113.10. ipa idp-* 명령의 --provider 옵션
다음 ID 공급자(IdP)는 OAuth 2.0 장치 권한 부여 흐름을 지원합니다.
- Azure AD를 포함한 Microsoft Identity Platform
- GitHub
- Red Hat SSO(Single Sign-On)를 포함한 Keycloak
- Okta
ipa idp-add
명령을 사용하여 이러한 외부 IdP 중 하나에 대한 참조를 생성하는 경우 다음과 같이 --provider
옵션을 사용하여 IdP 유형을 지정할 수 있습니다.
--provider=microsoft
Microsoft Azure IdPs는
ipa idp-add
명령에--organization
옵션을 사용하여 지정할 수 있는 Azure 테넌트 ID를 기반으로 parametrization을 허용합니다. live.com IdP에 대한 지원이 필요한 경우--organization common
옵션을 지정합니다.다음 옵션을 사용하도록
--provider=microsoft
확장을 선택합니다.--organization
옵션의 값은 표의 문자열${ipaidporg}
를 대체합니다.옵션 값 --auth-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize
--dev-auth-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode
--token-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token
--userinfo-uri=URI
https://graph.microsoft.com/oidc/userinfo
--keys-uri=URI
https://login.microsoftonline.com/common/discovery/v2.0/keys
--scope=STR
OpenID 이메일
--idp-user-id=STR
email
--provider=google
다음 옵션을 사용하려면
--provider=google
확장을 선택합니다.옵션 값 --auth-uri=URI
https://accounts.google.com/o/oauth2/auth
--dev-auth-uri=URI
https://oauth2.googleapis.com/device/code
--token-uri=URI
https://oauth2.googleapis.com/token
--userinfo-uri=URI
https://openidconnect.googleapis.com/v1/userinfo
--keys-uri=URI
https://www.googleapis.com/oauth2/v3/certs
--scope=STR
OpenID 이메일
--idp-user-id=STR
email
--provider=github
--provider=github
를 선택하면 다음 옵션을 사용하도록 확장됩니다.옵션 값 --auth-uri=URI
https://github.com/login/oauth/authorize
--dev-auth-uri=URI
https://github.com/login/device/code
--token-uri=URI
https://github.com/login/oauth/access_token
--userinfo-uri=URI
https://openidconnect.googleapis.com/v1/userinfo
--keys-uri=URI
https://api.github.com/user
--scope=STR
user
--idp-user-id=STR
login
--provider=keycloak
Keycloak을 사용하면 여러 영역 또는 조직을 정의할 수 있습니다. 사용자 지정 배포의 일부이므로 기본 URL과 영역 ID가 모두 필요하며,
ipa idp-add
명령에--base-url
및--organization
옵션으로 지정할 수 있습니다.[root@client ~]# ipa idp-add MySSO --provider keycloak \ --org main --base-url keycloak.domain.com:8443/auth \ --client-id <your-client-id>
다음 옵션을 사용하려면
--provider=keycloak
을 선택합니다.base-url
옵션에 지정하는 값은 테이블의 문자열${ipaidpbaseurl}
을 대체하고--organization 'option에 대해 지정한 값은 '${ipaidporg} 문자열을 대체합니다
.옵션 값 --auth-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth
--dev-auth-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device
--token-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token
--userinfo-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo
--scope=STR
OpenID 이메일
--idp-user-id=STR
email
--provider=okta
Okta에 새 조직을 등록하면 새 기본 URL이 연결됩니다.
ipa idp-add
명령에--base-url
옵션을 사용하여 이 기본 URL을 지정할 수 있습니다.[root@client ~]# ipa idp-add MyOkta --provider okta --base-url dev-12345.okta.com --client-id <your-client-id>
다음 옵션을 사용하도록
--provider=ECDHEta
확장을 선택합니다.--base-url
옵션에 지정하는 값은 테이블의 문자열${ipaidpbaseurl}
을 대체합니다.옵션 값 --auth-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/authorize
--dev-auth-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/device/authorize
--token-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/token
--userinfo-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/userinfo
--scope=STR
OpenID 이메일
--idp-user-id=STR
email
추가 리소스