Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

16.3. 인증 공급자 이해

인증 공급자는 사용자 ID의 타사 소스(예: ID 공급자 또는 IDP)에 연결하고, 사용자 ID를 가져오고, 해당 ID를 기반으로 토큰을 발행하고, 토큰을 RHACS(Advanced Cluster Security for Kubernetes)에 반환합니다. 이 토큰을 사용하면 RHACS에서 사용자에게 권한을 부여할 수 있습니다. RHACS는 사용자 인터페이스 및 API 호출 내에서 토큰을 사용합니다.

RHACS를 설치한 후에는 사용자에게 권한을 부여하려면 IDP를 설정해야 합니다.

참고

OIDC(OpenID Connect)를 IDP로 사용하는 경우 RHACS는 그룹 같은 특정 클레임의 값을 검사하는 매핑 규칙을 사용하는 경우사용자 ID 토큰 또는 UserInfo 엔드포인트 응답에서 사용자 ID 토큰 또는 UserInfo 엔드포인트 응답에서 사용자에게 권한을 부여합니다. 이러한 세부 정보가 없으면 매핑에 성공할 수 없으며 사용자는 필요한 리소스에 대한 액세스 권한이 없습니다. 따라서 IDP에서 사용자를 승인하는 데 필요한 클레임이 IDP의 인증 응답에 포함되어 매핑을 성공적으로 수행할 수 있도록 해야 합니다.

추가 리소스

16.3.1. 클레임 매핑

클레임은 ID 공급자가 발행하는 토큰 내부에 대한 사용자를 포함하는 데이터입니다.

클레임 매핑을 사용하면 RHACS가 IDP에서 RHACS 발행 토큰의 다른 속성으로 수신하는 클레임 속성을 사용자 지정할 수 있습니다. 클레임 매핑을 사용하지 않는 경우 RHACS가 발행한 토큰에 claim 속성을 포함하지 않습니다.

예를 들어, 클레임 매핑을 사용하여 사용자 ID의 역할에서 RHACS 발행 토큰의 그룹에 매핑할 수 있습니다.

RHACS는 모든 인증 공급자에 대해 다른 기본 클레임 매핑을 사용합니다.

16.3.1.1. OIDC 기본 클레임 매핑

다음 목록은 기본 OIDC 클레임 매핑을 제공합니다.

  • userid로 이동합니다.
  • 이름
  • 이메일 전송
  • 그룹

16.3.1.2. Auth0 기본 클레임 매핑

Auth0 기본 클레임 매핑은 OIDC 기본 클레임 매핑과 동일합니다.

16.3.1.3. SAML 2.0 기본 클레임 매핑

다음 목록은 SAML 2.0 기본 클레임 매핑에 적용됩니다.

  • subject.NameIDuserid에 매핑됩니다.
  • 응답의 모든 SAML attributesStatement.Attribute 가 해당 이름에 매핑됩니다.

16.3.1.4. Google IAP 기본 클레임 매핑

다음 목록은 Google IAP 기본 클레임 매핑을 제공합니다.

  • userid로 이동합니다.
  • 이메일 전송
  • HDhd
  • access_levels에 대한 Google. access_levels

16.3.1.5. 사용자 인증서 기본 클레임 매핑

사용자 인증서는 타사 IDP와 통신하는 대신 사용자가 사용하는 인증서에서 사용자 정보를 가져오기 때문에 다른 모든 인증 공급자와 다릅니다.

사용자 인증서에 대한 기본 클레임 매핑은 다음과 같습니다.

  • CertFingerprint to userid
  • Subject Name 의 공통 이름
  • 이메일 주소
  • Subject 조직단위

16.3.1.6. OpenShift Auth 기본 클레임 매핑

다음 목록은 OpenShift Auth 기본 클레임 매핑을 제공합니다.

  • 그룹
  • UID사용자 ID로
  • 이름

16.3.2. 규칙

RHACS는 사용자를 인증하기 위해 그룹,이메일,사용자 ID의 이름 및 이름과 같은 특정 클레임의 값을 검사하는 매핑 규칙을 사용합니다. 규칙을 사용하면 속성이 있는 사용자를 특정 역할에 매핑할 수 있습니다. 예를 들어 규칙에는 다음 내용이 포함될 수 있습니다.'key'는 email 이고값은 john@redhat.com 이며,역할은 Admin 입니다.

클레임이 없으면 매핑에 성공할 수 없으며 사용자는 필요한 리소스에 액세스할 수 없습니다. 따라서 매핑에 성공하도록 하려면 IDP의 인증 응답에 사용자를 승인하는 데 필요한 클레임(예: 그룹 )이 포함되어 있는지 확인해야 합니다.

16.3.3. 최소 액세스 역할

RHACS는 특정 인증 공급자가 발행한 RHACS 토큰이 있는 모든 호출자에게 최소 액세스 역할을 할당합니다. 최소 액세스 역할은 기본적으로 None 으로 설정됩니다.

예를 들어, Analyst 의 최소 액세스 역할을 가진 인증 공급자가 있다고 가정합니다. 이 경우 이 공급자를 사용하여 로그인하는 모든 사용자에게 Analyst 역할이 할당됩니다.

16.3.4. 필수 속성

필수 속성은 사용자 ID에 특정 값이 있는 속성이 있는지 여부에 따라 RHACS 토큰 발행을 제한할 수 있습니다.

예를 들어 키가 is_internal 인 속성에 특성 값이 true 인 경우 토큰을 발행하도록 RHACS를 구성할 수 있습니다. is_internalfalse 로 설정되었거나 설정되지 않은 사용자는 토큰을 가져오지 않습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.