4.6. OpenID ID 공급자 구성
인증 코드 흐름을 사용하여 OpenID Connect ID 공급자와 통합하도록 OpenID ID 공급자를 구성합니다.
AWS의 Red Hat OpenShift Service의 Authentication Operator는 구성된 OpenID Connect ID 공급자가 OpenID Connect Discovery 사양을 구현해야 합니다.
클레임은 OpenID ID 공급자에서 반환된 JWT id_token
에서 읽고, 지정된 경우 발급자 URL에서 반환된 JSON에서 읽습니다.
사용자 ID로 사용할 하나 이상의 클레임을 구성해야 합니다.
또한 사용자의 기본 사용자 이름, 표시 이름, 이메일 주소로 사용할 클레임을 나타낼 수도 있습니다. 여러 클레임이 지정되는 경우 비어 있지 않은 값이 있는 첫 번째 클레임이 사용됩니다. 표준 클레임은 다음과 같습니다.
클레임 | 설명 |
---|---|
|
사용자를 프로비저닝할 때 사용하는 기본 사용자 이름입니다. 사용자가 사용하고자 하는 약칭입니다(예: |
| 이메일 주소입니다. |
| 표시 이름입니다. |
자세한 내용은 OpenID 클레임 설명서를 참조하십시오.
사전 요구 사항
- OpenID Connect를 구성하기 전에 AWS 클러스터에서 Red Hat OpenShift Service와 함께 사용하려는 Red Hat 제품 또는 서비스의 설치 사전 요구 사항을 확인하십시오.
절차
- OpenShift Cluster Manager 에서 Cluster List 페이지로 이동하여 ID 공급자를 구성하는 데 필요한 클러스터를 선택합니다.
- 액세스 제어 탭을 클릭합니다.
ID 공급자 추가를 클릭합니다.
참고클러스터 생성 후 표시된 경고 메시지에서 Oauth 구성 추가 링크를 클릭하여 ID 공급자를 구성할 수도 있습니다.
- 드롭다운 메뉴에서 OpenID 를 선택합니다.
ID 공급자의 고유 이름을 입력합니다. 이 이름은 나중에 변경할 수 없습니다.
제공된 필드에 OAuth 콜백 URL 이 자동으로 생성됩니다.
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
예를 들면 다음과 같습니다.
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/openid
- 인증 요청을 생성하는 단계에 따라 OpenID ID 공급자에 새 OpenID Connect 클라이언트를 등록합니다.
- AWS의 Red Hat OpenShift Service로 돌아가서 드롭다운 메뉴에서 매핑 방법을 선택합니다. 대부분의 경우 클레임 이 권장됩니다.
- OpenID에서 제공하는 클라이언트 ID 및 클라이언트 시크릿을 입력합니다.
- 발급자 URL 을 입력합니다. 이는 OpenID 공급자가 발급자 식별자로 어설션하는 URL입니다. URL 쿼리 매개변수 또는 조각이 없는 https 체계를 사용해야 합니다.
- 값을 이메일 주소로 사용해야 하는 Email 특성을 입력합니다. 추가 추가 를 클릭하여 여러 이메일 속성을 추가합니다.
- 기본 사용자 이름으로 값을 사용해야 하는 Name 특성을 입력합니다. 추가 추가 를 클릭하여 선호하는 사용자 이름을 여러 개 추가합니다.
- 표시 이름으로 값을 사용해야 하는 Preferred username 특성을 입력합니다. 추가 추가 를 클릭하여 여러 표시 이름을 추가합니다.
- 선택 사항: 고급 옵션 표시를 클릭하여 OpenID ID 공급자에 CA(인증 기관) 파일을 추가합니다.
-
선택 사항: 고급 옵션 아래에서 추가 범위를 추가할 수 있습니다. 기본적으로
OpenID
범위가 요청됩니다. - 확인을 클릭합니다.
검증
- 이제 구성된 ID 공급자가 클러스터 목록 페이지의 액세스 제어 탭에 표시됩니다.