9.10. 첫 번째 로그인 흐름

사용자가 ID 브로커를 통해 로그인하면 Red Hat Single Sign-On은 영역의 로컬 데이터베이스 내에서 사용자의 측면을 가져와서 링크합니다. Red Hat Single Sign-On이 외부 ID 공급자를 통해 사용자를 성공적으로 인증하면 다음 두 가지 상황이 발생할 수 있습니다.

  • Red Hat Single Sign-On은 이미 인증된 ID 공급자 계정으로 사용자 계정을 가져오고 연결했습니다. 이 경우 Red Hat Single Sign-On은 기존 사용자로 인증되고 다시 애플리케이션으로 리디렉션됩니다.
  • Red Hat Single Sign-On에 이 사용자에 대한 계정이 없습니다. 일반적으로 새 계정을 Red Hat Single Sign-On 데이터베이스에 등록하고 가져오지만 동일한 이메일 주소가 있는 기존 Red Hat Single Sign-On 계정이 있을 수 있습니다. 기존 로컬 계정을 외부 ID 공급자와 자동으로 연결하는 것은 잠재적인 보안 결함입니다. 외부 ID 공급자로부터 얻은 정보를 항상 신뢰할 수는 없습니다.

조직마다 이러한 상황 중 일부를 처리할 때 요구 사항이 다릅니다. Red Hat Single Sign-On을 사용하면 IDP 설정에서 First Login Flow 옵션을 사용하여 외부 IDP에서 로그인하는 사용자에 대한 워크플로 를 처음 선택할 수 있습니다. 기본적으로 첫 번째 로그인 흐름 옵션은 첫 번째 브로커 로그인 흐름을 가리키지만 다른 ID 공급자에 대한 흐름 또는 다른 흐름을 사용할 수 있습니다.By default, the First Login Flow option points to the first broker login flow, but you can use your flow or different flows for different identity providers.

흐름은 인증 탭의 Admin Console에 있습니다. 첫 번째 브로커 로그인 흐름을 선택하면 기본적으로 사용되는 인증자가 표시됩니다. 기존 흐름을 다시 설정할 수 있습니다. 예를 들어 일부 인증기를 비활성화하고, 일부를 필요에 따라 표시하거나, 일부 인증자를 구성할 수 있습니다.

9.10.1. 기본 첫 번째 로그인 흐름 인증기

프로필 검토
  • 이 인증기에는 프로필 정보 페이지가 표시되므로 사용자는 ID 공급자에서 Red Hat Single Sign-On에서 검색하는 프로필을 검토할 수 있습니다.
  • Actions 메뉴에서 Update Profile On First Login 옵션을 설정할 수 있습니다.
  • ON 으로 하면 사용자 ID를 페더레이션하기 위해 추가 정보를 요청하는 프로필 페이지가 사용자에게 제공됩니다.
  • 누락된 경우 ID 공급자가 이메일, 이름 또는 성과 같은 필수 정보를 제공하지 않는 경우 프로필 페이지가 표시됩니다.
  • OFF 인 경우 사용자가 Confirm Link Existing Account authenticator에 표시된 페이지의 Review profile info 링크에서 이후 단계를 클릭하지 않는 한 프로필 페이지가 표시되지 않습니다.
고유한 경우 사용자 생성

이 인증자는 ID 공급자의 계정과 동일한 이메일 또는 사용자 이름이 이미 있는 기존 Red Hat Single Sign-On 계정이 있는지 확인합니다. 그렇지 않은 경우 인증자는 새 로컬 Red Hat Single Sign-On 계정을 생성하여 ID 공급자와 연결하므로 전체 흐름이 완료됩니다. 그렇지 않으면 다음 Handle Existing Account 하위 흐름으로 이동합니다. 중복된 계정이 없음을 항상 확인하려면 이 인증 프로그램을 REQUIRED 로 표시할 수 있습니다. 이 경우 기존 Red Hat Single Sign-On 계정이 있고 사용자가 계정 관리를 통해 ID 공급자 계정을 연결해야 하는 경우 오류 페이지가 표시됩니다.

  • 이 인증자는 ID 공급자 계정과 동일한 이메일 또는 사용자 이름을 가진 Red Hat Single Sign-On 계정이 이미 있는지 확인합니다.
  • 계정이 없는 경우 인증자는 로컬 Red Hat Single Sign-On 계정을 생성하고 이 계정을 ID 공급자와 연결한 후 흐름을 종료합니다.
  • 계정이 있는 경우 인증자는 다음 Handle Existing Account 하위 흐름을 구현합니다.
  • 중복된 계정이 없는지 확인하려면 이 인증을 REQUIRED 로 표시할 수 있습니다. 사용자가 Red Hat Single Sign-On 계정이 있고 계정 관리를 통해 ID 공급자 계정을 연결해야 하는 경우 오류 페이지가 표시됩니다.
링크 기존 계정 확인
  • 정보 페이지에서 사용자는 동일한 이메일의 Red Hat Single Sign-On 계정을 볼 수 있습니다. 사용자는 프로필을 다시 검토하고 다른 이메일 또는 사용자 이름을 사용할 수 있습니다. 흐름이 다시 시작되고 Review Profile authenticator로 돌아갑니다.
  • 또는 사용자가 ID 공급자 계정을 기존 Red Hat Single Sign-On 계정과 연결할지 확인할 수 있습니다.
  • 사용자가 이 확인 페이지를 보고 이메일 확인 또는 재인증을 통해 ID 공급자 계정을 바로 연결하는 것을 원하지 않는 경우 이 인증 정보를 비활성화합니다.
이메일별 기존 계정 확인
  • 이 인증자는 기본적으로 iPXEN ATIVE입니다. Red Hat Single Sign-On은 영역에 SMTP 설정이 구성된 경우 이 인증자를 사용합니다.
  • authenticator는 사용자에게 이메일을 전송하여 ID 공급자를 Red Hat Single Sign-On 계정과 연결하려는지 확인합니다.
  • 이메일을 통해 링크를 확인하지 않고 사용자가 암호를 다시 인증하도록 하려면 이 인증기를 비활성화합니다.
재인증으로 기존 계정 확인
  • 이메일 인증기를 사용할 수 없는 경우 이 인증기를 사용합니다. 예를 들어 영역에 대해 SMTP를 구성하지 않았습니다. 이 인증기에는 사용자가 인증하여 Red Hat Single Sign-On 계정을 ID 공급자와 연결할 수 있는 로그인 화면이 표시됩니다.
  • 사용자는 Red Hat Single Sign-On 계정에 이미 연결된 다른 ID 공급자로 다시 인증할 수도 있습니다.
  • 사용자가 OTP를 사용하도록 강제할 수 있습니다. 그렇지 않으면 사용자 계정에 OTP를 설정한 경우 선택 사항이며 사용됩니다.

9.10.3. 자동 사용자 생성 비활성화

Default 첫 번째 로그인 흐름은 외부 ID와 일치하는 Red Hat Single Sign-On 계정을 조회하여 링크를 제공합니다. 일치하는 Red Hat Single Sign-On 계정이 없으면 흐름이 자동으로 생성됩니다.

이 기본 동작은 일부 설정에 적합하지 않을 수 있습니다. 한 가지 예는 모든 사용자가 미리 생성된 읽기 전용 LDAP 사용자 저장소를 사용하는 경우입니다. 이 경우 자동 사용자 생성을 전환해야 합니다.

사용자 생성을 비활성화하려면 다음을 수행합니다.

절차

  1. 메뉴에서 인증을 클릭합니다.
  2. 목록에서 First Broker Login 을 선택합니다.
  3. Create user if unique to DISABLED 를 설정합니다.
  4. Link Existing AccountDISABLED 로 설정합니다.

또한 Red Hat Single Sign-On 자체는 외부 ID에 해당하는 내부 계정을 확인할 수 없습니다. 따라서 Verify Existing Account By Re-authentication authenticator는 사용자에게 사용자 이름과 암호를 모두 제공하도록 요청합니다.

9.10.4. 기존 사용자 첫 번째 로그인 흐름 감지

다음과 같은 첫 번째 로그인 흐름을 구성하려면 다음을 수행합니다.

  • 이 영역에 이미 등록된 사용자만 로그인할 수 있습니다.
  • 사용자는 메시지가 표시되지 않고 자동으로 연결됩니다.

다음 두 개의 인증기를 사용하여 새 흐름을 만듭니다.

기존 브로커 사용자 감지
이 인증기를 통해 고유한 사용자가 처리됩니다. 인증기 요구 사항을 Mandatory 로 설정합니다.
기존 사용자 자동 설정
확인 없이 기존 사용자를 인증 컨텍스트로 자동 설정합니다. 인증기 요구 사항을 Mandatory 로 설정합니다.

ID 공급자 구성의 첫 번째 로그인 흐름을 해당 흐름에 설정해야 합니다. 사용자 프로필(Last Name, First Name…​)을 ID 공급자 속성으로 업데이트하려면 Sync Modeforce 로 설정할 수 있습니다.

참고

이 흐름은 다른 ID 공급자(예: github, facebook …​)에 ID를 위임하지만 로그인할 수 있는 사용자를 관리하려는 경우 사용할 수 있습니다.

이 구성을 사용하면 Red Hat Single Sign-On에서 외부 ID에 해당하는 내부 계정을 확인할 수 없습니다. Re-authentication 인증 정보 확인 에서 공급자에게 사용자 이름 및 암호를 요청합니다.