• Azure AD 애플리케이션 및 서비스 프린시펄 생성
• Azure AD 페더레이티드 ID 자격 증명 생성
• 서비스 프린시펄에 대한 권한 부여
• 임시 자격 증명 검색
• 문제 해결
  • “일치하는 연합 ID 레코드를 찾을 수 없음”
  • “외부 OIDC 엔드포인트로의 요청 실패” 메시지
  • “표시된 주장 청중을 위한 일치하는 연합 ID 레코드를 찾을 수 없음” 메시지

Azure에서 일시적 자격 증명을 검색하도록 Azure에서 OpenID Connect 구성

이 자습서는 GitLab CI/CD 작업에서 Azure에서 임시 자격 증명을 검색하는 방법을 보여줍니다. 이 과정에서 비밀을 저장할 필요 없이 Azure와 통합하여 JSON 웹 토큰(JWT)을 사용합니다.

시작하려면 GitLab과 Azure 간의 ID 연동을 위해 OpenID Connect (OIDC)를 구성하세요. GitLab을 사용하여 OIDC를 사용하는 자세한 내용은 클라우드 서비스에 연결을 참조하세요.

Azure는 조건부 역할의 subjects에 와일드카드 매칭을 지원하지 않습니다. Azure에 액세스해야 하는 각 브랜치에 대해 별도의 자격 증명 구성이 필요합니다.

전제 조건:

• ‘소유자’ 액세스 수준이 있는 기존 Azure 구독에 액세스할 수 있어야 합니다.
• 적어도 ‘애플리케이션 개발자’ 액세스 수준이 있는 해당 Azure Active Directory 테넌트에 액세스해야 합니다.
• Azure CLI의 로컬 설치. 또는 Azure Cloud Shell을 사용할 수 있습니다.
• Azure가 GitLab OIDC 엔드포인트에 연결하려면 GitLab 인스턴스가 인터넷을 통해 공개적으로 접근 가능해야 합니다.
• GitLab 프로젝트가 있어야 합니다.

이 자습서를 완료하려면:

1. Azure AD 애플리케이션 및 서비스 프린시펄 생성.
2. Azure AD 페더레이티드 ID 자격 증명 생성.
3. 서비스 프린시펄에 대한 권한 부여.
4. 임시 자격 증명 검색.

추가 정보는 Azure의 Workload identity federation 문서를 확인하세요.

Azure AD 애플리케이션 및 서비스 프린시펄 생성

Azure AD 애플리케이션 및 서비스 프린시펄을 생성하려면:

1. Azure CLI에서 AD 애플리케이션을 생성하세요:

   appId=$(az ad app create --display-name gitlab-oidc --query appId -otsv)
   

   이후 GitLab CI/CD 파이프라인을 구성할 때 나중에 사용할 appId (애플리케이션 클라이언트 ID) 출력을 저장하세요.

2. 해당 서비스 프린시펄을 생성하세요:

   az ad sp create --id $appId --query appId -otsv
   

Azure CLI 대신 Azure Portal을 사용하여 이러한 리소스를 생성할 수도 있습니다.

Azure AD 페더레이티드 ID 자격 증명 생성

위의 Azure AD 애플리케이션에 대한 페더레이티드 ID 자격 증명을 생성하려면:

objectId=$(az ad app show --id $appId --query id -otsv)

cat <<EOF > body.json
{
  "name": "gitlab-federated-identity",
  "issuer": "https://gitlab.example.com",
  "subject": "project_path:<mygroup>/<myproject>:ref_type:branch:ref:<branch>",
  "description": "GitLab service account federated identity",
  "audiences": [
    "https://gitlab.example.com"
  ]
}
EOF

az rest --method POST --uri "https://graph.microsoft.com/beta/applications/$objectId/federatedIdentityCredentials" --body @body.json

issuer, subject, 또는 audiences 값과 관련된 문제의 경우 문제 해결 섹션을 참조하세요.

선택적으로 Azure AD 애플리케이션 및 Azure AD 페더레이티드 ID 자격 증명을 Azure Portal에서 검증할 수 있습니다:

1. Azure Active Directory 앱 등록 보기로 이동하여 ‘gitlab-oidc’ 표시 이름으로 앱 등록을 선택합니다.
2. 개요 페이지에서 Application (client) ID, Object ID, 및 Tenant ID와 같은 세부 정보를 확인할 수 있습니다.
3. Certificates & secrets 아래에서 Federated credentials로 이동하여 Azure AD 페더레이티드 ID 자격 증명을 검토할 수 있습니다.

서비스 프린시펄에 대한 권한 부여

자격 증명을 생성한 후, 해당 서비스 프린시펄에 Azure 리소스에 액세스하기 위한 권한을 부여하기 위해 role assignment을 사용하세요:

az role assignment create --assignee $appId --role Reader --scope /subscriptions/<subscription-id>

사용자는 구독 ID를 다음 위치에서 찾을 수 있습니다:

• Azure Portal에서.
• Azure CLI에서.

위 명령은 전체 구독에 대한 읽기 전용 권한을 부여합니다. 귀하의 조직의 콘텍스트에서 최소한의 권한 원칙을 적용하는 자세한 내용은 Azure AD 역할에 대한 최상의 실천법을 참조하세요.

임시 자격 증명 검색

Azure AD 애플리케이션 및 페더레이티드 ID 자격 증명을 구성한 후, CI/CD 작업은 Azure CLI를 사용하여 임시 자격 증명을 검색할 수 있습니다:

default:
  image: mcr.microsoft.com/azure-cli:latest

variables:
  AZURE_CLIENT_ID: "<client-id>"
  AZURE_TENANT_ID: "<tenant-id>"

auth:
  id_tokens:
    GITLAB_OIDC_TOKEN:
      aud: https://gitlab.com
  script:
    - az login --service-principal -u $AZURE_CLIENT_ID -t $AZURE_TENANT_ID --federated-token $GITLAB_OIDC_TOKEN
    - az account show

CI/CD 변수는 다음과 같습니다:

• AZURE_CLIENT_ID: 앞서 저장한 애플리케이션 클라이언트 ID.
• AZURE_TENANT_ID: Azure Active Directory. Azure CLI 또는 Azure Portal을 사용하여 찾을 수 있습니다.
• GITLAB_OIDC_TOKEN: OIDC ID 토큰.

문제 해결

“일치하는 연합 ID 레코드를 찾을 수 없음”

에러 ERROR: AADSTS70021: No matching federated identity record found for presented assertion.를 받은 경우 다음을 확인해야합니다:

• Azure AD 연합 ID 자격 증명에 정의된 발급자(Issuer), 예를 들어 https://gitlab.com 또는 고객 자체의 GitLab URL.
• Azure AD 연합 ID 자격 증명에 정의된 주체 식별자(Subject identifier), 예를 들어 project_path:<mygroup>/<myproject>:ref_type:branch:ref:<branch>.
  • gitlab-group/gitlab-project 프로젝트와 main 브랜치의 경우: project_path:gitlab-group/gitlab-project:ref_type:branch:ref:main.
  • mygroup와 myproject의 올바른 값은 GitLab 프로젝트에 액세스할 때 URL을 확인하거나, 프로젝트 개요 페이지의 우측 상단에서 Code를 선택하여 확인할 수 있습니다.
• Azure AD 연합 ID 자격 증명에 정의된 청중(Audience), 예를 들어 https://gitlab.com 또는 고객 자체의 GitLab URL.

이러한 설정 및 AZURE_CLIENT_ID 및 AZURE_TENANT_ID CI/CD 변수를 Azure Portal에서 확인할 수 있습니다:

1. Azure Active Directory 앱 등록 보기로 이동하고 표시 이름 gitlab-oidc를 검색하여 해당 앱 등록을 선택합니다.
2. 개요 페이지에서 Application (client) ID, Object ID, 및 Tenant ID와 같은 세부 정보를 검증할 수 있습니다.
3. Certificates & secrets 아래에서 Federated credentials로 이동하여 Azure AD 연합 ID 자격 증명을 확인할 수 있습니다.

자세한 내용은 클라우드 서비스에 연결를 확인하세요.

“외부 OIDC 엔드포인트로의 요청 실패” 메시지

에러 ERROR: AADSTS501661: Request to External OIDC endpoint failed.를 받은 경우 GitLab 인스턴스가 인터넷에서 공개적으로 접근 가능한지 확인해야합니다.

Azure는 OIDC와 인증하기 위해 다음 GitLab 엔드포인트에 액세스할 수 있어야 합니다:

• GET /.well-known/openid-configuration
• GET /oauth/discovery/keys

방화벽을 업데이트했음에도 이러한 에러가 계속 발생하는 경우에는 Redis 캐시를 지우고 다시 시도하세요.

“표시된 주장 청중을 위한 일치하는 연합 ID 레코드를 찾을 수 없음” 메시지

에러 ERROR: AADSTS700212: No matching federated identity record found for presented assertion audience 'https://gitlab.com'를 받은 경우 CI/CD 작업이 올바른 aud 값을 사용하는지 확인해야합니다.

aud 값은 연합 ID 자격 증명 생성 시 사용한 청중과 일치해야합니다.