54.2. IdM이 외부 IdP를 통해 로그인을 통합하는 방법
SSSD 2.7.0에는 idp Kerberos 사전 인증 방법을 구현하는 sssd-idp 패키지가 포함되어 있습니다. 이 인증 방법은 OAuth 2.0 장치 권한 부여 부여 흐름을 따라 외부 IdP에 권한 부여 결정을 위임합니다.
-
IdM 클라이언트 사용자는 예를 들어 명령줄에서
kinit유틸리티를 사용하여 Kerberos TGT를 검색하여 OAuth 2.0 장치 인증 부여 flow를 시작합니다. - 특수 코드 및 웹 사이트 링크는 Authorization 서버에서 IdM KDC 백엔드로 전송됩니다.
- IdM 클라이언트는 링크와 코드를 사용자에게 표시합니다. 이 예에서 IdM 클라이언트는 명령줄에 링크와 코드를 출력합니다.
사용자는 브라우저에서 웹 사이트 링크를 열고 다른 호스트, 휴대 전화 등에 있을 수 있습니다.
- 사용자가 특정 코드를 입력합니다.
- 필요한 경우 사용자는 OAuth 2.0 기반 IdP에 로그인합니다.
- 클라이언트에 정보에 액세스하도록 권한을 부여하라는 메시지가 표시됩니다.
- 사용자는 원래 장치 프롬프트에서 액세스를 확인합니다. 이 예에서 사용자는 명령줄에서 Enter 키를 도달합니다.
- IdM KDC 백엔드는 OAuth 2.0 인증 서버를 폴링하여 사용자 정보에 액세스합니다.
지원 대상:
-
PAM(Pluggable Authentication Module) 라이브러리를 호출할 수 있는
키보드 상호 작용인증 방법을 사용하여 SSH를 통해 원격으로 로그인할 수 있습니다. -
로그인된 서비스를 통해 콘솔로 로컬로 로그인합니다. -
kinit유틸리티를 사용하여 Kerberos 티켓 허용 티켓(TGT)을 검색합니다.
현재 지원되지 않는 항목:
- IdM WebUI에 직접 로그인합니다. IdM WebUI에 로그인하려면 먼저 Kerberos 티켓을 받아야 합니다.
- Cockpit WebUI에 직접 로그인합니다. Cockpit WebUI에 로그인하려면 먼저 Kerberos 티켓을 가져와야 합니다.
