외부 인가 컨트롤

Tier: Free, Premium, Ultimate Offering: Self-managed

  • GitLab Premium에서 11.10으로 GitLab Free로 이동되었습니다.

고도로 통제된 환경에서는 프로젝트 분류 및 사용자 액세스에 따라 액세스 정책을 외부 서비스에 의해 제어해야 할 수도 있습니다. GitLab은 사용자가 정의한 서비스로 프로젝트 인가를 확인할 수 있는 방법을 제공합니다.

외부 서비스가 구성되고 활성화된 후에 프로젝트에 액세스하면 사용자 정보와 프로젝트 분류 레이블이 해당 프로젝트에 할당됩니다. 서비스가 알려진 응답을 반환하면 결과가 6시간 동안 캐시됩니다.

외부 인가가 활성화되면 GitLab은 교차 프로젝트 데이터를 렌더링하는 페이지 및 기능을 추가로 차단합니다. 이는 다음을 포함합니다:

  • 대시보드 아래 대부분의 페이지 (활동, 마일스톤, 코드 스니펫, 할당된 Merge Request, 할당된 이슈, 할 일 디렉터리).
  • 특정 그룹 아래 페이지 (활동, 기여 분석, 이슈, 이슈 보드, 레이블, 마일스톤, Merge Request).
  • 전역 및 그룹 검색이 비활성화됩니다.

이는 한꺼번에 너무 많은 요청을 수행하는 것을 방지하기 위한 것입니다.

액세스가 허용되거나 거부될 때마다 이러한 사항은 external-policy-access-control.log라는 로그 파일에 기록됩니다. GitLab이 유지하는 로그에 대해 자세히 알아보려면 Linux 패키지 설명서를 확인하세요.

자체 서명된 인증서를 사용하여 TLS 인증을 하는 경우 CA 인증서는 OpenSSL 설치에서 신뢰해야 합니다. Linux 패키지를 사용하여 GitLab을 설치하는 경우, Linux 패키지 설명서에서 사용자 정의 CA를 설치하는 방법을 알아보세요. 또는 openssl version -d를 사용하여 사용자 정의 인증서를 설치할 위치를 알아보세요.

구성

외부 인가 서비스는 관리자에 의해 활성화할 수 있습니다:

  1. 왼쪽 사이드바에서 하단에서 관리 영역을 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 외부 인가를 확장합니다.
  4. 필드를 완성합니다.
  5. 변경 사항 저장을 선택합니다.

배포 토큰 및 배포 키를 사용하여 외부 인가 허용

  • GitLab 15.9에 도입되었습니다.
  • GitLab 16.0에서는 더 이상 배포 토큰이 컨테이너 또는 패키지 레지스트리에 액세스할 수 없습니다.

인증 URL을 사용하지 않는 분류 레이블을 사용 중이어야 합니다.

배포 토큰 및 키로 인가를 허용하려면:

  1. 왼쪽 사이드바에서 하단에서 관리 영역을 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 외부 인가를 확장하고:
    • 서비스 URL 필드를 비워 둡니다.
    • 배포 토큰 및 배포 키를 외부 인가에 사용하도록 허용을 선택합니다.
  4. 변경 사항 저장을 선택합니다.
caution
외부 인가를 활성화하면 배포 토큰이 컨테이너나 패키지 레지스트리에 액세스할 수 없습니다. 배포 토큰을 이러한 레지스트리에 액세스하는 데 사용하는 경우 이 조치는 토큰을 사용하는 방법을 막습니다. 레지스트리에 토큰을 사용하려면 외부 인가를 비활성화하세요.

작동 방식

GitLab이 액세스를 요청하면 해당 사용자 정보를 가진 JSON POST 요청이 외부 서비스로 전송됩니다. 

{
  "user_identifier": "jane@acme.org",
  "project_classification_label": "project-label",
  "user_ldap_dn": "CN=Jane Doe,CN=admin,DC=acme",
  "identities": [
    { "provider": "ldap", "extern_uid": "CN=Jane Doe,CN=admin,DC=acme" },
    { "provider": "bitbucket", "extern_uid": "2435223452345" }
  ]
}

user_ldap_dn은 선택 사항이며 사용자가 LDAP을 통해 로그인한 경우에만 전송됩니다.

identities에는 사용자와 관련된 모든 신분에 대한 세부 정보가 포함됩니다. 사용자와 관련된 신분이 없는 경우에는 빈 배열입니다.

외부 인가 서비스가 상태 코드 200으로 응답하면 사용자에게 액세스가 허용됩니다. 외부 서비스가 상태 코드 401 또는 403으로 응답하면 사용자에게 액세스가 거부됩니다. 어떤 경우에도 요청은 6시간 동안 캐시됩니다.

액세스 거부 시 JSON 본문에 reason을 선택하여 지정할 수 있습니다. 

{
  "reason": "이 프로젝트에 액세스할 수 없습니다."
}

상태 코드 200, 401 또는 403 이외의 다른 상태 코드는 모두 사용자에게 액세스를 거부하지만 응답은 캐시되지 않습니다.

서비스가 타임아웃되면(500ms 후) “외부 정책 서버가 응답하지 않았습니다” 메시지가 표시됩니다.

분류 레이블

프로젝트의 설정 > 일반 > 일반 프로젝트 설정 페이지에서 자체 분류 레이블을 사용할 수 있습니다. 프로젝트에 분류 레이블이 지정되지 않은 경우 전역 설정에서 정의된 기본 레이블이 사용됩니다.

모든 프로젝트 페이지에서 우측 상단에 레이블이 표시됩니다.

프로젝트 페이지의 분류 레이블