권장)을 선택합니다.

     참고

     조각 모드는 단일 페이지 애플리케이션(SPAs)의 제한 사항을 중심으로 설계되었습니다. Red Hat은 초기 통합을 위한 Fragment 모드만 지원하며 이후 통합에는 사용하지 않는 것이 좋습니다.

   • issuer: ID 공급자의 루트 URL(예: Google Workspace 의 경우)입니다. 자세한 내용은 ID 공급자 설명서를 참조하십시오.

     참고

     RHACS 버전 3.0.49 이상을 사용하는 경우 Issuer 는 다음 작업을 수행할 수 있습니다.

     • 루트 URL을 https+insecure:// 로 접두사로 지정하여 TLS 검증을 건너뜁니다. 이 구성은 안전하지 않으며 Red Hat은 권장하지 않습니다. 테스트 목적으로만 사용하십시오.
     • 쿼리 문자열을 지정합니다(예: 루트 URL과 함께 ?key1=value1&key2=value2). RHACS는 권한 부여 끝점에 입력했을 때 Issuer 의 값을 추가합니다. 이를 사용하여 공급자의 로그인 화면을 사용자 지정할 수 있습니다. 예를 들어 hd 매개변수를 사용하여 Google Workspace 로그인 화면을 특정 호스팅 도메인에 최적화하거나 pfidpadapterid 매개변수 를 사용하여 PingFederate 에서 인증 방법을 사전 선택할 수 있습니다.
   • 클라이언트 ID: 구성된 프로젝트의 OIDC 클라이언트 ID입니다.
   • 클라이언트 시크릿: ID 공급자(IdP)에서 제공하는 클라이언트 시크릿을 입력합니다. 권장되지 않는 클라이언트 시크릿을 사용하지 않는 경우 클라이언트 시크릿을 사용하지 않음을 선택합니다.

4. 선택한 ID 공급자를 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다.

   작은 정보

   설정을 완료하는 동안 Minimum 액세스 역할을 Admin 으로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터에 따라 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.

5. RHACS에 액세스하는 사용자 및 그룹에 대한 액세스 규칙을 추가하려면 규칙 섹션에서 새 규칙 추가 를 클릭합니다. 예를 들어 관리자 라는 사용자에게 Admin 역할을 부여하려면 다음 키-값 쌍을 사용하여 액세스 규칙을 생성할 수 있습니다.

   키	현재의
   이름	administrator
   Role	admin

6. 저장을 클릭합니다.

검증

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Auth providers 탭을 선택합니다.
3. 구성을 확인할 인증 공급자를 선택합니다.
4. Auth Provider 섹션 헤더에서 Test login 을 선택합니다. Test login 페이지가 새 브라우저 탭에서 열립니다.

5. 자격 증명을 사용하여 로그인합니다.

   • 로그인에 성공하면 RHACS에는 시스템에 로그인하는 데 사용한 자격 증명에 대해 ID 공급자가 보낸 사용자 ID 및 사용자 속성이 표시됩니다.
   • 로그인 시도가 실패하면 RHACS에 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지가 표시됩니다.
6. Test Login 브라우저 탭을 닫습니다.

절차

1. RHACS 포털에서 플랫폼 구성 액세스 제어 로 이동합니다.
2. Create auth provider 를 클릭하고 드롭다운 목록에서 OpenShift Auth 를 선택합니다.
3. 이름 필드에 인증 공급자의 이름을 입력합니다.

4. 선택한 ID 공급자를 사용하여 RHACS에 액세스하는 사용자에게 최소 액세스 역할을 할당합니다. RHACS에 로그인하려면 사용자에게 이 역할에 부여된 권한 또는 높은 권한이 있는 역할이 있어야 합니다.

   작은 정보

   보안을 위해 Red Hat은 설정을 완료하는 동안 최소 액세스 역할을 None 으로 설정하는 것이 좋습니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터에 따라 보다 맞춤형 액세스 규칙을 설정할 수 있습니다.

5. 선택 사항: RHACS에 액세스하는 사용자 및 그룹에 대한 액세스 규칙을 추가하려면 규칙 섹션에서 새 규칙 추가 를 클릭한 다음 규칙 정보를 입력하고 저장 을 클릭합니다. 액세스를 구성하려면 사용자 또는 그룹 속성이 필요합니다.

   작은 정보

   그룹 매핑은 일반적으로 팀 또는 권한 세트와 연결되어 있으며 사용자보다 수정이 적기 때문에 더 강력합니다.

   OpenShift Container Platform에서 사용자 정보를 얻으려면 다음 방법 중 하나를 사용할 수 있습니다.

   • 사용자 관리 사용자 & lt; username &gt; YAML 을 클릭합니다.
   • k8s/cluster/user.openshift.io~v1~User/<username>/yaml 파일에 액세스하고 이름,uid (RHACS의사용자 ID) 및 그룹의 값을 기록해 둡니다.
   • OpenShift Container Platform API 참조에 설명된 대로 OpenShift Container Platform API 를 사용합니다.

   다음 구성 예제에서는 다음 속성을 사용하여 Admin 역할에 대한 규칙을 구성하는 방법을 설명합니다.

   • name:administrator
   • groups: ["system:authenticated", "system:authenticated:oauth", "myAdministratorsGroup"]
   • uid: 12345-00aa-1234-123b-123fcdef1234

   다음 단계 중 하나를 사용하여 이 관리자 역할에 대한 규칙을 추가할 수 있습니다.

   • 이름에 대한 규칙을 구성하려면 키 드롭다운 목록에서 name 을 선택하고 Value 필드에 administrator 를 입력한 다음 Role 아래에 Administrator 를 선택합니다.
   • 그룹에 대한 규칙을 구성하려면 키 드롭다운 목록에서 그룹을 선택하고 값 필드에 myAdministratorsGroup 을 입력한 다음 Role 에서 Admin 을 선택합니다.
   • 사용자 이름에 대한 규칙을 구성하려면 키 드롭다운 목록에서 userid 를 선택하고 Value 필드에 CloudEvent45 -00aa-1234-123b-123fcdef1234 를 입력한 다음 Role 에서 Admin 을 선택합니다.