SaltStack Config에 대한 새 SAML 구성을 생성하기 전에 구성 프로세스에 익숙해지도록 다음 단계를 읽어보십시오.
사전 구성 단계
SaltStack Config에서 SAML을 구성하기 전에:
- SAML IdP(ID 제공자)를 설치하고 실행 중인지 확인합니다. 이 항목에서는 IdP 설치에 대한 지침을 제공하지 않습니다. 지원이 필요하면 IdP 관리자에게 문의하십시오.
- IdP에서 제공한 자격 증명 및 구성 데이터에 대한 액세스 권한이 있는지 확인합니다. 또한 서비스 제공자 인증서의 생성에 대한 다음 섹션을 참조하십시오.
서비스 제공자 인증서 생성
IdP를 사용하여 SaltStack Config를 승인된 서비스 제공자로 추가하려면 인증서를 생성해야 합니다. SaltStack Config 서비스 제공자는 RSA 키 쌍이 필요합니다. SaltStack Config에 대한 SAML을 구성할 때는 여러 위치에 개인 및 공용 키 값을 입력합니다.
인증서를 생성하려면:
- 다음 명령을 사용하여 cert.perm이라는 개인 키를 생성합니다.
openssl genrsa -out cert.pem 2048
- 이전 단계에서 생성한 개인 키와 연결된 공용 키를 생성합니다. 다음 명령은 프로세스를 안내합니다.
openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
- 이 명령이 실행될 때 다음과 같이 필요에 따라 프롬프트에 응답합니다.
- 국가 이름
- 시/도 이름
- 구/군/시 또는 도시 이름
- 조직 또는 회사 이름
- 조직 구성 단위 이름
- 서버 호스트 이름
- 이메일 주소
이제 SAML 구성에 사용될 공용 및 개인 키 쌍이 있습니다. 나머지 구성 프로세스를 진행할 때 쉽게 액세스할 수 있도록 공용 및 개인 키 쌍을 기록해둡니다. 다음 섹션으로 이동하여 SAML 구성 설정에 대한 지침을 참조하십시오.
SAML 구성 설정
이 섹션의 단계를 완료하려면 먼저 SaltStack Config에 대한 공용 및 개인 키를 서비스 제공자로 생성해야 합니다. 자세한 지침은 서비스 제공자 인증서 생성을 참조하십시오.
SaltStack Config에서 조직의 기본 IdP를 사용하여 SAML SSO를 설정하려면:
- 사이드 메뉴에서 관리 > 인증을 클릭합니다.
- 생성을 클릭합니다.
- 구성 유형 메뉴에서 SAML을 선택합니다.
SAML 구성 유형에 대해 지원되는 설정이 업무 공간에 표시됩니다.
- 설정 탭에서 다음 필드를 SaltStack Config 설치에 대한 정보로 채웁니다.
- 이름
- 기본 URI
- 엔티티 ID
- 회사 이름
- 표시 이름
- 웹사이트
참고: 이러한 필드에 대한 설명은 SAML 정보 필드를 참조하십시오. - 개인 키 필드에는 SaltStack Config에 대한 서비스 제공자 인증서를 만들 때 생성한 개인 키를 복사합니다. 자세한 내용은 서비스 제공자 인증서 생성을 참조하십시오.
- 공용 키 필드에는 SaltStack Config에 대한 서비스 제공자 인증서를 만들 때 생성한 공용 키를 복사합니다.
- 다음에 해당하는 연락처 정보를 필드에 입력합니다.
- 기술 담당자
- 지원 연락처
- 제공자 정보 섹션의 다음 필드에는 IdP(ID 제공자)에 대한 메타데이터를 입력합니다.
- 엔티티 ID
- 사용자 ID
- 이메일
- 사용자 이름
- URL
- x509 인증서
참고: ADFS, Azure AD 및 Google SAML은 일반적인 ID 제공자의 예입니다. 위의 필드는 IdP에서 제공한 정보로 채워야 합니다. 이러한 필드에 대한 자세한 내용은 SAML 정보 필드를 참조하십시오. - 선택 사항: SaltStack Config가 사용자 프로파일에 대한 SAML Attribute 문을 확인하도록 하려면 Attribute 문 확인 확인란을 선택합니다. 이 옵션은 기본적으로 선택되어 있습니다.
- 저장을 클릭합니다.
이제 SaltStack Config에 대한 SAML 구성이 완료되었습니다. 다음 섹션으로 이동하여 서비스 제공자 정보로 IdP 구성에 대한 지침을 참조하십시오.
서비스 제공자 정보로 IdP 구성
이 섹션의 단계를 완료하려면 먼저 SaltStack Config에서 SAML을 구성해야 합니다. 자세한 내용은 SAML 구성 설정에 대한 지침을 참조하십시오.
SAML 구성을 완료하려면 ID 제공자에게 두 가지 중요한 데이터가 필요합니다.
- AssertionCustomerService URL
- SaltStack Config에 대한 서비스 제공자 인증서를 만들 때 생성한 공용(x509) 인증서(공용 키). 자세한 내용은 서비스 제공자 인증서 생성을 참조하십시오.
AssertionCustomerService URL은 서비스 제공자가 ID 어설션을 설정할 때 SAML 메시지 및 아티팩트를 수락하는 데 사용하는 웹 주소입니다. 이 경우에는 SaltStack Config가 서비스 제공자입니다.
다음은 AssertionCustomerService URL의 일반적인 형식의 예입니다. https://<your-sse-hostname>/auth/complete/saml
이 데이터를 IdP에 제공한 후 다음 섹션으로 이동하여 특성 매핑 생성에 대한 지침을 참조하십시오.
특성 매핑 생성
SaltStack Config는 인바운드 SAML 어설션에서 사용자에 대한 정보를 끌어옵니다. 따라서 IdP는 필수 값이 추가 특성으로 전송되도록 해야 합니다. 이러한 특성을 매핑하는 프로세스는 각 SAML ID 제공자마다 다릅니다. 특성 매핑을 생성하는 데 도움이 필요하면 IdP의 설명서를 참조하거나 관리자에게 문의하십시오.
SaltStack Config는 사용자의 다음과 같은 특성을 정의해야 합니다.
- 사용자 ID
- 이메일
- 사용자 이름
이러한 세 가지 값을 모두 사용자의 이메일 주소라는 단일 특성에 매핑하는 조직이 많습니다. 사용자의 이메일 주소는 일반적으로 조직 전체에서 고유하기 때문에 자주 사용됩니다.
SAML에 대한 RBAC 구성
SaltStack Config는 다양한 역할의 사용자에 대한 역할 및 사용 권한 생성을 지원합니다. SAML용 RBAC는 자격 증명이 기본적으로 API(RaaS) 서버의 SaltStack Config에 저장되는 사용자를 관리하는 것과 동일한 방식으로 관리됩니다. 역할 업무 공간에 대한 자세한 내용은 역할 및 사용 권한을 참조하십시오.
역할을 생성한 후에는 SAML 사용자를 추가하고 역할에 할당할 수 있습니다. 자세한 내용은 사용자 추가에 대한 다음 섹션을 참조하십시오.
사용자 추가
기본적으로 새 사용자는 사용자가 SAML로 처음 로그인한 후에만 SaltStack Config에 등록됩니다. 또는 사용자를 수동으로 추가하여 SaltStack Config에서 해당 사용자를 미리 등록할 수 있습니다.
사용자를 수동으로 추가하려면:
- 인증 업무 공간의 인증 구성 목록에서 SAML 구성을 선택하여 구성 설정을 엽니다.
- 구성 설정에서 사용자 탭을 클릭합니다.
- 생성 버튼을 클릭합니다.
- 사용자 이름 필드에 추가하려는 사용자의 자격 증명을 입력합니다. 이 사용자 이름은 할당된 SAML 사용자 이름과 동일해야 합니다.
참고: 이 사용자 이름은 정확해야 합니다. 사용자가 생성되면 사용자 이름을 변경하거나 이름을 바꿀 수 없습니다.
- 역할 필드에서 사용자를 추가할 역할을 선택합니다. 모든 새 사용자는 기본적으로 사용자 역할에 추가됩니다. 자세한 내용은 SAML에 대한 RBAC 구성을 참조하십시오.
- 저장을 클릭합니다.
참고: 사용자를 수동으로 생성하면 처음으로 로그인하기 전에만 삭제할 수 있습니다. 사용자가 처음 로그인한 후에도 이 업무 공간에 삭제 버튼은 계속 표시되지만 더 이상 작동하지 않습니다.
구성 문제 해결 및 유효성 검사
SaltStack Config에서 SSO를 구성한 후에는 일반 사용자로 로그인하여 로그인 프로세스가 예상대로 작동하는지, 역할 및 사용 권한이 올바른지 확인해야 합니다.
잠재적인 오류를 해결하려면 다음을 시도합니다.
- Firefox 및 Chrome 웹 브라우저에서 사용할 수 있는 SAML 추적 도구를 사용합니다.
/var/log/raas/raas
로그 메시지를 봅니다.