외부 인가 제어

Tier: Free, Premium, Ultimate
Offering: Self-Managed

고도로 통제된 환경에서는 프로젝트 분류 및 사용자 액세스에 따라 액세스 정책을 외부 서비스에서 제어해야 할 수 있습니다. GitLab은 사용자가 정의한 서비스로 프로젝트 인가를 확인할 수 있는 방법을 제공합니다.

외부 서비스가 구성되고 활성화된 후에 프로젝트에 액세스하면 사용자 정보와 프로젝트 분류 레이블이 해당 프로젝트에 할당됩니다. 서비스가 알려진 응답을 반환하면 해당 결과는 6시간 동안 캐시됩니다.

외부 인가가 활성화되면 GitLab은 교차 프로젝트 데이터를 렌더링하는 페이지 및 기능을 더 이상 차단합니다. 이에는 다음이 포함됩니다.

  • 대시보드 하위의 대부분의 페이지 (활동, 마일스톤, 코드 스니펫, 지정된 Merge Request, 할당된 이슈, 할 일 디렉터리).
  • 특정 그룹 하위 (활동, 기여 분석, 이슈, 이슈 보드, 라벨, 마일스톤, Merge Request).
  • 글로벌 및 그룹 검색이 비활성화됩니다.

이는 외부 인가 서비스로부터 한 번에 너무 많은 요청을 수행하는 것을 방지하기 위한 것입니다.

액세스가 허용되거나 거부될 때마다 이를 external-policy-access-control.log라는 로그 파일에 기록합니다. GitLab이 유지하는 로그에 대해 자세히 알아보려면 Linux 패키지 문서를 참조하세요.

자체 서명된 인증서와 함께 TLS 인증을 사용하는 경우 CA 인증서는 OpenSSL 설치에 의해 신뢰되어야 합니다. Linux 패키지를 사용하여 GitLab을 설치한 경우, Linux 패키지 문서를 통해 사용자 정의 CA를 설치하는 방법을 알아보세요. 또는 openssl version -d를 사용하여 사용자 정의 인증서를 설치할 위치를 알아보세요.

구성

관리자가 외부 인가 서비스를 활성화할 수 있습니다.

  1. 왼쪽 사이드바에서 맨 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 외부 인가를 확장합니다.
  4. 필드를 완료합니다.
  5. 변경 사항 저장을 선택합니다.

배포 토큰 및 배포 키로 외부 인가 허용

귀하의 인스턴스를 설정하여 배포 토큰 또는 배포 키로 Git 작업에 대한 외부 인가를 허용할 수 있습니다.

필수 컴포넌트:

  • 외부 인가에 대한 서비스 URL이 없는 분류 레이블을 사용해야 합니다.

배포 토큰 및 키로 인가를 허용하려면:

  1. 왼쪽 사이드바에서 맨 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 외부 인가를 확장한 후:
    • 서비스 URL 필드를 비워 둡니다.
    • 외부 인가에 배포 토큰 및 배포 키를 사용하도록 허용을 선택합니다.
  4. 변경 사항 저장을 선택합니다.
caution
외부 인가를 활성화하면 배포 토큰이 컨테이너 또는 패키지 레지스트리에 액세스할 수 없게 됩니다. 이러한 토큰을 사용하여 이러한 레지스트리에 액세스하는 경우 이 조치로 인해 이러한 토큰의 사용이 중단됩니다. 컨테이너 또는 패키지 레지스트리에 토큰을 사용하려면 외부 인가를 해제하세요.

작동 방식

GitLab이 액세스를 요청하면 외부 서비스에 다음과 같은 JSON POST 요청이 전송됩니다. 

{
  "user_identifier": "jane@acme.org",
  "project_classification_label": "project-label",
  "user_ldap_dn": "CN=Jane Doe,CN=admin,DC=acme",
  "identities": [
    { "provider": "ldap", "extern_uid": "CN=Jane Doe,CN=admin,DC=acme" },
    { "provider": "bitbucket", "extern_uid": "2435223452345" }
  ]
}

user_ldap_dn은 선택 사항이며 사용자가 LDAP을 통해 로그인한 경우에만 전송됩니다.

identities에는 사용자와 관련된 모든 식별 정보의 세부 정보가 포함됩니다. 사용자와 관련된 식별 정보가 없는 경우 이 필드는 빈 배열입니다.

외부 인가 서비스가 상태 코드 200으로 응답하면 사용자에게 액세스 권한이 부여됩니다. 외부 서비스가 상태 코드 401 또는 403으로 응답하면 사용자에게 액세스 권한이 거부됩니다. 어떤 경우에도 요청은 6시간 동안 캐시됩니다.

액세스를 거부할 때는 JSON 본문에 선택적으로 reason를 지정할 수 있습니다. 

{
  "reason": "이 프로젝트에 액세스할 수 없습니다."
}

상태 코드 200, 401 또는 403 이외의 다른 상태 코드는 해당 사용자에게 액세스를 거부하지만 응답은 캐시되지 않습니다.

서비스가 시간 초과되면(500ms 후), “외부 정책 서버가 응답하지 않았습니다”라는 메시지가 표시됩니다.

분류 레이블

프로젝트의 설정 > 일반 > 일반 프로젝트 설정 페이지에서 자체 분류 레이블을 사용할 수 있습니다. 프로젝트에 분류 레이블이 지정되지 않은 경우 글로벌 설정에서 정의한 기본 레이블이 사용됩니다.

모든 프로젝트 페이지의 우측 상단에 레이블이 표시됩니다.

프로젝트 페이지의 분류 레이블