5.10. Keycloak을 사용하여 Argo CD에 대한 SSO 구성

Red Hat OpenShift GitOps Operator가 설치되면 Argo CD에서 admin 권한이 있는 사용자를 자동으로 생성합니다. 클러스터 관리자는 여러 사용자를 관리하기 위해 Argo CD를 사용하여 SSO(Single Sign-On)를 구성할 수 있습니다.

사전 요구 사항

  • Red Hat SSO가 클러스터에 설치되어 있습니다.
  • Argo CD가 클러스터에 설치되어 있습니다.

5.10.1. Keycloak에서 새 클라이언트 구성

DEX는 Operator에서 생성한 모든 Argo CD 인스턴스에 기본적으로 설치됩니다. 그러나 Dex 구성을 삭제하고 대신 OpenShift 인증 정보를 사용하여 Argo CD에 로그인하도록 Keycloak을 추가할 수 있습니다. Keycloak은 Argo CD와 OpenShift 간의 ID 브로커 역할을 합니다.

프로세스

Keycloak을 구성하려면 다음 단계를 따르십시오.

  1. Argo CD CR(사용자 정의 리소스)에서 다음 섹션을 제거하여 Dex 구성을 삭제하고 CR을 저장합니다. 

    dex:
    openShiftOAuth: true
    resources:
      limits:
        cpu:
        memory:
      requests:
        cpu:
        memory:

  2. Argo CD CR을 편집하고 provider 매개 변수의 값을 keycloak 로 업데이트하여 Keycloak을 구성합니다. 예를 들면 다음과 같습니다. 

    apiVersion: argoproj.io/v1alpha1
kind: ArgoCD
metadata:
  name: example-argocd
  labels:
    example: basic
spec:
  sso:
    provider: keycloak
  server:
    route:
     enabled: true
참고

Keycloak 인스턴스를 설치하고 실행하는 데 2-3분이 걸립니다.

5.10.2. Keycloak에 로그인

Keycloak 콘솔에 로그인하여 ID 또는 역할을 관리하고 다양한 역할에 할당된 권한을 정의합니다.

사전 요구 사항

  • Dex의 기본 구성이 제거됩니다.
  • Argo CD CR은 Keycloak SSO 공급자를 사용하도록 구성해야 합니다.

프로세스

  1. 로그인을 위한 Keycloak 경로 URL을 가져옵니다. 

    $ oc -n argocd get route keycloak

NAME        HOST/PORT                                                        PATH   SERVICES   PORT    TERMINATION   WILDCARD
keycloak    keycloak-default.apps.ci-ln-******.origin-ci-int-aws.dev.**.com         keycloak   <all>    reencrypt     None

  2. 사용자 이름과 암호를 환경 변수로 저장하는 Keycloak Pod 이름을 가져옵니다. 

    $ oc -n argocd get pods

NAME                      READY   STATUS           RESTARTS   AGE
keycloak-1-2sjcl           1/1    Running            0        45m

    1. Keycloak 사용자 이름을 가져옵니다. 

      $ oc -n argocd exec keycloak-1-2sjcl -- "env" | grep SSO_ADMIN_USERNAME

SSO_ADMIN_USERNAME=Cqid54Ih

    2. Keycloak 암호를 가져옵니다. 

      $ oc -n argocd exec keycloak-1-2sjcl -- "env" | grep SSO_ADMIN_PASSWORD

SSO_ADMIN_PASSWORD=GVXxHifH

  3. 로그인 페이지에서 LOG IN VIA KEYCLOAK(VIA KEYCLOAK 로그인)를 클릭합니다.

    참고

    Keycloak 인스턴스가 준비된 후 LOGIN VIA KEYCLOAK 옵션만 표시됩니다.

  4. Login with OpenShift (OpenShift로 로그인)를 클릭합니다.

    참고

    kubeadmin 을 사용한 로그인은 지원되지 않습니다.

  5. 로그인할 OpenShift 자격 증명을 입력합니다.

  6. 선택 사항: 기본적으로 Argo CD에 로그인한 모든 사용자에게는 읽기 전용 액세스 권한이 있습니다. argocd-rbac-cm 구성 맵을 업데이트하여 사용자 수준 액세스를 관리할 수 있습니다. 

    policy.csv:
<name>, <email>, role:admin

5.10.3. Keycloak 제거

Argo CD CR(사용자 정의 리소스) 파일에서 SSO 필드를 제거하여 Keycloak 리소스 및 관련 구성을 삭제할 수 있습니다. SSO 필드를 제거한 후 파일의 값은 다음과 유사합니다. 

  apiVersion: argoproj.io/v1alpha1
  kind: ArgoCD
  metadata:
    name: example-argocd
    labels:
      example: basic
  spec:
    server:
      route:
       enabled: true
참고

이 방법을 사용하여 생성한 Keycloak 애플리케이션은 현재 영구적이지 않습니다. Argo CD Keycloak 영역에서 생성된 추가 구성은 서버를 다시 시작할 때 삭제됩니다.