GKE Identity Service용 OIDC 공급업체 구성

Microsoft AD FS

AD FS 관리 마법사를 사용하여 AD FS 서버 및 AD 사용자 데이터베이스를 구성합니다.

1. AD FS 관리 창을 엽니다.

2. 애플리케이션 그룹 > 작업 > 애플리케이션 그룹 추가를 선택합니다.

3. 서버 애플리케이션을 선택합니다. 원하는 이름과 설명을 입력합니다. 다음을 클릭합니다.

4. 위에 지정된 대로 리디렉션 URL 2개를 입력합니다. 클라이언트 ID가 제공됩니다. 이렇게 하면 AD FS 서버가 GKE Identity Service를 식별할 수 있습니다. 나중을 위해 클라이언트 ID를 저장합니다.

5. 공유 보안 비밀 생성을 선택합니다. GKE Identity Service는 이 보안 비밀을 사용하여 AD FS 서버에 인증합니다. 나중을 위해 이 보안 비밀을 저장합니다.

보안 그룹 구성(선택사항)

1. AD FS 관리에서 신뢰 당사자 트러스트 또는 새 신뢰 당사자 트러스트 추가를 선택합니다.

2. 클레임 인식을 선택하고 시작을 클릭합니다.

3. 신뢰 당사자에 대한 수동 데이터 입력을 선택합니다.

4. 표시 이름을 입력합니다.

5. 다음 두 단계를 건너뜁니다.

6. 신뢰 당사자 트러스트 식별자를 입력합니다. 제안사항: token-groups-claim

7. 액세스 제어 정책에 모두 허용을 선택합니다. 즉, 모든 사용자가 자신의 보안 그룹 정보를 gcloud CLI 및 Google Cloud 콘솔과 공유합니다.

8. 마침을 클릭합니다.

클레임 이름에 LDAP 속성 매핑

1. AD FS 관리에서 신뢰 당사자 트러스트 > 클레임 발급 정책 편집을 선택합니다.

2. LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.

3. 클레임 규칙 이름에 groups를 입력합니다.

4. 속성 저장소에 Active Directory를 선택합니다.

5. 표에서 LDAP 속성에 대해 다음을 선택합니다.

   • AD FS 버전 5.0 이상: 도메인 이름으로 정규화된 토큰 그룹
   • 5.0 이전의 AD FS 버전: 토큰 그룹 - 정규화된 이름

6. 보내는 클레임 유형에서 다음을 선택합니다.

   • AD FS 버전 5.0 및 이후: Group
   • AD FS 버전 5.0 이전: groups

7. 마침을 클릭하고 적용을 클릭합니다.

AD FS에 GKE Identity Service 등록

관리자 모드에서 PowerShell 창을 열고 다음 명령어를 입력합니다.

Grant-AD FSApplicationPermission `
  -ClientRoleIdentifier "[CLIENT_ID]" `
 -ServerRoleIdentifier [SERVER_ROLE_IDENTIFIER] `
  -ScopeName "allatclaims", "openid"

다음을 바꿉니다.

• [CLIENT_ID]는 이전에 가져온 클라이언트 ID입니다.

• [SERVER_ROLE_IDENTIFIER]는 이전에 입력한 클레임 식별자입니다. 제안된 식별자는 token-groups-claim이었다는 것을 기억하세요.

Azure AD

Azure에 OAuth 클라이언트 등록

Azure에 OAuth 클라이언트를 등록하려면 다음 링크의 단계를 완료합니다.

1. 아직 수행하지 않았으면 Azure Active Directory에서 테넌트를 설정합니다.

2. Microsoft ID 플랫폼에 애플리케이션 등록을 수행합니다.

3. Azure Portal에서 앱 등록 페이지를 열고 애플리케이션 이름을 선택합니다.

4. 클라이언트 보안 비밀번호를 만듭니다.

   1. Essentials에서 인증서 또는 보안 비밀 추가를 클릭합니다. 인증서 목록 및 보안 비밀 목록이 표시됩니다.

   2. '새 클라이언트 암호'를 클릭합니다. 보안 비밀 이름을 지정하고 추가를 클릭합니다.

   3. 보안 비밀의 값*을 안전한 위치에 저장합니다. 페이지를 닫거나 새로고침한 후에는 이를 검색할 수 없습니다.

5. 리디렉션 URI를 추가합니다.

   1. 애플리케이션 페이지로 돌아갑니다.

   2. Essentials에서 리디렉션 URI 추가를 선택합니다. 인증 페이지가 표시됩니다.

   3. 플랫폼 추가을 선택하면 오른쪽에 플랫폼 구성 패널이 표시됩니다.

   4. 웹을 선택합니다. 리디렉션 URI에서 gcloud CLI 로그인 흐름에 http://localhost:PORT/callback을 입력합니다. 1024보다 큰 PORT를 선택합니다. 구성 버튼을 클릭합니다.

   5. URI 추가 버튼을 클릭하여 Google Cloud 콘솔 로그인을 위한 다른 URI인 https://console.cloud.google.com/kubernetes/oidc를 추가합니다.

   6. 상단의 저장 버튼을 클릭합니다.

이제 클라이언트 등록이 완료되었습니다. 클러스터 관리자와 공유하려면 다음 정보가 있어야 합니다.

• 발급기관 URI: https://login.microsoftonline.com/TENANT_ID/v2.0. 테넌트 ID는 Azure Portal의 애플리케이션 페이지에 Directory (tenant) ID로 표시됩니다.

• 클라이언트 ID: 클라이언트 ID는 Azure Portal의 애플리케이션 페이지에 Application (client) ID로 표시됩니다.

• 클라이언트 보안 비밀번호: 이 정보는 이전 단계에서 제공되었습니다. 보안 비밀을 만들 때 페이지를 닫았으면 이를 검색할 수 없습니다. 값을 안전한 위치에 저장합니다. 또는 이전 항목을 분실한 경우 새 보안 비밀을 생성합니다.

Azure AD 고급 설정

클러스터 사용자가 200개 넘는 Azure AD 그룹에 속하고, Azure AD 그룹 기반의 승인 정책으로 클러스터를 설정하려는 경우에만 이 고급 설정을 사용하세요. Azure AD 고급 설정은 다음 플랫폼을 지원합니다.

• 온프레미스 GKE 클러스터(VMware 및 베어메탈 모두): GKE Enterprise 1.14부터
• AWS용 Anthos 클러스터: GKE Enterprise 1.14부터(Kubernetes 버전 1.25 이상)
• Azure용 Anthos 클러스터: GKE Enterprise 1.14부터(Kubernetes 버전 1.25 이상)
• AWS용 Anthos 클러스터(이전 세대): GKE Enterprise 1.14부터

시작하기 전에 각 사용자에게 Azure AD에서 해당 식별자로 구성된 연관된 이메일 주소가 있는지 확인합니다. GKE Identity Service는 사용자의 이메일을 사용하여 사용자의 ID를 어설션하고 요청을 인증합니다.

이전 섹션에서 등록한 클라이언트에 Microsoft Graph API에서 사용자 및 그룹 정보를 가져올 수 있는 권한을 위임했는지 확인해야 합니다. 이러한 권한을 사용하면 GKE Identity Service 플러그인이 그룹 정보를 가져오는 Microsoft Graph API 엔드포인트에 액세스할 수 있습니다. 이 단계를 수행하지 않으면 GKE Identity Service에서 사용자 그룹을 나열할 수 없으며 그룹 기반 RBAC 승인 정책이 예상대로 작동하지 않습니다.

이 설정 단계를 수행하려면 전역 관리자나 조직 관리자 권한이 있어야 합니다.

1. Azure 포털에 로그인합니다.
2. 여러 테넌트에 대한 액세스 권한이 있는 경우 상단 메뉴의 디렉터리 + 구독 필터를 사용하여 클라이언트 앱 등록이 포함된 테넌트를 선택합니다.
3. Azure Active Directory - 앱 등록을 선택한 다음 클라이언트 애플리케이션을 선택합니다.
4. API 권한 - 권한 추가 - Microsoft Graph - 위임된 권한을 선택합니다.
5. 그룹 탭에서 Group.Read.All을 선택합니다. 사용자 탭에서 User.Read.All을 선택합니다.
6. 권한 추가를 클릭하여 프로세스를 완료합니다.
7. 관리자 동의 부여... 버튼을 클릭하여 모든 사용자를 대신하여 동의를 부여합니다. 관리자 동의 부여에 대한 자세한 내용은 API 권한 및 관리자 동의에 대한 자세한 내용을 참조하세요.