OpenID Connect(OIDC) 인증 설정
- 인쇄
- PDF
OpenID Connect(OIDC) 인증 설정
- 인쇄
- PDF
기사 요약
이 요약이 도움이 되었나요?
의견을 보내 주셔서 감사합니다.
VPC 환경에서 이용 가능합니다.
주의
- Kubernetes 1.18 버전 이상부터 제공합니다.
- 1.18 이전 버전의 클러스터는 업그레이드 기능을 이용하여 요구되는 버전을 충족 후 사용할 수 있습니다.
- 하나의 OIDC 제공자만 설정 가능합니다.
- Ncloud Kubernetes Service가 공개 서명 키를 검색할 수 있도록 OIDC 제공자에 공개적으로 접근할 수 있어야 합니다.
- NAT Gateway 추가 및 Routing 설정이 필요합니다.
- Self Signed 인증서를 사용하는 OIDC 제공자는 지원하지 않습니다.
Ncloud Kubernetes Service 클러스터의 인증 방식으로 OpenID Connect(OIDC) 제공자를 추가할 수 있으며, OIDC 인증 사용자의 역할과 권한을 구성하여 권한을 부여할 수 있습니다.
참고
OIDC 인증에 관한 상세 정보는 Authentication 공식문서, 인증된 사용자의 역할과 권한 정보는 Using RBAC Authorization 공식문서에서 확인할 수 있습니다.
OIDC 인증 설정
- 필수 정보
- Issuer URL : API 서버가 공개 서명 키를 검색할 수 있도록 하는 OIDC 제공자의 URL입니다. https:// 체계를 사용하는 URL만 허용되며, 일반적으로 경로가 없는 OIDC 제공자의 검색 URL입니다(예: "https://oidc.example.com" 또는 "https://login.example.com"). 이 URL은 .well-known/openid-configuration 아래의 레벨을 가리켜야 하며 인터넷을 통해 접근 가능해야 합니다.
- Client ID : OIDC 제공자의 Client ID
- 부가 정보
- Username claim : 사용자의 username으로 사용할 JWT claim이며 기본값은 sub 입니다. 다른 플러그인과의 충돌을 막기 위해 email이 아닌 claim에는 Issuer URL이 접두사로 붙습니다.
- Groups claim : 사용자의 groups로 사용할 JWT claim 입니다. claim 이 있는 경우 문자열 배열이어야 합니다.
- Username prefix : 기존 username(예: system:users)과의 충돌을 방지하기 위해 Username claim앞에 접두사가 추가됩니다. 예를 들어 oidc: 값은 oidc:jane.doe와 같은 username을 생성합니다. Username prefix가 지정되지 않고 Username claim이 email 이외의 값인 경우 접두사의 기본값은 (Issuer URL)#입니다. -로 지정하여 모든 접두사를 사용하지 않도록 설정할 수 있습니다.
- Groups prefix : 기존 groups(예: system:group)과의 충돌을 방지하기 위해 Groups claim 앞에 접두사가 추가됩니다. 예를 들어 oidc: 값은 oidc:developers 및 oidc:tester 와 같은 그룹 이름을 생성합니다.
- Required claim : ID 토큰에 필수 claim을 지정하는 key=value 쌍입니다. 설정된 경우 ID 토큰에서 일치하는 claim이 있는지 확인합니다. ','로 구분하여 여러 claim을 지정합니다.
- **Kubernetes 서비스 > 클러스터 > 클러스터 설명 > OpenID Connect(OIDC)**에서 [수정] 버튼을 클릭합니다.
- 상태를 [설정]으로 변경하고 OIDC 인증 정보를 입력합니다.
- [확인] 버튼을 누르면 클러스터가 [설정중] 상태로 변경되고, OIDC 인증 설정 작업이 진행됩니다.
- OIDC 인증 설정이 완료되면 클러스터가 [운영중] 상태로 변경됩니다.
OIDC 인증 해제
- **Kubernetes 서비스 > 클러스터 > 클러스터 설명 > OpenID Connect(OIDC)**에서 [수정] 버튼을 클릭합니다.
- 상태를 [해제]으로 변경하고 [확인] 버튼을 누르면 클러스터가 [설정중] 상태로 변경되고, OIDC 인증 해제 작업이 진행됩니다.
- OIDC 인증 해제가 완료되면 클러스터가 [운영중] 상태로 변경됩니다.
이 문서가 도움이 되었습니까?