Red Hat Summit5장. 클라이언트 등록 서비스 사용
애플리케이션 또는 서비스에서 Red Hat Single Sign-On을 사용하려면 Red Hat Single Sign-On에 클라이언트를 등록해야 합니다. 관리자는 관리 콘솔(또는 admin REST 엔드포인트)을 통해 이 작업을 수행할 수 있지만 클라이언트는 Red Hat Single Sign-On 클라이언트 등록 서비스를 통해 자체적으로 등록할 수도 있습니다.
클라이언트 등록 서비스는 Red Hat Single Sign-On 클라이언트 담당자, OpenID Connect Client 메타 데이터 및 SAML 엔터티 설명자에 대한 기본 지원을 제공합니다. 클라이언트 등록 서비스 엔드포인트는 /auth/realms/<realm>/clients-registrations/<provider >입니다.
기본 제공 지원 공급자는 다음과 같습니다.
- 기본값 - Red Hat Single Sign-On Client Representation (JSON)
- 설치 - Red Hat Single Sign-On Adapter Configuration (JSON)
- OpenID-connect - OpenID Connect Client Metadata Description(JSON)
- saml2-entity-descriptor - SAML Entity Descriptor ( XML)
다음 섹션에서는 다양한 공급자를 사용하는 방법에 대해 설명합니다.
5.1. 인증
클라이언트 등록 서비스를 호출하려면 일반적으로 토큰이 필요합니다. 토큰은 전달자 토큰, 초기 액세스 토큰 또는 등록 액세스 토큰일 수 있습니다. 토큰 없이 새 클라이언트를 등록할 수 있는 대안이 있지만 클라이언트 등록 정책을 구성해야 합니다(아래 참조).
5.1.1. 전달자 토큰
전달자 토큰은 사용자 또는 서비스 계정을 대신하여 발행할 수 있습니다. 끝점을 호출하려면 다음 권한이 필요합니다(자세한 내용은 Server Administration Guide 참조).
- create-client 또는 manage-client - 클라이언트 생성
- View-client 또는 manage-client - 클라이언트 보기
- manage-client - 클라이언트를 업데이트 또는 삭제
전달자 토큰을 사용하여 클라이언트를 생성하는 경우 create-client 역할만 사용하여 서비스 계정의 토큰을 사용하는 것이 좋습니다(자세한 내용은 Server Administration Guide 참조).
5.1.2. 초기 액세스 토큰
새 클라이언트를 등록하기 위한 권장 방법은 초기 액세스 토큰을 사용하는 것입니다. 초기 액세스 토큰은 클라이언트를 생성하는 데만 사용할 수 있으며 구성 가능한 만료와 생성할 수 있는 클라이언트 수에 대한 구성 가능한 제한이 있습니다.
초기 액세스 토큰은 관리 콘솔을 통해 생성할 수 있습니다. 새 초기 액세스 토큰을 생성하려면 먼저 관리 콘솔의 영역을 선택한 다음 왼쪽의 메뉴에서 settings를 클릭한 다음 페이지에 표시된 탭에 있는 클라이언트 등록이 표시됩니다. 그런 다음 Initial Access Tokens 하위 탭을 클릭합니다.
이제 기존 초기 액세스 토큰을 볼 수 있습니다. 액세스 권한이 있는 경우 더 이상 필요하지 않은 토큰을 삭제할 수 있습니다. 토큰을 생성할 때만 토큰 값을 검색할 수 있습니다. 새 토큰을 생성하려면 생성을 클릭합니다. 토큰을 사용하여 생성할 수 있는 클라이언트 수를 선택적으로 추가할 수 있습니다. 저장 을 클릭하면 토큰 값이 표시됩니다.
나중에 검색할 수 없으므로 지금 이 토큰을 복사하거나 붙여 넣는 것이 중요합니다. 복사/붙여넣기를 잊어 버린 경우 토큰을 삭제하고 다른 토큰을 생성합니다.
토큰 값은 클라이언트 등록 서비스를 호출할 때 요청의 Authorization 헤더에 추가하여 표준 전달자 토큰으로 사용됩니다. 예를 들면 다음과 같습니다.
Authorization: bearer eyJhbGciOiJSUz...
Authorization: bearer eyJhbGciOiJSUz...5.1.3. 등록 액세스 토큰
클라이언트 등록 서비스를 통해 클라이언트를 생성하면 응답에 등록 액세스 토큰이 포함됩니다. 등록 액세스 토큰에서는 나중에 클라이언트 구성을 검색할 수 있는 액세스 권한을 제공하지만 클라이언트를 업데이트하거나 삭제할 수도 있습니다. 등록 액세스 토큰은 전달자 토큰 또는 초기 액세스 토큰과 동일한 방식으로 요청에 포함됩니다. 등록 액세스 토큰은 응답에 사용되는 경우 새 토큰이 포함된 한 번만 유효합니다.
클라이언트 등록 서비스 외부에서 클라이언트를 생성한 경우 연결된 등록 액세스 토큰이 없습니다. 관리 콘솔을 통해 이를 생성할 수 있습니다. 이는 특정 클라이언트의 토큰을 손실한 경우에도 유용할 수 있습니다. 새 토큰을 생성하려면 관리 콘솔에서 클라이언트를 찾고 자격 증명을 클릭합니다. 그런 다음 Generate registration access token 을 클릭합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}