외부 인가 제어

Tier: Free, Premium, Ultimate Offering: Self-Managed

고도로 통제된 환경에서는 프로젝트 분류 및 사용자 액세스에 기반하여 액세스 정책을 제어하는 것이 필요할 수 있습니다. GitLab은 사용자가 정의한 서비스로 프로젝트 인가를 확인할 수 있는 방법을 제공합니다.

외부 서비스가 구성되고 활성화된 후에 프로젝트에 액세스하면 사용자 정보와 프로젝트 분류 레이블이 해당 프로젝트에 할당됩니다. 서비스에서 알려진 응답을 반환하면 결과가 6시간 동안 캐시됩니다.

외부 인가가 활성화되면 GitLab은 추가로 교차 프로젝트 데이터를 렌더링하는 페이지와 기능을 차단합니다. 이에는 다음이 포함됩니다.

  • 대시보드 하위의 대부분의 페이지 (활동, 마일스톤, 코드 스니펫, 할당된 병합 요청, 할당된 이슈, 할 일 목록).
  • 특정 그룹 하위 (활동, 기여 분석, 이슈, 이슈 보드, 레이블, 마일스톤, 병합 요청).
  • 전역 및 그룹 검색이 비활성화됨.

이는 외부 인가 서비스에 한 번에 너무 많은 요청을 수행하는 것을 방지하기 위해입니다.

액세스가 허용되거나 거부될 때마다 이는 external-policy-access-control.log라는 로그 파일에 로깅됩니다. GitLab이 유지하는 로그에 대해 자세히 알아보려면 Linux 패키지 설명서에서 읽어보세요.

자체 서명된 인증서와 TLS 인증을 사용할 때는 CA 인증서가 OpenSSL 설치에서 신뢰받아야 합니다. Linux 패키지를 사용하여 GitLab을 설치하는 경우, 사용자 정의 CA를 설치하는 방법에 대해 알아보세요 (Linux 패키지 설명서). 또는 openssl version -d를 사용하여 사용자 정의 인증서를 설치할 위치에 대해 알아보세요.

구성

관리자는 외부 인가 서비스를 활성화할 수 있습니다.

  1. 왼쪽 사이드바에서 아래쪽에서 관리 영역을 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 외부 인가를 확장합니다.
  4. 필드를 완성합니다.
  5. 변경 사항 저장을 선택합니다.

배포 토큰 및 배포 키로 외부 인가 허용

인스턴스를 설정하여 배포 토큰 또는 배포 키로 Git 작업에 대한 외부 인가를 허용할 수 있습니다.

전제 조건: - 서비스 URL 없이 분류 레이블을 사용하고 있어야 합니다.

배포 토큰 및 키로 인가를 허용하려면:

  1. 왼쪽 사이드바에서 아래쪽에서 관리 영역을 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 외부 인가를 확장한 후:
    • 서비스 URL 필드를 비워둡니다.
    • 외부 인가의 배포 토큰 및 배포 키 사용 허용을 선택합니다.
  4. 변경 사항 저장을 선택합니다.

경고: 외부 인가를 활성화하면 배포 토큰이 컨테이너 또는 패키지 레지스트리에 액세스할 수 없습니다. 이런 토큰을 사용하여 이러한 레지스트리에 액세스하는 경우, 이 조치로 인해 해당 토큰의 사용이 중지됩니다. 컨테이너 또는 패키지 레지스트리에 대한 토큰을 사용하려면 외부 인가를 비활성화하세요.

작동 방식

GitLab이 액세스를 요청하면 외부 서비스로 이 몸체를 포함하는 JSON POST 요청이 전송됩니다: 

{
  "user_identifier": "jane@acme.org",
  "project_classification_label": "project-label",
  "user_ldap_dn": "CN=Jane Doe,CN=admin,DC=acme",
  "identities": [
    { "provider": "ldap", "extern_uid": "CN=Jane Doe,CN=admin,DC=acme" },
    { "provider": "bitbucket", "extern_uid": "2435223452345" }
  ]
}

user_ldap_dn은 선택 사항이며 사용자가 LDAP을 통해 로그인한 경우에만 전송됩니다.

identities는 사용자와 관련된 모든 신원 정보를 포함합니다. 사용자에게 연결된 신원이 없는 경우, 이는 빈 배열입니다.

외부 인가 서비스가 상태 코드 200으로 응답하면 사용자는 액세스를 허용받습니다. 외부 서비스가 상태 코드 401 또는 403으로 응답하면 사용자는 액세스를 거부받습니다. 어느 경우에도 요청은 6시간 동안 캐시됩니다.

액세스를 거부할 때는 이 몸체에 reason을 선택적으로 지정할 수 있습니다: 

{
  "reason": "You are not allowed access to this project."
}

상태 코드 200, 401 또는 403 이외의 모든 상태 코드도 사용자의 액세스를 거부하지만 응답은 캐시되지 않습니다.

서비스가 시간 초과되면(500ms 후), “외부 정책 서버가 응답하지 않았습니다”라는 메시지가 표시됩니다.

분류 레이블

프로젝트의 Settings > General > General project settings 페이지에서 “Classification label” 상자에 자체 분류 레이블을 사용할 수 있습니다. 프로젝트에 특정 분류 레이블이 지정되지 않은 경우 글로벌 설정에 정의된 기본 레이블이 사용됩니다.

모든 프로젝트 페이지의 오른쪽 상단에 레이블이 표시됩니다.

프로젝트 페이지의 분류 레이블