5.3. 외부 인증 공급자 생성
외부 인증 공급자에 대해 활성화된 옵션을 사용하여 HCP 클러스터가 있는 ROSA를 생성한 후에는 ROSA CLI를 사용하여 공급자를 생성해야 합니다.
ROSA CLI에서 rosa create|delete|list idp[s]
명령과 유사하게 rosa create external-auth-provider
를 사용하여 생성한 기존 ID 공급자를 편집할 수 없습니다. 대신 외부 인증 공급자를 삭제하고 새 공급자를 생성해야 합니다.
다음 표는 외부 인증 공급자를 생성할 때 사용할 수 있는 CLI 플래그를 보여줍니다.
CLI Flag | 설명 |
---|---|
| 클러스터의 이름 또는 ID입니다. |
| 외부 인증 공급자를 참조하는 데 사용되는 이름입니다. |
| 이 문자열은 계정을 애플리케이션과 연결하는 데 사용되는 클라이언트 시크릿입니다. 클라이언트 시크릿을 포함하지 않으면 이 명령에서 공용 OIDC OAuthClient를 사용합니다. |
| 쉼표로 구분된 토큰 대상 목록입니다. |
| 토큰 발행자의 URL입니다. |
| 클러스터 ID의 사용자 이름을 구성하는 데 사용해야 하는 클레임의 이름입니다. |
| 클러스터 ID에 대한 그룹 이름을 구성하는 데 사용해야 하는 클레임의 이름입니다. |
절차
대화형 명령 인터페이스를 사용하려면 다음 명령을 실행합니다.
$ rosa create external-auth-provider -c <cluster_name>
I: Enabling interactive mode ? Name: 1 ? Issuer audiences: 2 ? The serving url of the token issuer: 3 ? CA file path (optional): 4 ? Claim mapping username: 5 ? Claim mapping groups: 6 ? Claim validation rule (optional): 7 ? Console client id (optional): 8
- 1
- 외부 인증 공급자의 이름입니다. 이 이름은 숫자와 대시가 있는 소문자여야 합니다.
- 2
- 이 인증 공급자가 토큰을 발행하는 대상 ID입니다.
- 3
- 토큰을 제공하는 발행자의 URL입니다.
- 4
- 선택 사항: 요청을 수행할 때 사용할 인증서 파일입니다.
- 5
이메일
사용과 같이 클러스터 ID의 사용자 이름을 구성하는 데 사용되는 클레임의 이름입니다.- 6
- ID 토큰을 클러스터 ID로 변환하는 방법(예:
그룹
사용 ). - 7
- 선택 사항: 사용자를 인증하는 토큰 클레임을 확인하는 데 도움이 되는 규칙입니다. 이 필드는
:<required_value> 형식으로 포맷해야 합니다
. - 8
- 선택 사항: 앱 등록에서 콘솔에 사용하는 애플리케이션 또는 클라이언트 ID입니다.
다음 명령을 사용하여 외부 인증 공급자를 생성하는 데 필요한 ID를 포함할 수 있습니다.
rosa create external-auth-provider --cluster=<cluster_id> \ --name=<provider_name> --issuer-url=<issuing_url> \ --issuer-audiences=<audience_id> \ --claim-mapping-username-claim=email \ --claim-mapping-groups-claim=groups \ --console-client-id=<client_id_for_app_registration> \ --console-client-secret=<client_secret>
출력 예
I: Successfully created an external authentication provider for cluster '<cluster_id>'
검증
외부 인증 공급자를 확인하려면 다음 옵션 중 하나를 실행합니다.
다음 명령을 사용하여 지정된 클러스터의 외부 인증 구성을 나열합니다.
$ rosa list external-auth-provider -c <cluster_name>
출력 예
다음 예제에서는 구성된 Microsoft Entra ID 외부 인증 공급자를 보여줍니다.
NAME ISSUER URL m-entra-id https://login.microsoftonline.com/<group_id>/v2.0
다음 명령을 사용하여 지정된 클러스터의 외부 인증 구성을 표시합니다.
$ rosa describe external-auth-provider \ -c <cluster_name> --name <name_of_external_authentication>
출력 예
ID: ms-entra-id Cluster ID: <cluster_id> Issuer audiences: - <audience_id> Issuer Url: https://login.microsoftonline.com/<group_id>/v2.0 Claim mappings group: groups Claim mappings username: email
추가 리소스
- IDP에 대한 Entra ID 구성에 대한 자세한 내용은 Azure 문서의 What is Microsoft Entra ID? 또는 The Configuring Microsoft Entra ID (이전 Azure Active Directory) as an identity provider tutorial section을 참조하십시오.