2.7. 외부 ID 공급자의 템플릿 목록

다음 ID 공급자(IdP)는 OAuth 2.0 장치 권한 부여 흐름을 지원합니다.

  • Azure AD를 포함한 Microsoft Identity Platform
  • Google
  • GitHub
  • Keycloak (Red Hat Single Sign-On (SSO))
  • Okta

ipa idp-add 명령을 사용하여 이러한 외부 IdP 중 하나에 대한 참조를 생성하는 경우 아래에 설명된 대로 추가 옵션으로 확장되는 --provider 옵션을 사용하여 IdP 유형을 지정할 수 있습니다.

--provider=microsoft

Microsoft Azure IdP는 Azure 테넌트 ID를 기반으로 parametrization을 사용할 수 있으며 ipa idp-add 명령에 --organization 옵션으로 지정할 수 있습니다. live.com IdP에 대한 지원이 필요한 경우 --organization common 을 지정합니다.

--provider=microsoft 를 선택하면 다음 옵션을 사용하도록 확장됩니다. --organization 옵션의 값은 표의 ${ipaidporg} 문자열을 대체합니다.

옵션현재의

--auth-uri=URI

https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize

--dev-auth-uri=URI

https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode

--token-uri=URI

https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token

--userinfo-uri=URI

https://graph.microsoft.com/oidc/userinfo

--keys-uri=URI

https://login.microsoftonline.com/common/discovery/v2.0/keys

--scope=STR

OpenID 이메일

--idp-user-id=STR

email

--provider=google

--provider=google 를 선택하면 다음과 같은 옵션을 사용합니다.

옵션현재의

--auth-uri=URI

https://accounts.google.com/o/oauth2/auth

--dev-auth-uri=URI

https://oauth2.googleapis.com/device/code

--token-uri=URI

https://oauth2.googleapis.com/token

--userinfo-uri=URI

https://openidconnect.googleapis.com/v1/userinfo

--keys-uri=URI

https://www.googleapis.com/oauth2/v3/certs

--scope=STR

OpenID 이메일

--idp-user-id=STR

email

--provider=github

--provider=github 를 선택하면 다음과 같은 옵션을 사용합니다.

옵션현재의

--auth-uri=URI

https://github.com/login/oauth/authorize

--dev-auth-uri=URI

https://github.com/login/device/code

--token-uri=URI

https://github.com/login/oauth/access_token

--userinfo-uri=URI

https://openidconnect.googleapis.com/v1/userinfo

--keys-uri=URI

https://api.github.com/user

--scope=STR

user

--idp-user-id=STR

login

--provider=keycloak

Keycloak을 사용하면 여러 영역 또는 조직을 정의할 수 있습니다. 일반적으로 사용자 정의 배포의 일부이므로 기본 URL과 영역 ID가 모두 필요하며 ipa idp-add 명령에 --base-url--organization 옵션을 사용하여 지정할 수 있습니다.

[root@client ~]# ipa idp-add MySSO --provider keycloak \
    --org main --base-url keycloak.domain.com:8443/auth \
    --client-id <your-client-id>

--provider=keycloak 을 선택하면 다음 옵션을 사용합니다. --base-url 옵션에 지정하는 값은 표의 ${ipaidpbaseurl} 문자열을 교체하고 --organization 'option에 지정된 값은 '${ipaidporg} 문자열을 대체합니다.

옵션현재의

--auth-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth

--dev-auth-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device

--token-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token

--userinfo-uri=URI

https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo

--scope=STR

OpenID 이메일

--idp-user-id=STR

email

--provider=okta

Okta에서 새 조직을 등록하면 새 기본 URL이 연결됩니다. ipa idp-add 명령에 --base-url 옵션을 사용하여 이 기본 URL을 지정할 수 있습니다.

[root@client ~]# ipa idp-add MyOkta --provider okta --base-url dev-12345.okta.com --client-id <your-client-id>

--provider=okta 를 선택하면 다음 옵션을 사용하도록 확장됩니다. --base-url 옵션에 지정하는 값은 표의 ${ipaidpbaseurl} 문자열을 대체합니다.

옵션현재의

--auth-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/authorize

--dev-auth-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/device/authorize

--token-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/token

--userinfo-uri=URI

https://${ipaidpbaseurl}/oauth2/v1/userinfo

--scope=STR

OpenID 이메일

--idp-user-id=STR

email