client scope
-
ArgoCD와 Keycloak OIDC 연동하기K8S 2022. 11. 25. 14:14
개요 1. Keycloak 대시보드에서 argocd client를 생성한다. 2. client scope를 생성한다. 3. ArgoCDAdmin이라는 그룹을 만들고, 사용할 user를 group에 join시킨다. 4. argocd-secret에 oidc client secret 값 base64 인코딩하여 추가한다. 5. argocd-cm에 oidc.config를 추가한다. 6. argocd-rbac-cm configmap에 생성한 group명을 추가한다. 환경 argo-cd v2.2.5 1. Keycloak 대시보드에서 argocd client를 생성한다. 현 예시에서는 default realm인 Master realm에서 작업한다. 예시에서는 Root URL, valid redirect url 등을 설..
-
Keycloak client scope 정리메모 및 기타 2022. 11. 25. 12:22
OIDC 액세스 토큰이 생성되면 기본적으로 User의 모든 User role mapping이 토큰 내의 클레임으로 추가된다. 애플리케이션(클라이언트)은 이 토큰 정보를 사용하여 해당 애플리케이션이 제어하는 리소스에 대한 액세스 결정을 내린다. 만약 Application이 손상되거나 Realm에 등록된 악성 애플레케이션 클라이언트가 있는 경우, 공격자가 광범위한 권한을 가진 액세스 토큰을 얻을 수 있기 때문에 클라이언트의 권한 허용 범위를 제한할 필요가 있다. keycloak에서는 이를 client scope로 처리한다. Client scope란? Client Scope는 액세스 토큰 내 선언된 Role을 제한하는 방법이다. 클라이언트가 사용자 인증을 요청할 때, 사용자가 받은 액세스 토큰에는 client..