9장. ID 공급자 통합
ID 브로커는 서비스 공급자를 ID 공급자와 연결하는 중개자 서비스입니다. ID 브로커는 외부 ID 공급자와의 관계를 생성하여 공급자의 ID를 사용하여 서비스 공급자가 노출하는 내부 서비스에 액세스합니다.
사용자 관점에서 ID 브로커는 보안 도메인 및 영역의 ID를 관리하는 사용자 중심의 중앙 집중식 방법을 제공합니다. ID 공급자의 ID를 하나 이상 사용하여 계정을 연결하거나 ID 정보를 기반으로 계정을 만들 수 있습니다.
ID 공급자는 인증 및 권한 부여 정보를 사용자에게 인증하고 전송하는 데 사용되는 특정 프로토콜에서 파생됩니다. 다음을 수행할 수 있습니다.
- Facebook, Google 또는wisor와 같은 소셜 공급자입니다.
- 사용자가 서비스에 액세스해야 하는 비즈니스 파트너입니다.
- 통합하려는 클라우드 기반 ID 서비스입니다.
일반적으로 Red Hat Single Sign-On은 다음 프로토콜을 기반으로 ID 공급자를 기반으로 합니다.
-
SAML v2.0 -
OpenID Connect v1.0 -
OAuth v2.0
9.1. 브로커링 개요
Red Hat Single Sign-On을 ID 브로커로 사용하는 경우 Red Hat Single Sign-On은 사용자가 특정 영역에서 인증하기 위해 자격 증명을 제공하도록 강제 적용하지 않습니다. Red Hat Single Sign-On에는 인증할 수 있는 ID 공급자 목록이 표시됩니다.
기본 ID 공급자를 구성하는 경우 Red Hat Single Sign-On은 사용자를 기본 공급자로 리디렉션합니다.
프로토콜마다 다른 인증 흐름이 필요할 수 있습니다. Red Hat Single Sign-On에서 지원하는 모든 ID 공급자는 다음 흐름을 사용합니다.
ID 브로커 흐름
- 인증되지 않은 사용자는 클라이언트 애플리케이션에서 보호되는 리소스를 요청합니다.
- 클라이언트 애플리케이션은 사용자를 Red Hat Single Sign-On으로 리디렉션하여 인증합니다.
- Red Hat Single Sign-On에는 영역에 구성된 ID 공급자 목록이 포함된 로그인 페이지가 표시됩니다.
- 사용자는 버튼 또는 링크를 클릭하여 아이덴티티 제공자 중 하나를 선택합니다.
- Red Hat Single Sign-On은 인증을 요청하는 대상 ID 공급자에 인증 요청을 발행하고 사용자를 ID 공급자의 로그인 페이지로 리디렉션합니다. 관리자가 이미 Admin Console의 ID 공급자에 대한 연결 속성 및 기타 구성 옵션을 설정했습니다.
- 사용자는 자격 증명을 제공하거나 ID 공급자를 인증하는 데 동의합니다.
- ID 공급자가 성공적으로 인증하면 사용자는 인증 응답을 사용하여 Red Hat Single Sign-On으로 다시 리디렉션됩니다. 일반적으로 응답에는 Red Hat Single Sign-On에서 ID 공급자의 인증을 신뢰하고 사용자 정보를 검색하기 위해 사용하는 보안 토큰이 포함됩니다.
- Red Hat Single Sign-On은 ID 공급자의 응답이 유효한지 확인합니다. 유효한 경우 Red Hat Single Sign-On을 가져와서 사용자가 아직 없는 경우 사용자를 생성합니다. Red Hat Single Sign-On은 토큰에 해당 정보가 포함되지 않은 경우 ID 공급자에게 추가 사용자 정보를 요청할 수 있습니다. 이 동작은 ID 페더레이션 입니다. 사용자가 이미 존재하는 경우 Red Hat Single Sign-On은 사용자에게 ID 공급자로부터 반환된 ID를 기존 계정과 연결하도록 요청할 수 있습니다. 이 동작은 계정 연결입니다. Red Hat Single Sign-On을 사용하면 계정 연결을 구성하고 첫 번째 로그인 흐름 에서 지정할 수 있습니다. 이 단계에서 Red Hat Single Sign-On은 사용자를 인증하고 해당 토큰을 발행하여 서비스 공급자의 요청된 리소스에 액세스합니다.
- 사용자가 인증하면 Red Hat Single Sign-On은 로컬 인증 중에 이전에 발행된 토큰을 전송하여 사용자를 서비스 공급자로 리디렉션합니다.
- 서비스 공급자는 Red Hat Single Sign-On에서 토큰을 수신하고 보호 리소스에 대한 액세스를 허용합니다.
이 흐름의 변형이 가능합니다. 예를 들어 클라이언트 애플리케이션은 목록을 표시하는 대신 특정 ID 공급자를 요청할 수 있습니다. 또는 사용자가 ID를 통합하기 전에 추가 정보를 제공하도록 Red Hat Single Sign-On을 설정할 수 있습니다.
인증 프로세스가 끝나면 Red Hat Single Sign-On은 클라이언트 애플리케이션에 토큰을 발행합니다. 클라이언트 애플리케이션은 외부 ID 공급자와 분리되어 있으므로 클라이언트 애플리케이션의 프로토콜이나 사용자의 ID를 검증하는 방법을 확인할 수 없습니다. 공급자는 Red Hat Single Sign-On에 대해서만 알아야 합니다.
