4장. Ansible Automation Platform Central Authentication에 ID 브로커 추가
Ansible Automation Platform Central 인증은 소셜 및 프로토콜 기반 공급자를 모두 지원합니다. 영역에 대한 소셜 인증을 사용하도록 중앙 인증에 ID 브로커를 추가하여 사용자가 Google, Facebook, GitHub 등과 같은 기존 소셜 네트워크 계정을 사용하여 로그인할 수 있습니다.
지원되는 소셜 네트워크 목록과 이를 활성화하는 자세한 내용은 이 섹션을 참조하십시오.
프로토콜 기반 공급자는 사용자를 인증하고 권한을 부여하기 위해 특정 프로토콜에 의존하는 공급자입니다. 이를 통해 특정 프로토콜을 준수하는 모든 ID 공급자에 연결할 수 있습니다. Ansible Automation Platform Central 인증은 SAML v2.0 및 OpenID Connect v1.0 프로토콜을 지원합니다.
절차
- Ansible Automation Platform Central Authenticationas에 admin 사용자로 로그인합니다.
- 사이드 탐색 모음의 Configure (구성) 섹션에서 (ID 공급자)를 클릭합니다.
- 공급자 추가 목록에서 ID 공급자를 선택하여 ID 공급자 구성 페이지로 이동합니다.
다음 표에는 ID 공급자 구성에 사용할 수 있는 옵션이 나열되어 있습니다.
구성 옵션 | 설명 |
별칭 |
별칭은 ID 공급자의 고유 식별자입니다. 내부적으로 ID 공급자를 참조하는 데 사용됩니다. |
enabled | 공급자를 켜거나 끄십시오. |
로그인 페이지에서 숨기기 |
활성화하면 이 공급자가 로그인 페이지에 로그인 옵션으로 표시되지 않습니다. 클라이언트는 로그인을 요청하는 데 사용하는 URL에서 |
계정 연결만 해당 | 활성화하면 이 공급자를 사용하여 사용자를 로그인할 수 없으며 로그인 페이지에 옵션으로 표시되지 않습니다. 기존 계정을 이 공급자와 계속 연결할 수 있습니다. |
저장소 토큰 | ID 공급자로부터 수신된 토큰을 저장할지 여부입니다. |
저장된 토큰을 읽을 수 있음 | 사용자가 저장된 ID 공급자 토큰을 검색할 수 있는지 여부입니다. 이는 브로커 클라이언트 수준 역할 읽기 토큰에도 적용됩니다. |
신뢰 이메일 | ID 공급자가 제공한 이메일 주소를 신뢰할 수 있는지 여부입니다. 영역에 이메일 유효성 검사가 필요한 경우 이 IDP에서 로그인하는 사용자는 이메일 확인 프로세스를 거치지 않아도 됩니다. |
GUI 순서 | 사용 가능한 IDP가 로그인 페이지에 나열된 방식을 정렬하는 순서 번호입니다. |
첫 번째 로그인 흐름 | 이 IDP를 통해 중앙 인증에 로그인하는 사용자에 대해 트리거될 인증 흐름을 선택합니다. |
로그인 흐름 게시 | 사용자가 외부 ID 공급자로 로그인을 완료한 후 트리거되는 인증 흐름을 선택합니다. |
4.1. Ansible Automation Platform Central 인증을 사용하여 그룹 권한 관리
특정 권한을 역할로 그룹화한 다음 해당 역할을 그룹에 할당하여 Ansible Automation Platform에서 사용자 액세스를 관리할 수 있습니다. Ansible Automation Platform에 처음 로그인하면 사용자, 그룹, 역할이 자동화 허브의 사용자 액세스 페이지에 표시되면 각 그룹에 사용자 액세스 및 역할을 할당할 수 있습니다.
자동화 허브에는 발생할 수 있는 사용 사례와 호환되는 관리 역할 세트가 포함되어 있습니다. 고유한 관리 역할 세트를 생성하거나 사용자 액세스 페이지의 역할 섹션에 있는 사전 정의된 역할을 사용할 수 있습니다.
4.1.1. 역할로 권한 그룹화
시스템의 기능에 대한 특정 사용자 액세스 권한을 사용하여 역할로 권한을 그룹화할 수 있습니다.
사전 요구 사항
-
hubadmin
사용자로 로그인했습니다.
절차
- 프라이빗 자동화 허브에 로그인합니다.
- User Access 드롭다운 메뉴로 이동합니다.
- 클릭합니다.
- 클릭합니다.
- 이름 필드에 역할 이름을 입력합니다.
- Description (설명) 필드에 역할 설명을 입력합니다.
- 각 권한 유형 옆에 있는 드롭다운 메뉴를 클릭하고 역할에 적절한 권한을 선택합니다.
- 을 클릭합니다.
특정 권한으로 새 역할을 생성했습니다. 이제 이 역할을 그룹에 할당할 수 있습니다.
4.1.1.1. 그룹에 역할 할당
그룹에 역할을 할당하여 그룹 메뉴와 네임스페이스 메뉴에서 시스템의 특정 기능에 액세스할 수 있습니다. 그룹 메뉴에서 그룹에 할당된 역할에는 전역 범위가 있습니다. 예를 들어 사용자에게 네임스페이스 소유자 역할이 할당되면 해당 권한이 모든 네임스페이스에 적용됩니다. 그러나 네임스페이스 메뉴에서 그룹에 할당된 역할은 사용자에게 특정 오브젝트 인스턴스에 대한 액세스 권한만 부여합니다.
사전 요구 사항
-
hubadmin
사용자로 로그인했습니다.
절차
그룹 메뉴에서 역할 할당.
- 프라이빗 자동화 허브에 로그인합니다.
-
탐색 패널에서
선택합니다. - 표시된 그룹 목록에서 그룹을 선택합니다.
- 클릭합니다.
- 추가할 역할 옆에 있는 확인란을 클릭합니다.
- 클릭하여 그룹에 적용할 역할을 미리 봅니다.
- 를 클릭하여 선택한 역할을 그룹에 적용합니다.
를 클릭하여 역할 메뉴로 돌아가거나 를 클릭하여 이전 페이지로 돌아갑니다.
절차
네임스페이스 메뉴에서 역할 할당.
- 프라이빗 자동화 허브에 로그인합니다.
-
탐색 패널에서
선택합니다. - 내 네임스페이스 탭을 클릭하고 네임스페이스를 선택합니다.
- 편집하려면 액세스 탭을 클릭합니다.
사용자는 할당된 권한과 연결된 자동화 허브의 기능에 액세스할 수 있습니다.
4.1.2. 자동화 허브 권한
권한은 각 그룹이 지정된 오브젝트에서 수행할 수 있는 정의된 작업 세트를 제공합니다. 이 표에 설명된 권한에 따라 그룹에 필요한 액세스 수준을 결정합니다.
개체 | 권한 | 설명 |
---|---|---|
컬렉션 네임스페이스 | 네임스페이스 추가 네임스페이스에 업로드 네임스페이스 변경 네임스페이스 삭제 | 이러한 권한이 있는 그룹은 네임스페이스를 생성, 업로드 및 삭제할 수 있습니다. |
컬렉션 | Ansible 리포지토리 콘텐츠 수정 컬렉션 삭제 | 이 권한이 있는 그룹은 다음 작업을 수행할 수 있습니다. 승인 기능을 사용하여 리포지토리 간에 콘텐츠를 이동합니다. 스테이징 에서 게시 되거나 거부된 리포지토리로 콘텐츠를 이동하는 기능을 인증하거나 거부합니다. 컬렉션을 삭제합니다. |
사용자 | 사용자 보기 사용자 삭제 사용자 추가 사용자 변경 | 이러한 권한이 있는 그룹은 개인 자동화 허브에서 사용자 구성을 관리하고 액세스할 수 있습니다. |
groups | 그룹 보기 그룹 삭제 그룹 추가 그룹 변경 | 이러한 권한이 있는 그룹은 그룹 구성을 관리하고 프라이빗 자동화 허브에서 액세스할 수 있습니다. |
원격 컬렉션 | 원격 컬렉션 변경 원격 컬렉션 보기 |
이러한 권한이 있는 그룹은 |
컨테이너 | 컨테이너 네임스페이스 권한 변경 컨테이너 변경 이미지 태그 변경 새 컨테이너 만들기 기존 컨테이너로 푸시 컨테이너 리포지토리 삭제 | 이러한 권한이 있는 그룹은 프라이빗 자동화 허브에서 컨테이너 리포지토리를 관리할 수 있습니다. |
원격 레지스트리 | 원격 레지스트리 추가 원격 레지스트리 변경 원격 레지스트리 삭제 | 이러한 권한이 있는 그룹은 프라이빗 자동화 허브에 추가된 원격 레지스트리를 추가, 변경 또는 삭제할 수 있습니다. |
작업 관리 | 작업 변경 작업 삭제 모든 작업 보기 | 이러한 권한이 있는 그룹은 개인 자동화 허브에서 작업 관리에 추가된 작업을 관리할 수 있습니다. |