• 예제 구성
  • 구글 설정
  • Microsoft Azure 설정
  • Microsoft Azure Active Directory B2C 설정
    • 사용자 정책 구성
    • Azure B2C 문제 해결
  • Keycloak 구성
    • 대칭 키 알고리즘으로 Keycloak 구성
  • Casdoor
• 여러 개의 OpenID Connect 제공자 구성
• OIDC 그룹 멤버십에 기반한 사용자 구성
  • 필수 그룹
  • 외부 그룹
  • 감사인 그룹
  • 관리자 그룹
• 문제 해결

OpenID Connect를 인증 공급자로 사용하기

OpenID Connect을 OmniAuth 공급자로 사용하여 GitLab을 클라이언트 응용 프로그램으로 사용할 수 있습니다.

OpenID Connect OmniAuth 공급자를 활성화하려면 OpenID Connect 공급자에 응용 프로그램을 등록해야 합니다. OpenID Connect 공급자는 클라이언트의 세부 정보와 사용할 수 있는 시크릿을 제공합니다.

1. GitLab 서버에서 구성 파일을 엽니다.

   • Linux 패키지 설치의 경우:

   sudo editor /etc/gitlab/gitlab.rb
   

   • 직접 컴파일한 설치의 경우:

   cd /home/git/gitlab
   sudo -u git -H editor config/gitlab.yml
   

2. 일반 설정을 구성하여 openid_connect를 단일 사인온 공급자로 추가합니다. 이를 통해 기존 GitLab 계정이 없는 사용자를 위한 Just-In-Time 계정 프로비저닝이 활성화됩니다.

3. 공급자 구성을 추가합니다.

   • Linux 패키지 설치의 경우:

   gitlab_rails['omniauth_providers'] = [
     {
       name: "openid_connect", # do not change this parameter
       label: "공급자 이름", # 로그인 버튼의 선택적 레이블, 기본값은 "Openid Connect"
       icon: "<custom_provider_icon>",
       args: {
         name: "openid_connect",
         scope: ["openid","profile","email"],
         response_type: "code",
         issuer: "<your_oidc_url>",
         discovery: true,
         client_auth_method: "query",
         uid_field: "<uid_field>",
         send_scope_to_token_endpoint: "false",
         pkce: true,
         client_options: {
           identifier: "<your_oidc_client_id>",
           secret: "<your_oidc_client_secret>",
           redirect_uri: "<your_gitlab_url>/users/auth/openid_connect/callback"
         }
       }
     }
   ]
   

   • 복수의 신원 공급자가 있는 Linux 패키지 설치의 경우:

   { 'name' => 'openid_connect',
     'label' => '...',
     'icon' => '...',
     'args' => {
       'name' => 'openid_connect',
       'strategy_class': 'OmniAuth::Strategies::OpenIDConnect',
       'scope' => ['openid', 'profile', 'email'],
       'discovery' => true,
       'response_type' => 'code',
       'issuer' => 'https://...',
       'client_auth_method' => 'query',
       'uid_field' => '...',
       'client_options' => {
         `identifier`: "<your_oidc_client_id>",
         `secret`: "<your_oidc_client_secret>",
         'redirect_uri' => 'https://.../users/auth/openid_connect/callback'
      }
    }
   },
   { 'name' => 'openid_connect_2fa',
     'label' => '...',
     'icon' => '...',
     'args' => {
       'name' => 'openid_connect_2fa',
       'strategy_class': 'OmniAuth::Strategies::OpenIDConnect',
       'scope' => ['openid', 'profile', 'email'],
       'discovery' => true,
       'response_type' => 'code',
       'issuer' => 'https://...',
       'client_auth_method' => 'query',
       'uid_field' => '...',
       'client_options' => {
        ...
        'redirect_uri' => 'https://.../users/auth/openid_connect_2fa/callback'
      }
    }
   }
   

   OIDC를 사용하여 복수의 신원 공급자를 사용하는 자세한 내용은 이슈 5992를 참조하세요.
   • 직접 컴파일한 설치의 경우:

     - { name: 'openid_connect', # do not change this parameter
         label: '공급자 이름', # 로그인 버튼의 선택적 레이블, 기본값은 "Openid Connect"
         icon: '<custom_provider_icon>',
         args: {
           name: 'openid_connect',
           scope: ['openid','profile','email'],
           response_type: 'code',
           issuer: '<your_oidc_url>',
           discovery: true,
           client_auth_method: 'query',
           uid_field: '<uid_field>',
           send_scope_to_token_endpoint: false,
           pkce: true,
           client_options: {
             identifier: '<your_oidc_client_id>',
             secret: '<your_oidc_client_secret>',
             redirect_uri: '<your_gitlab_url>/users/auth/openid_connect/callback'
           }
         }
       }
   

   각 구성 옵션에 대한 자세한 내용은 OmniAuth OpenID Connect 사용 설명서 및 OpenID Connect Core 1.0 사양을 참조하세요.

4. 공급자 구성을 위해 공급자의 값을 변경하십시오. 다음을 가이드로 사용하세요:

   • <your_oidc_label>은 로그인 페이지에 표시되는 레이블입니다.
   • <custom_provider_icon> (선택 사항)은 로그인 페이지에 표시되는 아이콘입니다. 주요 소셜 로그인 플랫폼의 아이콘은 GitLab에 내장되어 있지만, 이러한 아이콘을 재정의하려면 이 매개변수를 지정할 수 있습니다. GitLab은 로컬 경로 및 절대 URL을 모두 허용합니다.
   • <your_oidc_url> (선택 사항)은 OpenID Connect 공급자를 가리키는 URL입니다 (예: https://example.com/auth/realms/your-realm). 이 값을 제공하지 않으면 URL이 다음 형식으로 client_options에서 구성됩니다: <client_options.scheme>://<client_options.host>:<client_options.port>.
   • discovery가 true로 설정되어 있는 경우, OpenID Connect 공급자는 보통 <your_oidc_url>/.well-known/openid-configuration을 사용하여 클라이언트 옵션을 자동으로 발견하려고 시도합니다. 기본값은 false입니다.
   • client_auth_method (선택 사항)은 OpenID Connect 공급자와의 클라이언트 인증에 사용되는 방법을 지정합니다.
   • 지원되는 값은 다음과 같습니다:
     • basic - HTTP 기본 인증.
     • jwt_bearer - JWT 기반 인증 (개인 키 및 클라이언트 시크릿 서명).
     • mtls - 상호 TLS 또는 X.509 인증서 유효성 검사.
     • 이 외의 값은 클라이언트 ID 및 시크릿을 요청 본문에 게시합니다.
   • <uid_field> (선택 사항)은 user_info.raw_attributes의 필드 이름으로, 이를 통해 uid의 값이 정의됩니다.
   • send_scope_to_token_endpoint는 기본적으로 true이므로 scope 매개변수가 일반적으로 토큰 엔드포인트에 요청에 포함됩니다. 그러나 OpenID Connect 공급자가 이러한 요청에서 scope 매개변수를 허용하지 않는 경우에는 이 값을 false로 설정하세요.
   • pkce (선택 사항): Code 교환을 위한 Proof Key. GitLab 15.9에서 사용 가능합니다.
   • client_options: OpenID Connect 클라이언트별 옵션으로, 특히 다음을 포함합니다:
     • identifier: OpenID Connect 서비스 제공자에서 구성한 클라이언트 식별자입니다.
     • secret: OpenID Connect 서비스 제공자에서 구성한 클라이언트 시크릿입니다. 예를 들어, OmniAuth OpenID Connect에서 이를 요구합니다. 서비스 제공자가 시크릿을 요구하지 않는 경우, 임의의 값을 제공하면 무시됩니다.
     • redirect_uri: 성공적인 로그인 후 사용자를 리디렉션하기 위한 GitLab URL입니다 (예: http://example.com/users/auth/openid_connect/callback).
     • end_session_endpoint (선택 사항)은 세션 종료를 처리하는 엔드포인트의 URL입니다. 자동 발견이 비활성화되었거나 실패한 경우에 이 URL을 제공할 수 있습니다.
     • 다음의 client_options는 자동 발견이 비활성화되었거나 실패한 경우를 제외하고는 선택 사항입니다:
       • authorization_endpoint: 사용자를 인증하는 엔드포인트의 URL입니다.
       • token_endpoint: Access Token을 제공하는 엔드포인트의 URL입니다.
       • userinfo_endpoint: 사용자 정보를 제공하는 엔드포인트의 URL입니다.
       • jwks_uri: Token 서명자가 키를 게시하는 엔드포인트의 URL입니다.
5. 구성 파일을 저장합니다.

6. 변경 내용이 적용되려면:

   • Linux 패키지를 사용하여 GitLab을 설치한 경우, GitLab을 다시 구성하세요.
   • GitLab 설치를 직접 컴파일한 경우, GitLab을 다시 시작하세요.

로그인 페이지에서 보통의 로그인 양식 아래에 OpenID Connect 옵션이 있습니다. 이 옵션을 선택하여 인증 프로세스를 시작합니다. OpenID Connect 공급자는 로그인하고 클라이언트에서 확인이 필요한 경우 GitLab 응용프로그램을 인증하도록 요청합니다. 그러면 GitLab로 리디렉션되어 로그인됩니다.

예제 구성

다음 구성은 Linux 패키지 설치 시 다양한 제공업체와 OpenID를 설정하는 방법을 설명합니다.

구글 설정

자세한 내용은 Google 문서를 참조하세요:

gitlab_rails['omniauth_providers'] = [
  {
    name: "openid_connect", # 이 매개변수를 변경하지 마십시오
    label: "Google OpenID", # 로그인 버튼에 대한 선택적 레이블, 기본값은 "Openid Connect"
    args: {
      name: "openid_connect",
      scope: ["openid", "profile", "email"],
      response_type: "code",
      issuer: "https://accounts.google.com",
      client_auth_method: "query",
      discovery: true,
      uid_field: "preferred_username",
      pkce: true,
      client_options: {
        identifier: "<당신의 프로젝트 클라이언트 ID>",
        secret: "<당신의 프로젝트 클라이언트 시크릿>",
        redirect_uri: "https://example.com/users/auth/openid_connect/callback",
       }
     }
  }
]

Microsoft Azure 설정

Microsoft Azure의 OpenID Connect (OIDC) 프로토콜은 Microsoft identity platform (v2) endpoints을 사용합니다. 시작하려면 Azure Portal에 로그인하세요. 앱에는 다음 정보가 필요합니다:

• 테넌트 ID. 이미 가지고 있을 수 있습니다. 자세한 내용은 Microsoft Azure 테넌트 문서를 참조하세요.
• 클라이언트 ID 및 클라이언트 시크릿. 앱에 대한 테넌트 ID, 클라이언트 ID 및 클라이언트 시크릿을 얻으려면 Microsoft 퀵스타트 애플리케이션 등록 문서의 지시에 따릅니다.

Linux 패키지 설치에 대한 예제 구성 블록:

gitlab_rails['omniauth_providers'] = [
  {
    name: "openid_connect", # 이 매개변수를 변경하지 마십시오
    label: "Azure OIDC", # 로그인 버튼에 대한 선택적 레이블, 기본값은 "Openid Connect"
    args: {
      name: "openid_connect",
      scope: ["openid", "profile", "email"],
      response_type: "code",
      issuer:  "https://login.microsoftonline.com/<당신의-테넌트-ID>/v2.0",
      client_auth_method: "query",
      discovery: true,
      uid_field: "preferred_username",
      pkce: true,
      client_options: {
        identifier: "<당신의 앱 클라이언트 ID>",
        secret: "<당신의 앱 클라이언트 시크릿>",
        redirect_uri: "https://gitlab.example.com/users/auth/openid_connect/callback"
      }
    }
  }
]

Microsoft는 플랫폼이 OIDC 프로토콜과 어떻게 작동하는지에 대해 문서화했습니다.

Microsoft Azure Active Directory B2C 설정

GitLab은 Azure Active Directory B2C와 함께 작동하려면 특별한 구성이 필요합니다. 시작하려면 Azure Portal에 로그인하세요. 앱에 대해 다음과 같은 정보가 필요합니다:

• 테넌트 ID. 이미 가지고 있을 수 있습니다. 자세한 내용은 Microsoft Azure 테넌트 문서를 검토하세요.
• 클라이언트 ID 및 클라이언트 시크릿. 앱에 대한 클라이언트 ID 및 클라이언트 시크릿을 얻으려면 Microsoft 튜토리얼 문서의 지시에 따르세요.
• 사용자 플로우 또는 정책 이름. Microsoft 튜토리얼의 지침을 따라 사용자 플로우 또는 정책 이름을 얻으세요.

앱을 구성하세요:

1. 앱 Redirect URI를 설정하세요. 예를 들어, GitLab 도메인이 gitlab.example.com인 경우, 앱 Redirect URI를 https://gitlab.example.com/users/auth/openid_connect/callback로 설정하세요.

2. ID 토큰 활성화.

3. 다음 API 권한을 앱에 추가하세요:

   • openid
   • offline_access

사용자 정책 구성

Azure B2C는 사용자의 로그인 비즈니스 로직을 정의하기 위한 두 가지 방법을 제공합니다:

• 사용자 플로우
• 사용자 정책

사용자 정책은 표준 Azure B2C 사용자 플로우가 OpenID email 클레임을 보내지 않기 때문에 필요합니다. 따라서, 표준 사용자 플로우는 allow_single_sign_on 또는 auto_link_user 매개변수와 함께 작동하지 않습니다.

먼저 사용자 정책을 생성하세요.

Microsoft의 지침에서는 사용자 정책 스타터 팩에서 SocialAndLocalAccounts를 사용하지만, LocalAccounts는 로컬 Active Directory 계정에 대한 인증을 처리합니다. 정책을 업로드하기 전에 다음과 같이 하세요:

1. email 클레임을 내보내려면 SignUpOrSignin.xml를 수정하세요. 다음 줄을:

   <OutputClaim ClaimTypeReferenceId="email" />
   

   다음으로 교체하세요:

   <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" PartnerClaimType="email" />
   

2. B2C와 OIDC 디스커버리가 작동하려면 정책을 OIDC 사양과 호환되는 발급자로 구성하세요. TrustFrameworkBase.xml에서 JwtIssuer 아래 IssuanceClaimPattern을 AuthorityWithTfp로 설정하세요:

   <ClaimsProvider>
     <DisplayName>Token Issuer</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="JwtIssuer">
         <DisplayName>JWT Issuer</DisplayName>
         <Protocol Name="None" />
         <OutputTokenFormat>JWT</OutputTokenFormat>
         <Metadata>
           <Item Key="IssuanceClaimPattern">AuthorityWithTfp</Item>
           ...
   

3. 정책을 업로드하세요. 기존 정책을 업데이트하는 경우에는 기존 파일을 덮어쓰세요.

4. 발급자 URL을 결정하려면 로그인 정책을 사용하세요. 발급자 URL은 다음 형식을 갖습니다:

   https://<당신의-도메인>/tfp/<당신의-테넌트-ID>/<당신의-로그인-정책-이름>/v2.0/
   

   URL에서 정책 이름은 소문자로 표시됩니다. 예를 들어 B2C_1A_signup_signin 정책은 b2c_1a_signup_sigin으로 나타납니다.

   끝에 슬래시를 포함하세요.

5. OIDC 디스커버리 URL 및 발급자 URL의 작동 여부를 확인하고 발급자 URL에 .well-known/openid-configuration을 추가하세요:

   https://<당신의-도메인>/tfp/<당신의-테넌트-ID>/<당신의-로그인-정책-이름>/v2.0/.well-known/openid-configuration
   

   예를 들어, 도메인이 example.b2clogin.com이고 테넌트 ID가 fc40c736-476c-4da1-b489-ee48cee84386인 경우, 발급자를 추출하기 위해 curl과 jq를 사용하세요:

   $ curl --silent "https://example.b2clogin.com/tfp/fc40c736-476c-4da1-b489-ee48cee84386/b2c_1a_signup_signin/v2.0/.well-known/openid-configuration" | jq .issuer
   "https://example.b2clogin.com/tfp/fc40c736-476c-4da1-b489-ee48cee84386/b2c_1a_signup_signin/v2.0/"
   

6. signup_signin에 대해 사용하는 사용자 정책을 사용하여 발급자 URL을 구성하세요. 예를 들어, 이는 Linux 패키지 설치를 위해 b2c_1a_signup_signin의 사용자 정책을 사용하는 경우의 구성입니다:

   gitlab_rails['omniauth_providers'] = [
   {
     name: "openid_connect", # 이 매개변수를 변경하지 마십시오
     label: "Azure B2C OIDC", # 로그인 버튼에 대한 선택적 레이블, 기본값은 "Openid Connect"
     args: {
       name: "openid_connect",
       scope: ["openid"],
       response_mode: "query",
       response_type: "id_token",
       issuer:  "https://<당신의-도메인>/tfp/<당신의-테넌트-ID>/b2c_1a_signup_signin/v2.0/",
       client_auth_method: "query",
       discovery: true,
       send_scope_to_token_endpoint: true,
       pkce: true,
       client_options: {
         identifier: "<당신의 앱 클라이언트 ID>",
         secret: "<당신의 앱 클라이언트 시크릿>",
         redirect_uri: "https://gitlab.example.com/users/auth/openid_connect/callback"
       }
     }
   }]
   

Azure B2C 문제 해결

• yourtenant.onmicrosoft.com, ProxyIdentityExperienceFrameworkAppId, 및 IdentityExperienceFrameworkAppId의 모든 발생을 B2C 테넌트 호스트명 및 XML 정책 파일의 해당 클라이언트 ID와 일치하도록 확인하십시오.
• 사용자 정책 테스터를 사용하여 앱에 https://jwt.ms를 리디렉트 URI로 추가하고 구성하십시오. 페이로드에 이메일이 포함되어 있는지 확인하여 사용자의 이메일 액세스와 일치하는지 확인하십시오.

• 사용자 정책을 사용하도록 설정한 후 사용자가 로그인을 시도한 후 잘못된 사용자 이름 또는 암호를 보일 수 있습니다. 이는 IdentityExperienceFramework 앱에서 구성 문제일 수 있습니다. 이 앱 매니페스트에 이러한 설정이 포함되어 있는지 확인하십시오:

  • "accessTokenAcceptedVersion": null
  • "signInAudience": "AzureADMyOrg"

  이 구성은 IdentityExperienceFramework 앱을 생성할 때 사용된 지원되는 계정 유형 설정과 일치합니다.

Keycloak 구성

GitLab은 HTTPS를 사용하는 OpenID 제공자와 함께 작동합니다. HTTP를 사용하는 Keycloak 서버를 설정할 수는 있지만, GitLab은 반드시 HTTPS를 사용하는 Keycloak 서버와 통신해야 합니다.

Keycloak을 구성하여 토큰을 서명하는 대칭 키 암호화 알고리즘(예: HS256 또는 HS358) 대신 공개 키 암호화 알고리즘(예: RSA256 또는 RSA512)을 사용하도록 구성하십시오. 공개 키 암호화 알고리즘은 다음과 같습니다:

• 더 쉽게 구성할 수 있습니다.
• 개인 키의 유출이 심각한 보안 문제를 야기하기 때문에 더 안전합니다.

1. Keycloak 관리 콘솔을 엽니다.
2. Realm Settings > Tokens > Default Signature Algorithm을 선택합니다.
3. 서명 알고리즘을 구성합니다.

리눅스 패키지 설치에 대한 예 구성 블록:

gitlab_rails['omniauth_providers'] = [
  {
    name: "openid_connect", # 이 매개변수를 변경하지 마십시오
    label: "Keycloak", # 로그인 버튼에 대한 선택적 레이블, 기본값은 "Openid Connect"입니다
    args: {
      name: "openid_connect",
      scope: ["openid", "profile", "email"],
      response_type: "code",
      issuer:  "https://keycloak.example.com/realms/myrealm",
      client_auth_method: "query",
      discovery: true,
      uid_field: "preferred_username",
      pkce: true,
      client_options: {
        identifier: "<YOUR CLIENT ID>",
        secret: "<YOUR CLIENT SECRET>",
        redirect_uri: "https://gitlab.example.com/users/auth/openid_connect/callback"
      }
    }
  }
]

대칭 키 알고리즘으로 Keycloak 구성

• GitLab 14.2에서 도입되었습니다.

경고: 다음 지침은 완성을 위해 포함되었지만, 절대적으로 필요한 경우에만 대칭 키 암호화를 사용하십시오.

대칭 키 암호화를 사용하려면:

1. Keycloak 데이터베이스에서 비밀 키를 추출하십시오. Keycloak은 Web 인터페이스에서 이 값을 노출하지 않습니다. Web 인터페이스에 표시된 클라이언트 비밀은 JSON 웹 토큰을 서명하는 데 사용되는 키와는 다릅니다.

   예를 들어, Keycloak의 백엔드 데이터베이스로 PostgreSQL을 사용하는 경우:

   • 데이터베이스 콘솔에 로그인합니다.

   • 다음 SQL 쿼리를 실행하여 키를 추출합니다:

     $ psql -U keycloak
     psql (13.3 (Debian 13.3-1.pgdg100+1))
     Type "help" for help.
     
     keycloak=# SELECT c.name, value FROM component_config CC INNER JOIN component C ON(CC.component_id = C.id) WHERE C.realm_id = 'master' and provider_id = 'hmac-generated' AND CC.name = 'secret';
     -[ RECORD 1 ]---------------------------------------------------------------------------------
     name  | hmac-generated
     value | lo6cqjD6Ika8pk7qc3fpFx9ysrhf7E62-sqGc8drp3XW-wr93zru8PFsQokHZZuJJbaUXvmiOftCZM3C4KW3-g
     -[ RECORD 2 ]---------------------------------------------------------------------------------
     name  | fallback-HS384
     value | UfVqmIs--U61UYsRH-NYBH3_mlluLONpg_zN7CXEwkJcO9xdRNlzZfmfDLPtf2xSTMvqu08R2VhLr-8G-oZ47A
     

     이 예에서 두 개의 개인 키가 있습니다: HS256 (hmac-generated) 및 HS384 (fallback-HS384). 우리는 GitLab을 구성하기 위해 첫 번째 value를 사용합니다.

2. value를 표준 base64로 변환하십시오. Invalid signature with HS256 token 게시물에서 설명한대로 value는 RFC 4648의 Base 64 Encoding with URL and Filename Safe Alphabet section에서 인코딩됩니다. 이것은 RFC 2045에서 정의된 표준 base64로 변환되어야 합니다. 다음 Ruby 스크립트가 이 작업을 수행합니다:

   require 'base64'
   
   value = "lo6cqjD6Ika8pk7qc3fpFx9ysrhf7E62-sqGc8drp3XW-wr93zru8PFsQokHZZuJJbaUXvmiOftCZM3C4KW3-g"
   Base64.encode64(Base64.urlsafe_decode64(value))
   

   이로 인해 다음 값이 생성됩니다:

   lo6cqjD6Ika8pk7qc3fpFx9ysrhf7E62+sqGc8drp3XW+wr93zru8PFsQokH\nZZuJJbaUXvmiOftCZM3C4KW3+g==\n
   

3. 이 base64로 인코딩된 secret을 jwt_secret_base64로 지정하십시오. 예를 들어:

   gitlab_rails['omniauth_providers'] = [
     {
       name: "openid_connect", # 이 매개변수를 변경하지 마십시오
       label: "Keycloak", # 로그인 버튼에 대한 선택적 레이블, 기본값은 "Openid Connect"입니다
       args: {
         name: "openid_connect",
         scope: ["openid", "profile", "email"],
         response_type: "code",
         issuer:  "https://keycloak.example.com/auth/realms/myrealm",
         client_auth_method: "query",
         discovery: true,
         uid_field: "preferred_username",
         jwt_secret_base64: "<YOUR BASE64-ENCODED SECRET>",
         pkce: true,
         client_options: {
           identifier: "<YOUR CLIENT ID>",
           secret: "<YOUR CLIENT SECRET>",
           redirect_uri: "https://gitlab.example.com/users/auth/openid_connect/callback"
         }
       }
     }
   ]
   

JSON::JWS::VerificationFailed 오류가 발생하는 경우, 잘못된 secret을 지정했습니다.

Casdoor

GitLab은 HTTPS를 사용하는 OpenID 제공자와 함께 작동합니다. Casdoor를 통해 OpenID로 GitLab에 연결하려면 HTTPS를 사용하세요.

앱을 위해 Casdoor에서 다음 단계를 완료하세요:

1. 클라이언트 ID 및 클라이언트 시크릿 가져오기.
2. GitLab 리디렉트 URL 추가. 예를 들어, GitLab 도메인이 gitlab.example.com인 경우 Casdoor 앱에 다음과 같은 리디렉트 URI가 있는지 확인하세요: https://gitlab.example.com/users/auth/openid_connect/callback.

자세한 내용은 Casdoor 문서를 참조하세요.

Linux 패키지 설치를 위한 예제 구성 (파일 경로: /etc/gitlab/gitlab.rb):

gitlab_rails['omniauth_providers'] = [
    {
        name: "openid_connect", # 이 매개변수를 변경하지 마십시오
        label: "Casdoor", # 선택 사항 로그인 버튼에 대한 레이블, 기본값은 "Openid Connect"
        args: {
            name: "openid_connect",
            scope: ["openid", "profile", "email"],
            response_type: "code",
            issuer:  "https://<CASDOOR_HOSTNAME>",
            client_auth_method: "query",
            discovery: true,
            uid_field: "sub",
            client_options: {
                identifier: "<YOUR CLIENT ID>",
                secret: "<YOUR CLIENT SECRET>",
                redirect_uri: "https://gitlab.example.com/users/auth/openid_connect/callback"
            }
        }
    }
]

자체 컴파일 설치를 위한 예제 구성 (파일 경로: config/gitlab.yml):

  - { name: 'openid_connect', # 이 매개변수를 변경하지 마십시오
      label: 'Casdoor', # 선택 사항 로그인 버튼에 대한 레이블, 기본값은 "Openid Connect"
      args: {
        name: 'openid_connect',
        scope: ['openid','profile','email'],
        response_type: 'code',
        issuer: 'https://<CASDOOR_HOSTNAME>',
        discovery: true,
        client_auth_method: 'query',
        uid_field: 'sub',
        client_options: {
          identifier: '<YOUR CLIENT ID>',
          secret: '<YOUR CLIENT SECRET>',
          redirect_uri: 'https://gitlab.example.com/users/auth/openid_connect/callback'
        }
      }
    }

여러 개의 OpenID Connect 제공자 구성

응용 프로그램을 여러 개의 OpenID Connect(OIDC) 제공자를 사용하도록 구성할 수 있습니다. 이를 위해 구성 파일에서 명시적으로 strategy_class를 설정해야 합니다.

다음 시나리오 중 하나에 해당하는 경우 이 작업을 수행해야 합니다:

• OpenID Connect 프로토콜로 이전.
• 서로 다른 수준의 인증을 제공하는 경우.

참고: 이것은 OIDC 그룹 멤버십에 따라 사용자 구성과 호환되지 않습니다. 자세한 내용은 이슈 408248을 참조하세요.

다음 예제 구성은 2FA가 있는 옵션과 2FA가 없는 옵션으로 서로 다른 수준의 인증을 제공하는 방법을 보여줍니다.

Linux 패키지 설치를 위한 예제:

gitlab_rails['omniauth_providers'] = [
  {
    name: "openid_connect",
    label: "제공자 이름", # 선택 사항 로그인 버튼에 대한 레이블, 기본값은 "Openid Connect"
    icon: "<custom_provider_icon>",
    args: {
      name: "openid_connect",
      strategy_class: "OmniAuth::Strategies::OpenIDConnect",
      scope: ["openid","profile","email"],
      response_type: "code",
      issuer: "<your_oidc_url>",
      discovery: true,
      client_auth_method: "query",
      uid_field: "<uid_field>",
      send_scope_to_token_endpoint: "false",
      pkce: true,
      client_options: {
        identifier: "<your_oidc_client_id>",
        secret: "<your_oidc_client_secret>",
        redirect_uri: "<your_gitlab_url>/users/auth/openid_connect/callback"
      }
    }
  },
  {
    name: "openid_connect_2fa",
    label: "제공자 이름 2FA", # 선택 사항 로그인 버튼에 대한 레이블, 기본값은 "Openid Connect"
    icon: "<custom_provider_icon>",
    args: {
      name: "openid_connect_2fa",
      strategy_class: "OmniAuth::Strategies::OpenIDConnect",
      scope: ["openid","profile","email"],
      response_type: "code",
      issuer: "<your_oidc_url>",
      discovery: true,
      client_auth_method: "query",
      uid_field: "<uid_field>",
      send_scope_to_token_endpoint: "false",
      pkce: true,
      client_options: {
        identifier: "<your_oidc_client_id>",
        secret: "<your_oidc_client_secret>",
        redirect_uri: "<your_gitlab_url>/users/auth/openid_connect_2fa/callback"
      }
    }
  }
]

자체 컴파일 설치를 위한 예제:

  - { name: 'openid_connect',
      label: '제공자 이름', # 선택 사항 로그인 버튼에 대한 레이블, 기본값은 "Openid Connect"
      icon: '<custom_provider_icon>',
      args: {
        name: 'openid_connect',
        strategy_class: "OmniAuth::Strategies::OpenIDConnect",
        scope: ['openid','profile','email'],
        response_type: 'code',
        issuer: '<your_oidc_url>',
        discovery: true,
        client_auth_method: 'query',
        uid_field: '<uid_field>',
        send_scope_to_token_endpoint: false,
        pkce: true,
        client_options: {
          identifier: '<your_oidc_client_id>',
          secret: '<your_oidc_client_secret>',
          redirect_uri: '<your_gitlab_url>/users/auth/openid_connect/callback'
        }
      }
    }
  - { name: 'openid_connect_2fa',
      label: '제공자 이름 2FA', # 선택 사항 로그인 버튼에 대한 레이블, 기본값은 "Openid Connect"
      icon: '<custom_provider_icon>',
      args: {
        name: 'openid_connect_2fa',
        strategy_class: "OmniAuth::Strategies::OpenIDConnect",
        scope: ['openid','profile','email'],
        response_type: 'code',
        issuer: '<your_oidc_url>',
        discovery: true,
        client_auth_method: 'query',
        uid_field: '<uid_field>',
        send_scope_to_token_endpoint: false,
        pkce: true,
        client_options: {
          identifier: '<your_oidc_client_id>',
          secret: '<your_oidc_client_secret>',
          redirect_uri: '<your_gitlab_url>/users/auth/openid_connect_2fa/callback'
        }
      }
    }

이 경우에는 기존 알려진 식별자를 기반으로 여러 제공자 간에 extern_uid를 동기화하고자 할 수 있습니다.

이를 위해 uid_field를 설정합니다. 다음 예제 코드는 이를 수행하는 방법을 보여줍니다.

def sync_missing_provider(self, user: User, extern_uid: str)
  existing_identities = []
  for identity in user.identities:
      existing_identities.append(identity.get("provider"))

  local_extern_uid = extern_uid.lower()
  for provider in ("openid_connect_2fa", "openid_connect"):
      identity = [
          identity
          for identity in user.identities
          if identity.get("provider") == provider
          and identity.get("extern_uid").lower() != local_extern_uid
      ]
      if provider not in existing_identities or identity:
          if identity and identity[0].get("extern_uid") != "":
              logger.error(f"Found different identity for provider {provider} for user {user.id}")
              continue
          else:
              logger.info(f"Add identity 'provider': {provider}, 'extern_uid': {extern_uid} for user {user.id}")
              user.provider = provider
              user.extern_uid = extern_uid
              user = self.save_user(user)
  return user

자세한 내용은 GitLab API 사용자 메서드 설명서를 참조하세요.

OIDC 그룹 멤버십에 기반한 사용자 구성

• GitLab 15.10에서 도입되었습니다.

OIDC 그룹 멤버십을 다음과 같이 구성할 수 있습니다: - 특정 그룹의 멤버십을 요구합니다. - 그룹 멤버십에 따라 사용자에게 외부, 관리자 또는 감사자 역할을 할당합니다.

GitLab은 각 로그인 시에 이러한 그룹을 확인하고 필요에 따라 사용자 속성을 업데이트합니다. 이 기능을 사용하면 GitLab 그룹에 사용자를 자동으로 추가할 수 없습니다.

필수 그룹

당신의 식별 공급자(IdP)는 OIDC 응답에서 그룹 정보를 GitLab에 전달해야 합니다. 이 응답을 사용하여 특정 그룹의 사용자 멤버십을 요구하려면 다음을 구성하세요: - groups_attribute 설정을 사용하여 OIDC 응답에서 그룹을 찾을 위치 - required_groups 설정을 사용하여 로그인에 필요한 그룹 멤버십

required_groups를 설정하지 않거나 설정을 비워 두면 OIDC를 통해 인증된 모든 사용자가 GitLab을 사용할 수 있습니다.

외부 그룹

당신의 IdP는 OIDC 응답에서 GitLab에 그룹 정보를 전달해야 합니다. 이 응답을 사용하여 그룹 멤버십에 따라 사용자를 외부 사용자로 식별하려면 다음을 구성하세요: - groups_attribute 설정을 사용하여 OIDC 응답에서 그룹을 찾을 위치 - external_groups 설정을 사용하여 사용자를 외부 사용자로 식별하는 데 사용되는 그룹 멤버십

감사인 그룹

당신의 IdP는 OIDC 응답에서 그룹 정보를 GitLab에 전달해야 합니다. 사용자를 감사인으로 지정하기 위해 이 응답을 사용하여 GitLab을 구성하려면 다음을 식별하도록 합니다:

• groups_attribute 설정을 사용하여 OIDC 응답에서 그룹을 찾을 위치
• auditor_groups 설정을 사용하여 사용자에 대한 감사인 액세스를 부여하는 그룹 멤버십

관리자 그룹

당신의 IdP는 OIDC 응답에서 그룹 정보를 GitLab에 전달해야 합니다. 사용자를 관리자로 지정하기 위해 이 응답을 사용하여 GitLab을 구성하려면 다음을 식별하도록 합니다:

• groups_attribute 설정을 사용하여 OIDC 응답에서 그룹을 찾을 위치
• admin_groups 설정을 사용하여 사용자에 대한 관리자 액세스를 부여하는 그룹 멤버십

문제 해결

1. discovery가 true로 설정되어 있는지 확인하십시오. false로 설정한 경우 OpenID를 작동시키기 위해 필요한 모든 URL 및 키를 지정해야 합니다.

2. 시스템 시계가 제대로 동기화되었는지 확인하십시오.

3. OmniAuth OpenID Connect 문서에 언급된대로, issuer가 Discovery URL의 기본 URL에 해당하는지 확인하십시오. 예를 들어, https://accounts.google.com은 URL https://accounts.google.com/.well-known/openid-configuration에 사용됩니다.

4. OpenID Connect 클라이언트는 client_auth_method가 정의되지 않았거나 basic로 설정된 경우 OAuth 2.0 액세스 토큰을 보내기 위해 HTTP 기본 인증을 사용합니다. userinfo 엔드포인트를 검색할 때 401 오류가 발생하는 경우 OpenID 웹 서버 구성을 확인하십시오. 예를 들어, oauth2-server-php의 경우, Apache에 구성 매개변수를 추가해야 할 수 있습니다.