13장. 사용자 액세스 관리
13.1. SAML 2.0 ID 공급자로 Okta ID 클라우드 구성
Okta를 RHACS(Red Hat Advanced Cluster Security for Kubernetes)의 SSO(Single Sign-On) 공급자로 사용할 수 있습니다.
13.1.1. Okta 앱 생성
Okta를 Kubernetes용 Red Hat Advanced Cluster Security의 SAML 2.0 ID 공급자로 사용하려면 Okta 앱을 생성해야 합니다.
Okta의 개발자 콘솔은 사용자 정의 SAML 2.0 애플리케이션 생성을 지원하지 않습니다. 개발자 콘솔 을 사용하는 경우 먼저 관리 콘솔(클래식 UI)으로 전환해야 합니다. 전환하려면 페이지 왼쪽 상단에 있는 개발자 콘솔 을 클릭하고 클래식 UI 를 선택합니다.
사전 요구 사항
- Okta 포털에 대한 관리 권한이 있는 계정이 있어야 합니다.
절차
- Okta 포털의 메뉴 표시줄에서 Applications (애플리케이션)을 선택합니다.
- 애플리케이션 추가 를 클릭한 다음 새 앱 만들기 를 선택합니다.
- 새 애플리케이션 통합 만들기 대화 상자에서 웹을 플랫폼으로 두고 로그인할 프로토콜로 SAML 2.0을 선택합니다.In the Create a New Application Integration dialog box, leave Web as the platform and select SAML 2.0 as the protocol that you want to sign in users.
- 생성을 클릭합니다.
- 일반 설정 페이지에서 앱 이름 필드에 앱의 이름을 입력합니다.On the General Settings page, enter a name for the app in the App name field.
- 다음을 클릭합니다.
SAML 설정 페이지에서 다음 필드의 값을 설정합니다.
URL에 대한 싱글 사인
-
https://<RHACS_portal_hostname>/sso/providers/saml/acs로 지정합니다. - Use this for Recipient URL and Destination URL (Recipient URL 및 Destination URL) 옵션을 선택한 상태로 둡니다.
- 다른 URL에서 RHACS 포털에 액세스할 수 있는 경우 이 앱이 다른 SSO URL 옵션을 요청하도록 허용 을 확인하고 지정된 형식을 사용하여 대체 URL을 추가하여 여기에 추가할 수 있습니다.
-
대상 URI(SP Entity ID)
- 값을 RHACS 또는 다른 원하는 값으로 설정합니다.
- 선택한 값을 기억하십시오. Kubernetes용 Red Hat Advanced Cluster Security를 구성할 때 이 값이 필요합니다.
특성 정책
- 하나 이상의 attribute 문을 추가해야 합니다.
이메일 속성을 사용하는 것이 좋습니다.
- 이름: email
- 형식: 지정되지 않음
- 값: user.email
- 계속하기 전에 하나 이상의 Attribute 문을 구성했는지 확인합니다.
- 다음을 클릭합니다.
- 피드백 페이지에서 사용자에게 적용되는 옵션을 선택합니다.On the Feedback page, select an option that applies to you.
- 적절한 앱 유형 을 선택합니다.
- 완료를 클릭합니다.
구성이 완료되면 새 앱의 Sign On 설정 페이지로 리디렉션됩니다. 노란색 상자에는 Kubernetes용 Red Hat Advanced Cluster Security를 구성하는 데 필요한 정보에 대한 링크가 포함되어 있습니다.
앱을 만든 후 Okta 사용자를 이 애플리케이션에 할당합니다. Assignments (할당) 탭으로 이동하여 Red Hat Advanced Cluster Security for Kubernetes에 액세스할 수 있는 개별 사용자 또는 그룹 세트를 할당합니다. 예를 들어, 조직의 모든 사용자가 Kubernetes용 Red Hat Advanced Cluster Security에 액세스할 수 있도록 그룹 Everyone 를 할당합니다.
13.1.2. Red Hat Advanced Cluster Security for Kubernetes에서 SAML 2.0 ID 공급자 구성
SAML 2.0 ID 공급자를 Red Hat Advanced Cluster Security for Kubernetes와 통합하려면 이 섹션의 지침을 사용합니다.
사전 요구 사항
- Red Hat Advanced Cluster Security for Kubernetes에서 ID 공급자를 구성할 수 있는 권한이 있어야 합니다.
- Kubernetes용 Red Hat Advanced Cluster Security에 대해 구성된 Okta 앱이 있어야 합니다.
절차
- RHACS 포털에서 플랫폼 구성 → 액세스 제어 로 이동합니다.
- Add an Auth Provider 메뉴를 열고 SAML 2.0 을 선택합니다.
다음에 대한 세부 정보를 입력합니다.
- 통합 이름: 이 인증 공급자를 식별하는 이름입니다(예: Okta 또는 Google ). 로그인 페이지에 통합 이름이 표시되어 사용자가 올바른 로그인 옵션을 선택할 수 있습니다.
-
ServiceProvider Issuer: Okta에서
Audience URI또는SP Entity ID로 사용하거나 다른 공급자의 유사한 값을 사용합니다. - IDP 메타데이터 URL: ID 공급자 콘솔에서 사용 가능한 ID 공급자 메타데이터 의 URL을 사용합니다. IdP 메타데이터 URL 을 사용하지 않으려면 Okta 콘솔의 View Setup Instructions 링크 또는 다른 공급자의 유사한 위치에서 필요한 정적 필드를 대신 복사할 수 있습니다.
선택한 ID 공급자를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에 액세스하는 사용자에 대해 최소 액세스 역할 을 선택합니다.
작은 정보설정을 완료하는 동안 최소 액세스 역할 을 Admin 로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터를 기반으로 보다 맞춤화된 액세스 규칙을 설정할 수 있습니다.
- 저장을 클릭합니다.
SAML ID 공급자의 인증 응답이 있는 경우:
-
NotValidAfter어설션이 포함되어 있으며 사용자 세션은NotValidAfter필드에 지정된 시간이 경과할 때까지 유효합니다. 만료 후 사용자는 다시 인증해야 합니다. -
NotValidAfter어설션이 포함되지 않으며, 사용자 세션은 30일 동안 유효한 상태로 유지되며 이후에는 사용자가 다시 인증해야 합니다.
검증
- RHACS 포털에서 플랫폼 구성 → 액세스 제어 로 이동합니다.
- Auth Provider Rules 탭을 선택합니다.
- Auth Providers (인증 공급자) 섹션에서 구성을 확인할 인증 공급자를 선택합니다.
- Auth Provider (인증 공급자) 섹션 헤더에서 테스트 로그인 을 선택합니다. 테스트 로그인 페이지가 새 브라우저 탭에서 열립니다.
자격 증명을 사용하여 로그인합니다.
-
성공 시 Red Hat Advanced Cluster Security for Kubernetes는
사용자 ID와자격 증명을 사용하여 로그인하는 데 사용한 ID 공급자를 보여줍니다.UserAttributes - 실패 시 Red Hat Advanced Cluster Security for Kubernetes는 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지를 표시합니다.
-
성공 시 Red Hat Advanced Cluster Security for Kubernetes는
테스트 로그인 브라우저 탭을 종료합니다.
참고응답이 성공적인 인증을 나타내는 경우에도 ID 공급자의 사용자 메타데이터를 기반으로 추가 액세스 규칙을 생성해야 할 수 있습니다.