GKE Identity Service용 OIDC 공급업체 구성
이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. GKE ID 서비스에 대해 선택한 OpenID Connect(OpenID) ID 공급업체를 구성하는 방법을 설명합니다.
공급업체에 GKE Identity Service 등록
GKE Identity Service를 설정하려면 ID 공급업체의 단일 클라이언트 ID와 보안 비밀이 필요합니다. 이 ID와 보안 비밀은 사용자 인증 흐름의 일부로 공급업체에 연결할 때 GKE Identity Service에서 사용됩니다. 이를 가져오려면 선택한 공급업체의 표준 절차에 따라 GKE Identity Service를 공급업체에 클라이언트 애플리케이션으로 등록해야 합니다. 다음 섹션에서 많이 사용되는 제공업체에 대한 구체적인 등록 세부정보를 확인할 수 있습니다.
리디렉션 URL의 경우 다음 값을 지정합니다.
https://console.cloud.google.com/kubernetes/oidc
는 Google Cloud 콘솔의 리디렉션 URL입니다.http://localhost:PORT/callback
은 gcloud CLI의 리디렉션 URL입니다. 1,024보다 큰 포트 번호를 지정해야 합니다.APISERVER-URL:11001/finish-login
은 FQDN 액세스를 사용하여 인증을 선택한 경우의 리디렉션 URL입니다.APISERVER-URL
을 클러스터의 Kubernetes API 서버의 FQDN으로 바꿉니다. 예를 들어APISERVER-URL
이https://apiserver.company.com
이면redirect_uri
가https://apiserver.company.com:11001/finish-login
이어야 합니다.
등록 단계에서 가져는 클라이언트 ID 및 보안 비밀을 저장합니다. GKE Identity Service를 설정해야 하는 클러스터 관리자와 이 세부정보를 공유합니다.
ID 공급업체 설정 정보
이 섹션에서는 GKE Identity Service를 등록할 수 있도록 추가 공급업체별 정보를 제공합니다. 공급업체가 여기에 나와 있는 경우 다음 안내에 따라 공급업체에 GKE Identity Service를 클라이언트 애플리케이션으로 등록합니다.
Microsoft AD FS
AD FS 관리 마법사를 사용하여 AD FS 서버 및 AD 사용자 데이터베이스를 구성합니다.
AD FS 관리 창을 엽니다.
애플리케이션 그룹 > 작업 > 애플리케이션 그룹 추가를 선택합니다.
서버 애플리케이션을 선택합니다. 원하는 이름과 설명을 입력합니다. 다음을 클릭합니다.
위에 지정된 대로 리디렉션 URL 2개를 입력합니다. 클라이언트 ID가 제공됩니다. 이렇게 하면 AD FS 서버가 GKE Identity Service를 식별할 수 있습니다. 나중을 위해 클라이언트 ID를 저장합니다.
공유 보안 비밀 생성을 선택합니다. GKE Identity Service는 이 보안 비밀을 사용하여 AD FS 서버에 인증합니다. 나중을 위해 이 보안 비밀을 저장합니다.
보안 그룹 구성(선택사항)
AD FS 관리에서 신뢰 당사자 트러스트 또는 새 신뢰 당사자 트러스트 추가를 선택합니다.
클레임 인식을 선택하고 시작을 클릭합니다.
신뢰 당사자에 대한 수동 데이터 입력을 선택합니다.
표시 이름을 입력합니다.
다음 두 단계를 건너뜁니다.
신뢰 당사자 트러스트 식별자를 입력합니다. 제안사항:
token-groups-claim
액세스 제어 정책에 모두 허용을 선택합니다. 즉, 모든 사용자가 자신의 보안 그룹 정보를 gcloud CLI 및 Google Cloud 콘솔과 공유합니다.
마침을 클릭합니다.
클레임 이름에 LDAP 속성 매핑
AD FS 관리에서 신뢰 당사자 트러스트 > 클레임 발급 정책 편집을 선택합니다.
LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
클레임 규칙 이름에
groups
를 입력합니다.속성 저장소에 Active Directory를 선택합니다.
표에서 LDAP 속성에 대해 다음을 선택합니다.
- AD FS 버전 5.0 이상: 도메인 이름으로 정규화된 토큰 그룹
- 5.0 이전의 AD FS 버전: 토큰 그룹 - 정규화된 이름
보내는 클레임 유형에서 다음을 선택합니다.
- AD FS 버전 5.0 및 이후: Group
- AD FS 버전 5.0 이전: groups
마침을 클릭하고 적용을 클릭합니다.
AD FS에 GKE Identity Service 등록
관리자 모드에서 PowerShell 창을 열고 다음 명령어를 입력합니다.
Grant-AD FSApplicationPermission ` -ClientRoleIdentifier "[CLIENT_ID]" ` -ServerRoleIdentifier [SERVER_ROLE_IDENTIFIER] ` -ScopeName "allatclaims", "openid"
다음을 바꿉니다.
[CLIENT_ID]는 이전에 가져온 클라이언트 ID입니다.
[SERVER_ROLE_IDENTIFIER]는 이전에 입력한 클레임 식별자입니다. 제안된 식별자는
token-groups-claim
이었다는 것을 기억하세요.
Azure AD
Azure에 OAuth 클라이언트 등록
Azure에 OAuth 클라이언트를 등록하려면 다음 링크의 단계를 완료합니다.
아직 수행하지 않았으면 Azure Active Directory에서 테넌트를 설정합니다.
Microsoft ID 플랫폼에 애플리케이션 등록을 수행합니다.
Azure Portal에서 앱 등록 페이지를 열고 애플리케이션 이름을 선택합니다.
클라이언트 보안 비밀번호를 만듭니다.
Essentials에서 인증서 또는 보안 비밀 추가를 클릭합니다. 인증서 목록 및 보안 비밀 목록이 표시됩니다.
'새 클라이언트 암호'를 클릭합니다. 보안 비밀 이름을 지정하고 추가를 클릭합니다.
보안 비밀의 값*을 안전한 위치에 저장합니다. 페이지를 닫거나 새로고침한 후에는 이를 검색할 수 없습니다.
리디렉션 URI를 추가합니다.
애플리케이션 페이지로 돌아갑니다.
Essentials에서 리디렉션 URI 추가를 선택합니다. 인증 페이지가 표시됩니다.
플랫폼 추가을 선택하면 오른쪽에 플랫폼 구성 패널이 표시됩니다.
웹을 선택합니다. 리디렉션 URI에서 gcloud CLI 로그인 흐름에
http://localhost:PORT/callback
을 입력합니다. 1024보다 큰 PORT를 선택합니다. 구성 버튼을 클릭합니다.URI 추가 버튼을 클릭하여 Google Cloud 콘솔 로그인을 위한 다른 URI인
https://console.cloud.google.com/kubernetes/oidc
를 추가합니다.상단의 저장 버튼을 클릭합니다.
이제 클라이언트 등록이 완료되었습니다. 클러스터 관리자와 공유하려면 다음 정보가 있어야 합니다.
발급기관 URI:
https://login.microsoftonline.com/TENANT_ID/v2.0
. 테넌트 ID는 Azure Portal의 애플리케이션 페이지에Directory (tenant) ID
로 표시됩니다.클라이언트 ID: 클라이언트 ID는 Azure Portal의 애플리케이션 페이지에
Application (client) ID
로 표시됩니다.클라이언트 보안 비밀번호: 이 정보는 이전 단계에서 제공되었습니다. 보안 비밀을 만들 때 페이지를 닫았으면 이를 검색할 수 없습니다. 값을 안전한 위치에 저장합니다. 또는 이전 항목을 분실한 경우 새 보안 비밀을 생성합니다.
Azure AD 고급 설정
클러스터 사용자가 200개 넘는 Azure AD 그룹에 속하고, Azure AD 그룹 기반의 승인 정책으로 클러스터를 설정하려는 경우에만 이 고급 설정을 사용하세요. Azure AD 고급 설정은 다음 플랫폼을 지원합니다.
- 온프레미스 GKE 클러스터(VMware 및 베어메탈 모두): GKE Enterprise 1.14부터
- AWS용 Anthos 클러스터: GKE Enterprise 1.14부터(Kubernetes 버전 1.25 이상)
- Azure용 Anthos 클러스터: GKE Enterprise 1.14부터(Kubernetes 버전 1.25 이상)
- AWS용 Anthos 클러스터(이전 세대): GKE Enterprise 1.14부터
시작하기 전에 각 사용자에게 Azure AD에서 해당 식별자로 구성된 연관된 이메일 주소가 있는지 확인합니다. GKE Identity Service는 사용자의 이메일을 사용하여 사용자의 ID를 어설션하고 요청을 인증합니다.
이전 섹션에서 등록한 클라이언트에 Microsoft Graph API에서 사용자 및 그룹 정보를 가져올 수 있는 권한을 위임했는지 확인해야 합니다. 이러한 권한을 사용하면 GKE Identity Service 플러그인이 그룹 정보를 가져오는 Microsoft Graph API 엔드포인트에 액세스할 수 있습니다. 이 단계를 수행하지 않으면 GKE Identity Service에서 사용자 그룹을 나열할 수 없으며 그룹 기반 RBAC 승인 정책이 예상대로 작동하지 않습니다.
이 설정 단계를 수행하려면 전역 관리자나 조직 관리자 권한이 있어야 합니다.
- Azure 포털에 로그인합니다.
- 여러 테넌트에 대한 액세스 권한이 있는 경우 상단 메뉴의 디렉터리 + 구독 필터를 사용하여 클라이언트 앱 등록이 포함된 테넌트를 선택합니다.
- Azure Active Directory - 앱 등록을 선택한 다음 클라이언트 애플리케이션을 선택합니다.
- API 권한 - 권한 추가 - Microsoft Graph - 위임된 권한을 선택합니다.
- 그룹 탭에서 Group.Read.All을 선택합니다. 사용자 탭에서 User.Read.All을 선택합니다.
- 권한 추가를 클릭하여 프로세스를 완료합니다.
- 관리자 동의 부여... 버튼을 클릭하여 모든 사용자를 대신하여 동의를 부여합니다. 관리자 동의 부여에 대한 자세한 내용은 API 권한 및 관리자 동의에 대한 자세한 내용을 참조하세요.
ID 공급업체 세부정보 공유
클러스터 설정을 위해 다음 제공업체 정보를 클러스터 관리자와 공유합니다.
- 제공업체의 발급기관 URI
- 클라이언트 보안 비밀번호
- 클라이언트 ID
- gcloud CLI에 지정한 리디렉션 URI 및 포트
- 제공업체가 토큰에서 사용자를 식별하는 데 사용하는 사용자 이름 필드(클레임)(클러스터를 구성할 때 가정된 기본값은
sub
) - 제공업체가 보안 그룹을 반환하기 위해 사용하는 그룹 이름 필드(클레임)(있는 경우)
- 이전 섹션의 설명대로 제공업체와 관련된 모든 추가 범위 또는 매개변수 예를 들어 승인 서버에서 Microsoft Azure 및 Okta의 인증 동의를 요청하면 클러스터 관리자는
prompt=consent
를 매개변수로 지정해야 합니다. ADFS에서 보안 그룹 정보를 제공하도록 구성한 경우 관련 추가 매개변수는resource=token-groups-claim
(또는 신뢰 당사자 트러스트 식별자로 선택한 매개변수)입니다. - (선택사항) 제공업체가 공개 인증 기관에서 서명한 인증서를 사용하지 않는 경우(예: 자체 서명 인증서를 사용하는 경우) ID 공급업체의 인증서(또는 인증서 체인)가 필요합니다. 인증서(또는 인증서 체인)에는 최소한 루트 인증서가 포함되어야 합니다(체인이 루트 인증서까지 연속적으로 유지되는 한 부분 체인도 허용됨). ClientConfig에 이 값을 제공할 때는 base64 인코딩 문자열로 형식을 지정해야 합니다. 문자열을 만들려면 전체 PEM 인코딩 인증서를 단일 문자열로 연결한 후 이를 base64로 인코딩합니다.
클러스터 구성에 GKE Identity Service 구성 매개변수의 전체 목록이 표시됩니다.
다음 단계
클러스터 관리자는 개별 클러스터 또는 Fleet에 GKE Identity Service를 설정할 수 있습니다.