13장. 사용자 액세스 관리

13.1. SAML 2.0 ID 공급자로 Okta ID 클라우드 구성

Okta를 RHACS(Red Hat Advanced Cluster Security for Kubernetes)의 SSO(Single Sign-On) 공급자로 사용할 수 있습니다.

13.1.1. Okta 앱 생성

Okta를 Kubernetes용 Red Hat Advanced Cluster Security의 SAML 2.0 ID 공급자로 사용하려면 Okta 앱을 생성해야 합니다.

주의

Okta의 개발자 콘솔은 사용자 정의 SAML 2.0 애플리케이션 생성을 지원하지 않습니다. 개발자 콘솔 을 사용하는 경우 먼저 관리 콘솔(클래식 UI)으로 전환해야 합니다. 전환하려면 페이지 왼쪽 상단에 있는 개발자 콘솔 을 클릭하고 클래식 UI 를 선택합니다.

사전 요구 사항

  • Okta 포털에 대한 관리 권한이 있는 계정이 있어야 합니다.

절차

  1. Okta 포털의 메뉴 표시줄에서 Applications (애플리케이션)을 선택합니다.
  2. 애플리케이션 추가 를 클릭한 다음 새 앱 만들기 를 선택합니다.
  3. 새 애플리케이션 통합 만들기 대화 상자에서 웹을 플랫폼으로 두고 로그인할 프로토콜로 SAML 2.0을 선택합니다.In the Create a New Application Integration dialog box, leave Web as the platform and select SAML 2.0 as the protocol that you want to sign in users.
  4. 생성을 클릭합니다.
  5. 일반 설정 페이지에서 앱 이름 필드에 앱의 이름을 입력합니다.On the General Settings page, enter a name for the app in the App name field.
  6. 다음을 클릭합니다.
  7. SAML 설정 페이지에서 다음 필드의 값을 설정합니다.

    1. URL에 대한 싱글 사인

      • https://<RHACS_portal_hostname>/sso/providers/saml/acs 로 지정합니다.
      • Use this for Recipient URL and Destination URL (Recipient URL 및 Destination URL) 옵션을 선택한 상태로 둡니다.
      • 다른 URL에서 RHACS 포털에 액세스할 수 있는 경우 이 앱이 다른 SSO URL 옵션을 요청하도록 허용 을 확인하고 지정된 형식을 사용하여 대체 URL을 추가하여 여기에 추가할 수 있습니다.
    2. 대상 URI(SP Entity ID)

      • 값을 RHACS 또는 다른 원하는 값으로 설정합니다.
      • 선택한 값을 기억하십시오. Kubernetes용 Red Hat Advanced Cluster Security를 구성할 때 이 값이 필요합니다.
    3. 특성 정책

      • 하나 이상의 attribute 문을 추가해야 합니다.
      • 이메일 속성을 사용하는 것이 좋습니다.

        • 이름: email
        • 형식: 지정되지 않음
        • 값: user.email
  8. 계속하기 전에 하나 이상의 Attribute 문을 구성했는지 확인합니다.
  9. 다음을 클릭합니다.
  10. 피드백 페이지에서 사용자에게 적용되는 옵션을 선택합니다.On the Feedback page, select an option that applies to you.
  11. 적절한 앱 유형 을 선택합니다.
  12. 완료를 클릭합니다.

구성이 완료되면 새 앱의 Sign On 설정 페이지로 리디렉션됩니다. 노란색 상자에는 Kubernetes용 Red Hat Advanced Cluster Security를 구성하는 데 필요한 정보에 대한 링크가 포함되어 있습니다.

앱을 만든 후 Okta 사용자를 이 애플리케이션에 할당합니다. Assignments (할당) 탭으로 이동하여 Red Hat Advanced Cluster Security for Kubernetes에 액세스할 수 있는 개별 사용자 또는 그룹 세트를 할당합니다. 예를 들어, 조직의 모든 사용자가 Kubernetes용 Red Hat Advanced Cluster Security에 액세스할 수 있도록 그룹 Everyone 를 할당합니다.

13.1.2. Red Hat Advanced Cluster Security for Kubernetes에서 SAML 2.0 ID 공급자 구성

SAML 2.0 ID 공급자를 Red Hat Advanced Cluster Security for Kubernetes와 통합하려면 이 섹션의 지침을 사용합니다.

사전 요구 사항

  • Red Hat Advanced Cluster Security for Kubernetes에서 ID 공급자를 구성할 수 있는 권한이 있어야 합니다.
  • Kubernetes용 Red Hat Advanced Cluster Security에 대해 구성된 Okta 앱이 있어야 합니다.

절차

  1. RHACS 포털에서 플랫폼 구성액세스 제어 로 이동합니다.
  2. Add an Auth Provider 메뉴를 열고 SAML 2.0 을 선택합니다.
  3. 다음에 대한 세부 정보를 입력합니다.

    • 통합 이름: 이 인증 공급자를 식별하는 이름입니다(예: Okta 또는 Google ). 로그인 페이지에 통합 이름이 표시되어 사용자가 올바른 로그인 옵션을 선택할 수 있습니다.
    • ServiceProvider Issuer: Okta에서 Audience URI 또는 SP Entity ID 로 사용하거나 다른 공급자의 유사한 값을 사용합니다.
    • IDP 메타데이터 URL: ID 공급자 콘솔에서 사용 가능한 ID 공급자 메타데이터 의 URL을 사용합니다. IdP 메타데이터 URL 을 사용하지 않으려면 Okta 콘솔의 View Setup Instructions 링크 또는 다른 공급자의 유사한 위치에서 필요한 정적 필드를 대신 복사할 수 있습니다.
  4. 선택한 ID 공급자를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에 액세스하는 사용자에 대해 최소 액세스 역할 을 선택합니다.

    작은 정보

    설정을 완료하는 동안 최소 액세스 역할Admin 로 설정합니다. 나중에 액세스 제어 페이지로 돌아가 ID 공급자의 사용자 메타데이터를 기반으로 보다 맞춤화된 액세스 규칙을 설정할 수 있습니다.

  5. 저장을 클릭합니다.
중요

SAML ID 공급자의 인증 응답이 있는 경우:

  • NotValidAfter 어설션이 포함되어 있으며 사용자 세션은 NotValidAfter 필드에 지정된 시간이 경과할 때까지 유효합니다. 만료 후 사용자는 다시 인증해야 합니다.
  • NotValidAfter 어설션이 포함되지 않으며, 사용자 세션은 30일 동안 유효한 상태로 유지되며 이후에는 사용자가 다시 인증해야 합니다.

검증

  1. RHACS 포털에서 플랫폼 구성액세스 제어 로 이동합니다.
  2. Auth Provider Rules 탭을 선택합니다.
  3. Auth Providers (인증 공급자) 섹션에서 구성을 확인할 인증 공급자를 선택합니다.
  4. Auth Provider (인증 공급자) 섹션 헤더에서 테스트 로그인 을 선택합니다. 테스트 로그인 페이지가 새 브라우저 탭에서 열립니다.
  5. 자격 증명을 사용하여 로그인합니다.

    • 성공 시 Red Hat Advanced Cluster Security for Kubernetes는 사용자 ID와 User Attributes 자격 증명을 사용하여 로그인하는 데 사용한 ID 공급자를 보여줍니다.
    • 실패 시 Red Hat Advanced Cluster Security for Kubernetes는 ID 공급자의 응답을 처리할 수 없는 이유를 설명하는 메시지를 표시합니다.
  6. 테스트 로그인 브라우저 탭을 종료합니다.

    참고

    응답이 성공적인 인증을 나타내는 경우에도 ID 공급자의 사용자 메타데이터를 기반으로 추가 액세스 규칙을 생성해야 할 수 있습니다.