• 구성
  • 배포 토큰 및 배포 키로 외부 인증 허용
• 작동 방식
• 분류 레이블

외부 인증 제어

• GitLab Premium에서 GitLab Free로 이동됨 11.10에서.

강력히 통제된 환경에서는 접근 정책이 프로젝트 분류 및 사용자 접근에 따라 접근을 허용하는 외부 서비스에 의해 제어되어야 할 필요가 있을 수 있습니다. GitLab은 정의된 서비스로 프로젝트 인가를 확인할 수 있는 방법을 제공합니다.

외부 서비스가 구성되고 활성화되면, 프로젝트에 접근할 때 사용자 정보와 프로젝트에 할당된 프로젝트 분류 라벨과 함께 외부 서비스에 요청이 전송됩니다. 서비스가 알려진 응답으로 응답하면 결과는 6시간 동안 캐시됩니다.

외부 인증이 활성화되면, GitLab은 크로스 프로젝트 데이터를 렌더링하는 페이지 및 기능을 추가로 차단합니다. 여기에는 다음이 포함됩니다:

• 대시보드 하의 대부분의 페이지(활동, 이정표, 스니펫, 할당된 병합 요청, 할당된 이슈, 할 일 목록).
• 특정 그룹 하(활동, 기여 분석, 이슈, 이슈 보드, 라벨, 이정표, 병합 요청).
• 글로벌 및 그룹 검색이 비활성화됩니다.

이는 외부 인증 서비스에 동시에 너무 많은 요청을 수행하는 것을 방지하기 위함입니다.

접근이 허가되거나 거부될 때마다 external-policy-access-control.log라는 로그 파일에 기록됩니다. GitLab이 유지하는 로그에 대해 더 읽어보려면 Linux 패키지 문서를 참조하세요.

셀프 서명된 인증서와 TLS 인증을 사용하는 경우, CA 인증서는 OpenSSL 설치에서 신뢰받아야 합니다. Linux 패키지를 사용하여 설치한 GitLab을 사용할 때, Linux 패키지 문서에서 사용자 정의 CA를 설치하는 방법을 알아보세요. 또는 openssl version -d를 사용하여 사용자 정의 인증서를 설치할 위치를 알아보세요.

구성

외부 인증 서비스는 관리자가 활성화할 수 있습니다:

1. 왼쪽 사이드바에서 맨 아래에 있는 Admin을 선택하세요.
2. Settings > General을 선택하세요.
3. External authorization을 확장합니다.
4. 필드를 입력합니다.
5. Save changes를 선택하세요.

배포 토큰 및 배포 키로 외부 인증 허용

• GitLab 15.9에서 도입됨.
• GitLab 16.0에서 도입된 컨테이너 또는 패키지 레지스트리에 접근할 수 없는 배포 토큰.

Git 작업을 위해 배포 토큰 또는 배포 키로 외부 인증을 허용하도록 인스턴스를 설정할 수 있습니다.

전제 조건:

• 외부 인증을 위한 서비스 URL 없이 분류 라벨을 사용해야 합니다.

배포 토큰 및 키로 인증을 허용하려면:

1. 왼쪽 사이드바에서 맨 아래에 있는 Admin을 선택하세요.
2. Settings > General을 선택하세요.
3. External authorization을 확장하고:
   • 서비스 URL 필드는 비워 둡니다.
   • 외부 인증과 함께 배포 토큰 및 배포 키를 사용할 수 있도록 허용을 선택합니다.
4. Save changes를 선택하세요.

경고:
외부 인증을 활성화하면 배포 토큰이 컨테이너 또는 패키지 레지스트리에 접근할 수 없습니다. 이러한 레지스트리에 접근하기 위해 배포 토큰을 사용하는 경우, 이 조치는 이러한 토큰의 사용을 방해합니다. 토큰을 컨테이너 또는 패키지 레지스트리와 함께 사용하려면 외부 인증을 비활성화하세요.

작동 방식

GitLab이 액세스를 요청할 때, 외부 서비스에 다음과 같은 본문을 포함한 JSON POST 요청을 보냅니다:

{
  "user_identifier": "jane@acme.org",
  "project_classification_label": "project-label",
  "user_ldap_dn": "CN=Jane Doe,CN=admin,DC=acme",
  "identities": [
    { "provider": "ldap", "extern_uid": "CN=Jane Doe,CN=admin,DC=acme" },
    { "provider": "bitbucket", "extern_uid": "2435223452345" }
  ]
}

user_ldap_dn은 선택사항이며, 사용자가 LDAP를 통해 로그인할 때만 전송됩니다.

identities는 사용자와 연관된 모든 신원에 대한 세부정보를 포함합니다. 사용자가 신원과 연관되어 있지 않으면 이는 빈 배열입니다.

외부 인증 서비스가 상태 코드 200으로 응답하면, 사용자에게 액세스가 허용됩니다. 외부 서비스가 상태 코드 401 또는 403으로 응답하면, 사용자에게 액세스가 거부됩니다. 어떤 경우든지 요청은 6시간 동안 캐시됩니다.

액세스를 거부할 때, JSON 본문에 선택적으로 reason을 지정할 수 있습니다:

{
  "reason": "You are not allowed access to this project."
}

상태 코드가 200, 401 또는 403이 아닌 다른 경우도 사용자의 액세스를 거부하지만, 응답은 캐시되지 않습니다.

서비스가 타임아웃(500ms 후)되면 “External Policy Server did not respond”라는 메시지가 표시됩니다.

분류 레이블

프로젝트의 설정 > 일반 > 일반 프로젝트 설정 페이지의 “분류 레이블” 박스에서 자신의 분류 레이블을 사용할 수 있습니다. 프로젝트에 분류 레이블이 지정되지 않으면, 전역 설정에서 정의된 기본 레이블이 사용됩니다.

모든 프로젝트 페이지의 오른쪽 상단 모서리에 레이블이 표시됩니다.