51.7. 외부 ID 공급자용 템플릿 목록

다음 ID 공급자(IdP)는 OAuth 2.0 장치 권한 부여 흐름을 지원합니다.

  • Azure AD를 포함한 Microsoft Identity Platform
  • Google
  • GitHub
  • Red Hat SSO(Single Sign-On)를 포함한 Keycloak
  • Okta

ipa idp-add 명령을 사용하여 이러한 외부 IdP 중 하나에 대한 참조를 생성하는 경우 다음과 같이 --provider 옵션을 사용하여 IdP 유형을 지정할 수 있습니다.

--provider=microsoft

Microsoft Azure IdPs는 ipa idp-add 명령에 --organization 옵션을 사용하여 지정할 수 있는 Azure 테넌트 ID를 기반으로 parametrization을 허용합니다. live.com IdP에 대한 지원이 필요한 경우 --organization common 옵션을 지정합니다.

다음 옵션을 사용하도록 --provider=microsoft 확장을 선택합니다. --organization 옵션의 값은 표의 문자열 ${ipaidporg} 를 대체합니다.

옵션

--auth-uri=URI

https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize

--dev-auth-uri=URI

https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode

--token-uri=URI

https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token

--userinfo-uri=URI

https://graph.microsoft.com/oidc/userinfo

--keys-uri=URI

https://login.microsoftonline.com/common/discovery/v2.0/keys

--scope=STR

OpenID 이메일

--idp-user-id=STR

email

--provider=google

다음 옵션을 사용하려면 --provider=google 확장을 선택합니다.

옵션

--auth-uri=URI

https://accounts.google.com/o/oauth2/auth

--dev-auth-uri=URI

https://oauth2.googleapis.com/device/code

--token-uri=URI

https://oauth2.googleapis.com/token

--userinfo-uri=URI

https://openidconnect.googleapis.com/v1/userinfo

--keys-uri=URI

https://www.googleapis.com/oauth2/v3/certs

--scope=STR

OpenID 이메일

--idp-user-id=STR

email

--provider=github

--provider=github 를 선택하면 다음 옵션을 사용하도록 확장됩니다.

옵션

--auth-uri=URI

https://github.com/login/oauth/authorize

--dev-auth-uri=URI

https://github.com/login/device/code

--token-uri=URI

https://github.com/login/oauth/access_token

--userinfo-uri=URI

https://openidconnect.googleapis.com/v1/userinfo

--keys-uri=URI

https://api.github.com/user

--scope=STR

user

--idp-user-id=STR

login

--provider=keycloak

Keycloak을 사용하면 여러 영역 또는 조직을 정의할 수 있습니다. 사용자 지정 배포의 일부이므로 기본 URL과 영역 ID가 모두 필요하며, ipa idp-add 명령에 --base-url--organization 옵션으로 지정할 수 있습니다.

[root@client ~]# ipa idp-add MySSO --provider keycloak \
    --org main --base-url keycloak.domain.com:8443/auth \
    --client-id <your-client-id>

다음 옵션을 사용하려면 --provider=keycloak 을 선택합니다. base-url 옵션에 지정하는 값은 테이블의 문자열 ${ipaidpbaseurl} 을 대체하고 --organization 'option에 대해 지정한 값은 '${ipaidporg} 문자열을 대체합니다.

옵션

--auth-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth

--dev-auth-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device

--token-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token

--userinfo-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo

--scope=STR

OpenID 이메일

--idp-user-id=STR

email

--provider=okta

Okta에 새 조직을 등록하면 새 기본 URL이 연결됩니다. ipa idp-add 명령에 --base-url 옵션을 사용하여 이 기본 URL을 지정할 수 있습니다.

[root@client ~]# ipa idp-add MyOkta --provider okta --base-url dev-12345.okta.com --client-id <your-client-id>

다음 옵션을 사용하도록 --provider=ECDHEta 확장을 선택합니다. --base-url 옵션에 지정하는 값은 테이블의 문자열 ${ipaidpbaseurl} 을 대체합니다.

옵션

--auth-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/authorize

--dev-auth-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/device/authorize

--token-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/token

--userinfo-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/userinfo

--scope=STR

OpenID 이메일

--idp-user-id=STR

email