13.2. OIDC ID 공급자로 Google Workspace 구성

Google Workspace 를 Red Hat Advanced Cluster Security for Kubernetes의 SSO(Single Sign-On) 공급자로 사용할 수 있습니다.

13.2.1. GCP 프로젝트에 대한 OAuth 2.0 인증 정보 설정

Google Workspace를 Red Hat Advanced Cluster Security for Kubernetes의 ID 공급자로 구성하려면 먼저 GCP 프로젝트에 대한 OAuth 2.0 자격 증명을 구성해야 합니다.

사전 요구 사항

  • 기존 프로젝트에 대한 OAuth 2.0 자격 증명을 생성 및 구성하려면 조직의 Google Workspace 계정에 대한 관리자 수준 액세스 권한이 있어야 합니다. Red Hat은 Red Hat Advanced Cluster Security for Kubernetes에 대한 액세스를 관리하기 위한 새 프로젝트를 생성하는 것이 좋습니다.

절차

  1. 새 GCP(Google Cloud Platform) 프로젝트를 생성하고 프로젝트를 생성 및 관리하는 Google 설명서 주제를 참조하십시오.
  2. 프로젝트를 생성한 후 Google API 콘솔에서 자격 증명 페이지를 엽니다.
  3. 로고 옆에 있는 왼쪽 상단 모서리에 나열된 프로젝트 이름을 확인하여 올바른 프로젝트를 사용하고 있는지 확인합니다.
  4. 새 인증 정보를 생성하려면 Create CredentialsOAuth 클라이언트 ID 로 이동합니다.
  5. 웹 애플리케이션애플리케이션 유형으로 선택합니다.
  6. 이름 상자에 애플리케이션의 이름 을 입력합니다(예: RHACS ).
  7. Authorized 리디렉션 URI 상자에 https://<stackrox_hostname>:<port_number>/sso/providers/oidc/callback 을 입력합니다.

    • & lt;stackrox_hostname& gt;을 중앙의 인스턴스를 노출하는 호스트 이름으로 바꿉니다.
    • & lt;port_number& gt;를 중앙에서 노출하는 포트 번호로 바꿉니다. 표준 HTTPS 포트 443 을 사용하는 경우 포트 번호를 생략할 수 있습니다.
  8. 생성을 클릭합니다. 그러면 애플리케이션 및 인증 정보가 생성되고 자격 증명 페이지로 리디렉션됩니다.
  9. 새로 생성된 애플리케이션에 대한 세부 정보를 보여주는 정보 상자가 열립니다. 정보 상자를 닫습니다.
  10. .apps.googleusercontent.com 으로 끝나는 클라이언트 ID 를 복사하고 저장합니다. Google API Console을 사용하여 이 클라이언트 ID를 확인할 수 있습니다.
  11. 왼쪽 탐색 메뉴에서 OAuth 동의 화면 을 선택합니다.

    참고

    OAuth 동의 화면 구성은 전체 GCP 프로젝트에 유효하며 이전 단계에서 생성한 애플리케이션에만 유효합니다. 이 프로젝트에 OAuth 동의 화면이 이미 구성되어 있고 Red Hat Advanced Cluster Security for Kubernetes 로그인에 대해 다른 설정을 적용하려면 새 GCP 프로젝트를 생성합니다.

  12. OAuth 동의 화면 페이지에서 다음을 수행합니다.

    1. 애플리케이션 유형Internal 로 선택합니다. 공개 를 선택하면 Google 계정이 있는 모든 사람이 로그인할 수 있습니다.
    2. 설명이 포함된 애플리케이션 이름 을 입력합니다. 이 이름은 사용자가 로그인할 때 동의 화면에 표시됩니다. 예를 들어 Kubernetes용 Red Hat Advanced Cluster Security에 RHACS 또는 <organization_name> SSO 를 사용하십시오.
    3. Google API의 범위 에는 이메일,프로필 및 공개 범위만 나열 되는지 확인합니다. SSO(Single Sign-On)에는 이러한 범위만 필요합니다. 추가 범위를 지정하면 민감한 데이터를 노출할 위험이 높아집니다.