OpenID Connect(OIDC) 인증 설정

VPC 환경에서 이용 가능합니다.

Ncloud Kubernetes Service 클러스터의 인증 방식으로 OpenID Connect(OIDC) 제공자를 추가할 수 있으며, OIDC 인증 사용자의 역할과 권한을 구성하여 권한을 부여할 수 있습니다.

OIDC 인증 설정

• 필수 정보
  • Issuer URL: API 서버가 공개 서명 키를 검색할 수 있도록 하는 OIDC 제공자의 URL입니다. https:// 체계를 사용하는 URL만 허용되며, 일반적으로 경로가 없는 OIDC 제공자의 검색 URL입니다(예: https://oidc.example.com 또는 https://login.example.com). 이 URL은 .well-known/openid-configuration 아래의 레벨을 가리켜야 하며 인터넷을 통해 접근 가능해야 합니다.
  • Client ID: OIDC 제공자의 Client ID
• 부가 정보
  • Username claim: 사용자의 username으로 사용 claim이며 기본값은 sub 입니다. 다른 플러그인과의 충돌을 막기 위해 email이 아닌 claim에는 Issuer URL이 접두사로 붙습니다.
  • Groups claim: 사용자의 groups로 사용할 JWT claim 입니다. claim 이 있는 경우 문자열 배열이어야 합니다.
  • Username prefix: 기존 username(예: system:users)과의 충돌을 방지하기 위해 Username claim앞에 접두사가 추가됩니다. 예를 들어 oidc: 값은 oidc:jane.doe와 같은 username을 생성합니다. Username prefix가 지정되지 않고 Username claim이 email 이외의 값인 경우 접두사의 기본값은 (Issuer URL)#입니다. -로 지정하여 모든 접두사를 사용하지 않도록 설정할 수 있습니다.
  • Groups prefix: 기존 groups(예: system:group)과의 충돌을 방지하기 위해 Groups claim 앞에 접두사가 추가됩니다. 예를 들어 oidc: 값은 oidc:developers 및 oidc:tester 와 같은 그룹 이름을 생성합니다.
  • Required claim: ID 토큰에 필수 claim을 지정하는 key=value 쌍입니다. 설정된 경우 ID 토큰에서 일치하는 claim이 있는지 확인합니다. ','로 구분하여 여러 claim을 지정합니다.

1. Kubernetes 서비스 > 클러스터 > 클러스터 설명 > OpenID Connect(OIDC) 에서 [수정] 버튼을 클릭합니다.
2. 상태를 설정으로 변경하고 OIDC 인증 정보 입력해 주십시오.
3. [확인] 버튼을 누르면 클러스터가 설정중 상태로 변경되고, OIDC 인증 설정 작업 진행됩니다.
4. OIDC 인증 설정이 완료되면 클러스터가 운영중 상태로 변경됩니다.

OIDC 인증 해제

1. Kubernetes 서비스 > 클러스터 > 클러스터 설명 > OpenID Connect(OIDC) 에서 [수정] 버튼을 클릭합니다.
2. 상태를 해제으로 변경하고 [확인] 버튼을 누르면 클러스터가 설정중 상태로 변경되고, OIDC 인증 해제 작업이 진행됩니다.
3. OIDC 인증 해제가 완료되면 클러스터가 운영중 상태로 변경됩니다.