Keycloak 사용자 아이디와 클라이언트 생성

KeyCloak 용어 정리

• OIDC : OAuth 가 권한 부여만 다루는 것이라면 OIDC 는 OAuth 를 포함하여 인증과 권한부여를 모두 포함한 것이다. SSO 의 구현을 위한 수단으로 사용된다.
• Realm : 인증, 권한 부여가 적용되는 범위를 나타내는 단위이다. SSO 를 적용한다고 했을때 해당 SSO 가 적용되는 범위는 Realm 단위이다.
• Client : 인증, 권한 부여 행위를 대행하도록 맡길 어플리케이션을 나타내는 단위이다. 그 단위는 웹사이트 혹은 REST API 를 제공하는 서비스도 될 수 있다. 하나의 Realm 에 n개의 Client 를 생성, 관리할 수 있다.
• User : Client 에 인증을 요청할 사용자를 나타낸다. 하나의 Realm 에는 Realm 에 종속된 n개의 User 를 생성하고 관리할 수 있다. 기본적으로 User 는 Username, Email, FirstName, LastName 으로 구성되어 있지만 Custom User Attribute 를 사용하면 사용자가 원하는 속성을 추가할 수 있다.
• Role : User 에게 부여할 권한 내용을 나타낸다. 여기에는 Keycloak 의 REST API 를 사용할 권한을 부여할 수 있고 사용자가 정의한 권한을 부여할 수도 있다.

 

Keycloak 사용을 위한 설정

Keycloak 사용을 위해서 다음과 같은 설정을 필요하다.

1. Realm 생성
2. User 생성
3. Client 생성

Realm 은 초기에는 Master Realm 만 존재한다. Master 가 아닌 실제 사용을 위한 렐름을 생성해준다.

Realm 기준 판단은 단일 회사 단위라고 생각 하면 될듯 하다. 

   예를 들어 포스코 그룹인 포스코, 포스코DX, 포스코인터내셔널, 포스코E&C 가 Keycloak를 도입하다고 가정하면
   Realm는 서로다른 4개가 필요할것이다.
   단, 만약에 위 4개 그룹사가 모두 아이디 동일한 아이디로 각 회사의 Legacy시스템을 사용하게 한다면 Realm는
   하나로 통일해야한다.

1. Realm 생성

● 왼쪽상단 master 아래 화살표를 눌려 Create Realm를 해보자.

● Realm name을 정하고 Create를 눌러 다음으로 넘어갑니다.

 

2. User 생성

● Keycloak에 대한 새 사용자를 생성한다.

     왼쪽 Manage -> Users를 클릭하고 Create new user를 클릭합니다.

● Username을 입력하고 Create를 클릭하여 다음 단계로 넘어간다.

  - 각 항목은 필수값이 아니지만, 필요한 항목은 기입해도 된다.

  - Required user actions는 로그인 할때 필요한 조치를 선택할수 있으며, ( 'Verify email' ) email 주소를 확인하기 위해

    사용자에게  email를 보내거나, ( 'Update profile' ) 사용자가 개인정보를 입력하도록 요구하거나,

    ('Update password') 사용자가 새로운 비밀번호를 입력하도록 요구할수 있으며, ( 'Configure OTP') OTP구성도 할 수 있다.

 

● Credentials 탭에서 Set Password를 클릭해서 패스워드를 입력한다.

 Temporary를 On으로 하면 test유저가 처음 로그인시 패스워드를 변경할수 있다.

3. Client 생성

Client는 Application 인증을 위한 단위라고 보면 된다.

 

● 왼쪽 메뉴에서 Clients의 Create client 를 클릭한다. 

 

● Client ID를 입력한다.

● Capability config는 default로 하고 Next .

 

● Login settings에서 redirect URIs를 설정한 후 Save.

 

 

Valid redirect URls 는 실제 인증(로그인) 성공후 리다이렉션 할수 있는 URL패턴
    - React로 샘플 사이트를 구축할 예정이므로 react 기본 URL인 http://localhost:3000 으로
       * 와일드카드는 react에서 라우팅된 모든 URL를 허용하기 위해서 사용
Valid post logout redirect URls 는 로그아웃후 리다이렉션 하는 URL이다.
Web origins 는 CORS를 해결하기 위해 가능하면 사용 
    - 특정 URL만 허용할 경우는 해당 URL를 기입하면 된다.

다음에는 간단한 react로 테스트 방법을 알아보자.