개요
OIDC(OpenID Connect)를 사용하여외부 ID 제공자(IdP)를 통해 Ops Manager 사용자 인증 및 권한 부여 관리 할수 있습니다. 인증된 세션 없이 Ops Manager 액세스 하려고 하면 Ops Manager 로그인 할 수 있도록 IdP로 리디렉션합니다. 인증이 완료되면 Ops Manager 로 돌아갑니다.
이 튜토리얼에서는 다음 방법을 설명합니다.
Ops Manager 에 대한 OIDC 인증 구성합니다.
OIDC 그룹을 Ops Manager 조직 역할 및 프로젝트 역할에 매핑합니다.
공개 API 사용하여 조직 및 프로젝트 역할 매핑을 관리합니다.
고려 사항
OIDC에HTTPS사용
일반적으로 Ops Manager , 특히 OIDC에는 HTTPS를 사용할 것을 적극 권장합니다. Ops Manager HTTPS를 사용하지 않는 경우 일부 IdP 통합이 제대로 작동하지 않을 수 있습니다.
전제 조건
OIDC 통합을 구성하려면 IdP에서 다음 작업을 수행해야 합니다.
역할 에 대한 그룹 Global Owner 만들고 여기에 사용자를 추가합니다.
절차
OIDC 인증 구성하려면 다음을 수행합니다.
인증 방법으로 OIDC를 선택합니다.
Ops Manager 에서 다음을 수행합니다.
Admin, General, Ops Manager Config, User Authentication를 클릭합니다.
User Authentication Method 옵션을 OIDC 로 설정합니다.
OIDC 연결 설정을 구성합니다.
필수 필드에 값을 지정한 다음 필요에 따라 선택적 필드를 설정하다 .
다음 표는 Ops Manager UI 필드를 구성 파일 필드에 매핑합니다.
Ops Manager UI 필드 | 구성 파일 필드 | 필수 사항 | 설명 |
|---|---|---|---|
Issuer URI |
| 예 | 발급자 URI 또는 OIDC 메타데이터 검색 문서 URL. |
Client ID |
| 예 | IdP가 Ops Manager 에 할당한 클라이언트 식별자입니다. |
Client Secret |
| 예 | IdP가 Ops Manager 에 할당한 클라이언트 암호입니다. |
Custom CA Certificate (PEM) |
| No | IdP에 연결할 때 신뢰할 수 있는 PEM 인코딩 CA 인증서(1개 또는 여러 개)입니다.IdP가 자체 서명된 또는 사설 CA 인증서를 사용할 때 사용합니다. 여러 인증서를 연결할 수 있습니다. |
Enable PKCE (Proof Key for Code Exchange) |
| 예 | 권한 부여 코드 흐름에 대한 PKCE 활성화. 기본값 으로 권장 및 활성화되어 있습니다.IdP가 기밀 클라이언트에 대한 PKCE를 지원 하지 않는 경우에만 비활성화합니다. |
Requested Scopes |
| No | Ops Manager 권한 부여 엔드포인트에 요청하는 범위 목록입니다. |
Service Provider Base URL |
| No | OIDC 서비스 제공자 의 기본 URL . 이 값을 설정하다 하지 않으면 Ops Manager 를 |
Global Role Owner Groups |
| 예 | 멤버에게 전역 소유자 역할 할당된 IdP 그룹의 쉼표로 구분된 목록입니다. 전역 소유자는 모든 관리 권한을 포함하여 이 배포서버 에 대한 전체 권한을 갖습니다. |
Global Automation Admin Groups |
| No | 멤버에게 전역 자동화 관리자 역할 할당된 IdP 그룹의 쉼표로 구분된 목록입니다. |
Global Backup Admin Groups |
| No | 멤버에게 전역 백업 관리자 역할 할당된 IdP 그룹의 쉼표로 구분된 목록입니다. |
Global Monitoring Admin Groups |
| No | 멤버에게 전역 모니터링 관리자 역할 할당된 IdP 그룹의 쉼표로 구분된 목록입니다. |
Global User Admin Groups |
| No | 멤버에게 전역 사용자 관리자 역할 할당된 IdP 그룹의 쉼표로 구분된 목록입니다. |
Global Read Only Groups |
| No | 멤버에게 글로벌 읽기 전용 역할 할당된 IdP 그룹의 쉼표로 구분된 목록입니다. |
OIDC Claim for User First Name |
| No | 사용자 이름이 포함된 클레임입니다. 기본값: |
OIDC Claim for User Last Name |
| No | 사용자 성이 포함된 클레임입니다. 기본값: |
OIDC Claim for User Email |
| No | 사용자 이메일 주소 포함된 클레임입니다. 기본값: |
OIDC Claim for Group Member |
| No | Ops Manager 역할을 프로젝트 및 조직에 매핑하는 데 사용하는 그룹 목록이 포함된 클레임입니다. 기본값: |
역할 매핑의 작동 방식
OIDC 역할 매핑은 SAML 역할 매핑과 동일한 방식으로 작동합니다. IdP 그룹을 조직 및 프로젝트의 Ops Manager 역할에 매핑합니다. 사용자가 로그인하면 Ops Manager 사용자의 그룹 멤버십에 따라 역할을 할당합니다.
조직 역할 매핑
조직 역할 매핑은 IdP 그룹을 조직 역할과 연결합니다.
조직 매핑 필드에는 다음이 포함됩니다.
조직 소유자 역할에 대한 OIDC 그룹
조직 프로젝트 생성자 역할을 위한 OIDC 그룹
조직 읽기 전용 OIDC 그룹 역할
조직 구성원 역할에 대한 OIDC 그룹
프로젝트 역할 매핑
프로젝트 역할 매핑은 IdP 그룹을 프로젝트 역할과 연결합니다.
프로젝트 매핑 필드에는 다음이 포함됩니다.
프로젝트 소유자 역할에 대한 OIDC 그룹
읽기 전용 역할에 대한 OIDC 그룹
자동화 관리자 역할을 위한 OIDC 그룹
백업 관리자 역할을 위한 OIDC 그룹
모니터링 관리자 역할을 위한 OIDC 그룹
사용자 관리자 역할에 대한 OIDC 그룹
데이터 액세스 관리자 역할을 위한 OIDC 그룹
데이터 액세스에 대한 OIDC 그룹 읽기 쓰기 역할
데이터 액세스 읽기 전용 OIDC 그룹 역할
공개 API 로 역할 매핑 관리
다음 공개 API의 필드 사용하여 프로그래밍 방식으로 IdP 역할 매핑을 관리 할 수 있습니다.idpGroupMappings
조직을 가져옵니다.
프로젝트를 가져옵니다.
조직을 만들고 업데이트 .
프로젝트를 만들고 업데이트 .
필드 는 Ops Manager 역할을 IdP 그룹에 매핑하는 배열 입니다.idpGroupMappings
{ "idpGroupMappings": [ { "idpGroups": [ "name_of_your_idp_group", "another_name_of_idp_group" ], "roleName": "GROUP_USER_ADMIN" } ] }
다음 값은 roleName 조직 에 유효합니다.
ORG_OWNERORG_GROUP_CREATORORG_BILLING_ADMINORG_READ_ONLYORG_MEMBER
다음 값은 roleName 프로젝트 에 유효합니다.
GROUP_OWNERGROUP_READ_ONLYGROUP_AUTOMATION_ADMINGROUP_BACKUP_ADMINGROUP_MONITORING_ADMINGROUP_USER_ADMINGROUP_BILLING_ADMINGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CHARTS_ADMINGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITOR
백 채널 로그아웃
Ops Manager OIDC 백 채널 로그아웃을 지원합니다.IdP가 로그아웃 토큰을 전송하면 Ops Manager 사용자의 세션을 무효화합니다.
엔드포인트
POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout
요청
서명된 JWT가 포함된 logout_token 매개변수를 사용하여 양식 인코딩 요청 보냅니다.
요구 사항:
유효한
sub(제목) 클레임을 포함합니다.대상 세션 무효화를 위해
sid(세션 ID) 클레임을 포함할 수 있습니다.
Ops Manager 서비스 제공자 시작한 로그아웃을 지원 하지 않습니다. 로그 아웃하려면 사용자는 IdP에서 로그 아웃해야 합니다.