114.7. ipaidp Ansible 모듈의 provider 옵션
다음 ID 공급자(IdP)는 OAuth 2.0 장치 권한 부여 흐름을 지원합니다.
- Azure AD를 포함한 Microsoft Identity Platform
- GitHub
- Red Hat SSO(Single Sign-On)를 포함한 Keycloak
- Okta
idp
ansible-freeipa
모듈을 사용하여 이러한 외부 IdP 중 하나에 대한 참조를 생성하는 경우, 아래에 설명된 대로 추가 옵션으로 확장되는 ipaidp
ansible-freeipa
Playbook 작업의 provider
옵션으로 IdP 유형을 지정할 수 있습니다.
제공 업체:
Microsoft Azure IdP를 사용하면
조직
옵션으로 지정할 수 있는 Azure 테넌트 ID를 기반으로 parametrization을 사용할 수 있습니다. live.com IdP에 대한 지원이 필요한 경우 옵션조직 common
을 지정합니다.공급자 선택: Cryo
stat는 다음 옵션을 사용하도록 확장됩니다.조직
옵션의 값은 표의${ipaidporg}
문자열을 대체합니다.옵션 값 auth_uri: URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize
dev_auth_uri: URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode
token_uri: URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token
userinfo_uri: URI
https://graph.microsoft.com/oidc/userinfo
keys_uri: URI
https://login.microsoftonline.com/common/discovery/v2.0/keys
범위: STR
OpenID 이메일
idp_user_id: STR
email
제공 업체: Google
공급자 선택: Google
은 다음 옵션을 사용하도록 확장됩니다.옵션 값 auth_uri: URI
https://accounts.google.com/o/oauth2/auth
dev_auth_uri: URI
https://oauth2.googleapis.com/device/code
token_uri: URI
https://oauth2.googleapis.com/token
userinfo_uri: URI
https://openidconnect.googleapis.com/v1/userinfo
keys_uri: URI
https://www.googleapis.com/oauth2/v3/certs
범위: STR
OpenID 이메일
idp_user_id: STR
email
공급자: github
공급자 선택: github
는 다음 옵션을 사용하도록 확장됩니다.옵션 값 auth_uri: URI
https://github.com/login/oauth/authorize
dev_auth_uri: URI
https://github.com/login/device/code
token_uri: URI
https://github.com/login/oauth/access_token
userinfo_uri: URI
https://openidconnect.googleapis.com/v1/userinfo
keys_uri: URI
https://api.github.com/user
범위: STR
user
idp_user_id: STR
login
공급자: keycloak
Keycloak을 사용하면 여러 영역 또는 조직을 정의할 수 있습니다. 일반적으로 사용자 지정 배포의 일부이므로 기본 URL과 영역 ID가 모두 필요하며
ipaidp
플레이북 작업의base_url
및조직
옵션으로 지정할 수 있습니다.--- - name: Playbook to manage IPA idp hosts: ipaserver become: false tasks: - name: Ensure keycloak idp my-keycloak-idp is present using provider ipaidp: ipaadmin_password: "{{ ipaadmin_password }}" name: my-keycloak-idp provider: keycloak organization: main base_url: keycloak.domain.com:8443/auth client_id: my-keycloak-client-id
공급자 선택: keycloak
은 다음 옵션을 사용하도록 확장됩니다.base_url
옵션에 지정하는 값은 표의 ${ipaidpbaseurl} 문자열${ipaidpbaseurl}
을(를) 교체하고,'option에 지정된 값은 '$ipaidporg} 문자열을 대체합니다
.옵션 값 auth_uri: URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth
dev_auth_uri: URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device
token_uri: URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token
userinfo_uri: URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo
범위: STR
OpenID 이메일
idp_user_id: STR
email
공급자: okta
Okta에 새 조직을 등록하면 새 기본 URL이 연결됩니다.
ipaidp
플레이북 작업에서base_url
옵션을 사용하여 이 기본 URL을 지정할 수 있습니다.--- - name: Playbook to manage IPA idp hosts: ipaserver become: false tasks: - name: Ensure okta idp my-okta-idp is present using provider ipaidp: ipaadmin_password: "{{ ipaadmin_password }}" name: my-okta-idp provider: okta base_url: dev-12345.okta.com client_id: my-okta-client-id
공급자 선택: okta
는 다음 옵션을 사용하도록 확장됩니다.base_url
옵션에 지정하는 값은 표의${ipaidpbaseurl}
문자열을 대체합니다.옵션 값 auth_uri: URI
https://${ipaidpbaseurl}/oauth2/v1/authorize
dev_auth_uri: URI
https://${ipaidpbaseurl}/oauth2/v1/device/authorize
token_uri: URI
https://${ipaidpbaseurl}/oauth2/v1/token
userinfo_uri: URI
https://${ipaidpbaseurl}/oauth2/v1/userinfo
범위: STR
OpenID 이메일
idp_user_id: STR
email
추가 리소스