2.2. 외부 ID 공급자에 대한 참조 생성

외부 ID 공급자(IdP)를 IdM(Identity Management) 환경에 연결하려면 IdM에서 IdP 참조를 생성합니다. 이 예제에서는 다른 IdP 템플릿을 기반으로 외부 IdP에 대한 참조를 구성하는 방법을 보여줍니다. 다음 옵션을 사용하여 설정을 지정합니다.

--provider
알려진 ID 공급자 중 하나에 대한 사전 정의된 템플릿
--client-id
애플리케이션 등록 중에 IdP에서 발행한 OAuth 2.0 클라이언트 식별자입니다. 애플리케이션 등록 절차는 각 IdP마다 고유하므로 자세한 내용은 설명서를 참조하십시오. 외부 IdP가 Red Hat Single Sign-On(SSO) 인 경우 OpenID Connect 클라이언트 생성을 참조하십시오.
--base-url
Keycloak 및 Okta에 필요한 IdP 템플릿의 기본 URL
--organization
Microsoft Azure에 필요한 IdP의 도메인 또는 조직 ID
--secret

(선택 사항) 기밀 OAuth 2.0 클라이언트의 시크릿이 필요하도록 외부 IdP를 구성한 경우 이 옵션을 사용합니다. IdP 참조를 생성할 때 이 옵션을 사용하는 경우 대화식으로 시크릿을 입력하라는 메시지가 표시됩니다. 클라이언트 시크릿을 암호로 보호합니다.

참고

RHEL 9.1의 SSSD는 클라이언트 시크릿을 사용하지 않는 기밀인 OAuth 2.0 클라이언트만 지원합니다. 기밀 클라이언트의 클라이언트 시크릿이 필요한 외부 IdP를 사용하려면 RHEL 9.2 이상에서 SSSD를 사용해야 합니다.

사전 요구 사항

  • 외부 IdP에 OAuth 애플리케이션으로 IdM을 등록하고 클라이언트 ID를 가져왔습니다.
  • IdM 관리자 계정으로 인증할 수 있습니다.
  • IdM 서버는 RHEL 9.1 이상을 사용하고 있습니다.
  • IdM 서버는 SSSD 2.7.0 이상을 사용하고 있습니다.

절차

  1. IdM 서버에서 IdM 관리자로 인증합니다.

    [root@server ~]# kinit admin
  2. 다음 표에 설명된 대로 IdM에 필요한 IdP에 대한 참조를 생성합니다.

    ID 공급자중요한 옵션명령 예

    Microsoft Identity Platform,
    Azure AD

    --provider Cryostat
    --organization

    # ipa idp-add my-azure-idp \
      --provider microsoft \
      --organization main \
      --client-id <azure_client_id>

    Google

    --provider Google

    # ipa idp-add my-google-idp \
      --provider google \
      --client-id <google_client_id>

    GitHub

    --provider github

    # ipa idp-add my-github-idp \
      --provider github \
      --client-id <github_client_id>

    Keycloak,
    Red Hat Single Sign-On

    --provider keycloak
    --organization
    --base-url

    # ipa idp-add my-keycloak-idp \
      --provider keycloak \
      --organization main \
      --base-url keycloak.idm.example.com:8443/auth \
      --client-id <keycloak_client_id>
    참고

    Keycloak 17 이상의 Quarkus 버전은 URI의 /auth/ 부분을 제거했습니다. 배포에서 Keycloak이 아닌Quarkus 배포를 사용하는 경우 --base-url 옵션에 /auth/ 를 포함합니다.

    Okta

    --provider okta

    # ipa idp-add my-okta-idp \
      --provider okta
      --base-url dev-12345.okta.com \
      --client-id <okta_client_id>

    예를 들어 다음 명령은 Keycloak 템플릿을 기반으로 IdP에 my-keycloak-idp 라는 참조를 생성합니다. 여기서 --base-url 옵션은 server-name.$DOMAIN:$PORT/prefix.

    [root@server ~]# ipa idp-add my-keycloak-idp \
                     --provider keycloak --organization main \
                     --base-url keycloak.idm.example.com:8443/auth \
                     --client-id id13778
    ------------------------------------------------
    Added Identity Provider reference "my-keycloak-idp"
    ------------------------------------------------
      Identity Provider reference name: my-keycloak-idp
      Authorization URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/auth
      Device authorization URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/auth/device
      Token URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/token
      User info URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/userinfo
      Client identifier: ipa_oidc_client
      Scope: openid email
      External IdP user identifier attribute: email

검증

  • ipa idp-show 명령의 출력에 생성한 IdP 참조가 표시되는지 확인합니다.

    [root@server ~]# ipa idp-show my-keycloak-idp

추가 리소스