[Spring, React] Keycloak이 제공하는 기능과 사용 전 알아야할 개념 정리

 

 

관리자를 설정하는 최고관리자와
일반 고객을 관리하는 일반관리자를 분류하려 한다.
이때 이 분류를 keycloak으로 해보려고 한다.
keycloak이 무엇이며, 어떤 기능이 있는지 살펴보자.

 

 

 

1. Keycloak의 기능

• 애플리케이션에서 로그인 양식을 처리하거나 사용자를 인증하고 사용자 정보를 저장할 필요가 없이 Keycloak을 통해 인증한다.
• Single Sign-On : Keycloak에 한 번 로그인하면 다른 애플리케이션에 접속할 때 다시 로그인할 필요가 없다. 사용자는 여러 서비스에 각각 로그인 할 필요가 없이 한 번의 인증이면 모든 연결된 앱을 이용할 수 있다. 그리고 이 기능은 로그아웃도 그대로 적용된다.
• Identity Brokering and Social Login : 자체 계정 외에 외부 인증 시스템을 연동할 수 있다. 이 예시로 소셜 로그인(OIDC Brokering)이 있다. 구글, 깃허브, 페이스북 등의 계정으로 간편 로그인을 사용할 수 있도록 한다.
• User Federation: 기존에 운영 중인 사용자 DB가 있다면 Keycloak에 통합할 수 있다. LDAP/Active Directory 연동은 기업 내 기존 사용자 정보를 그대로 사용 가능하게 한다. 커스텀 DB 연동은 자체 개발한 데이터베이스(MySQL, PostgreSQL 등)에 있는 유저 정보를 가져오도록 확장 가능하다.
• Admin Console : 관리자는 관리 콘솔을 통해 Keycloak 서버의 모든 측면을 중앙에서 관리한다. Realm, 클라이언트, 역할, 권한, 세션 등을 중앙에서 제어할 수 있다. 그리고 아주 세부적이게 권한 부여 정책을 정의하며 권한 및 세션을 포함하여 사용자를 관리할 수 있다.
• Account Management Console : 사용자들은 계정 관리 콘솔을 통해 자신의 계정을 관리할 수 있다. 프로필을 업데이트하고, 비밀번호를 변경하고, 2단계 인증을 설정할 수 있다. 소셜 로그인이나 ID 브로커링을 활성화한 경우 사용자는 계정을 추가 제공업체와 연결하여 서로 다른 ID 제공업체를 통해 동일한 계정을 인증할 수 있다.
• Brute Force(무차별 대입 공격) 방지 : 일정 횟수 이상 로그인 실패 시 계정 잠금 기능을 제공한다.
• Authorization Services : Keycloak은 세분환된 권한 부여 서비스도 제공한다. 단순히 로그인을 넘어 무엇을 할 수 있는지를 결정한다. 역할 기반 권한 관리도 있고 이것보다 더 복잡하고 세밀한 권한 정책을 설정할 수 있다.
• SAML 2.0 지원 : SAML은 주로 기업 환경에서 오랫동안 사용되어 온 SSO 표준이다. Keycloak이 SAML을 지원하는 이유는 OIDC 이전에 구축된 오래된 레거시 시스템이나, 타사 엔터프라이즈 솔루션과의 연동이 매우 용이하다는 뜻이다. 최신 기술부터 전통적인 기술까지 모두 아우르는 강력한 호환성을 자랑한다.
  
  
  

Q. OIDC와 LDAP/Active Directory는 무엇일까?

A. OIDC는 OpenID Connect의 줄임말로 OAuth 2.0 프로토콜을 기반으로 하는 개방형 표준 인증 프로토콜이다. 사용자 ID를 검증하고 ID토큰(JWT 형식, JWT는 인증에 필요한 정보들을 JSON 객체에 담아 이를 암호화하여 안전하게 전달하는 일종의 디지털 신분증이다.)을 통해 사용자 정보를 안전하게 전달하며 다양한 플랫폼에서 사용자 인증을 간편하게 처리하기 위해 널리 사용된다. 쉽게 설명하자면 어떻게 안전하게 로그인 정보를 주고받을지에 대한 표준 약속이다. 그리고 주로 소셜 로그인이 OIDC를 지킨다.

LDAP/Active Directory는 기업 내부 서버에 설치된 사용자 데이터베이스의 일종이다. Active Directory(AD)는 마이크로소프트가 만든 제품 이름이다. 전 세계 대부분의 기업이 사내 PC 로그인, 이메일, 권한 관리를 위해 사용한다. LDAP는 AD 같은 시스템과 통신하기 위해 사용하는 전용 언어이자 프로토콜이다. 그래서 기업에서 AD를 사용한다는 말은, 직원 정보는 MS의 AD 서버에 다 들어가 있다는 의미이다.

OIDC는 인증 위임으로 이 사람이 본인인지 확인하는데 사용한다. 그리고 LDAP/AD는 데이터 동기화로 유저의 비밀번호가 맞는지 확인하는데 사용한다.

 

 

Q. ID 브로커링은 무엇일까?

A. ID 브로커링은 Identity Brokering으로 쉽게 말해서 Keycloak이 중간 중개인 역할을 수행하는 기능이다. 사용자가 서비스에 로그인하려고 할 때, Keycloak이 직접 아이디/비밀번호를 검증하는 대신 구글, 페이스북 등 다른 회사의 인증 서버에 이 사람이 맞는지 확인해달라고 요청을 넘기는 방식이다.

소셜 로그인 과정이 ID 브로커링의 대표적인 예시이다. 사용자가 [Google로 로그인] 버튼을 클릭한다. 그러면 이때 사용자를 Google 로그인 페이지로 리다이렉트하는데 이게 Keycloak 브로커라고 보면 된다.

 

 

 

- keycloak

Keycloak

 

 

 

 

 

---

 

 

 

 

2. Keycloak의 핵심 용어

• Realm(렐름)
  가장 크고 독립적인 관리 단위이다. Keycloak 서버 내부에 생성할 수 있는 독립된 가상 공간 또는 테넌트(Tenant, 임대 공간에 입점한 임차인(매장) 또는 클라우드 컴퓨팅 환경에서 리소스를 공유하는 사용자/조직)라고 이해하면 된다. ARealm과 BRealm은 완전히 분리된다. ARealm의 사용자는 BRealm에 로그인할 수 없으며 설정 또한 공유되지 않는다. 
• Client(클라이언트)
  Keycloak을 통해 인증/인가를 받으려는 애플리케이션이나 서비스를 의미한다. 사용자(User)가 아니다. 우리 회사 쇼핑몰 웹사이트, 쇼핑몰 모바일 앱, 주문 처리 백엔드 API 등이 모두 각각의 클라이언트가 될 수 있다. 
• User(사용자)
  Keycloak에 로그인(인증)을 시도하는 주체이다. 일반적으로 사람을 의미하며 각 사용자는 ID, 비밀번호, 이메일, 이름 등의 속성을 가진다.
• Role(역할)
  사용자에게 부여할 수 있는 권한 또는 꼬리표이다. 인가의 핵심 요소이다. admin, manager, use, guest 등이 대표적인 예시이다. Realm Role은 해당 Realm 전역에서 사용되는 공통 역할이다. Client Role은 특정 클라이언트(애플리케이션) 내에서만 의미가 있느 역할이다.
  
  

 

- Keycloak의 핵심개념

[Keycloak] 1. Keycloak 소개와 핵심 개념

 

 

 

 

---

 

 

 

 

 

3. Keycloak Role

• Realm Level Roles
  전체 영역에서 공통적으로 사용되는 역할로, 모든 클라이언트에 적용 가능하다. 애플리케이션에 상관없이 사용자의 신분이나 직무를 나타낼 때 주로 사용한다. 예시로 admin(전체 관리자 권한), user(일반 사용자 권한), manager(중간 관리자 권한) 등이 있다. Realm Level Roles는 관리자라는 역할을 한 번만 만들어두면 어느 곳에서든 사용할 수 있어 편리한 면이 있다. → 이 사용자는 누구인지 나타내는 느낌
• Client Level Roles
  특정 클라이언트 애플리케이션에서만 사용되는 역할로, 해당 클라이언트 내에서만 유효하다. 각 클라이언트(애플리케이션) 설정 내에서 독립적으로 정의되며, 해당 클라이언트 밖에서는 보이지 않는다. 예시로 배달앱으로 가정해보겠다. 식당 주인은 restaurant-owner, 배달부는 delivery-boy로 설정할 수 있다. Client Level Roles는 네임스페이스가 분리되어 관리가 깔끔하다. 앱이 많은 경우 Realm에서 만들려고 하면 이름이 충돌하거나 길어질 수 있는데, 이런 점을 방지해준다. → 이 앱에서 무엇을 할 수 있는지 나타내는 느낌
• Composite Roles
  여러 개의 역할을 하나로 묶어 관리하는 복합 역할로 역할 관리의 효율성을 증대한다. Relam Level Roles에서 적용한 내용과 Client Level Roles 내용을 합쳐 복합적인 역할을 부여한다. 예시로 super_admin을 만들어 admin + manage + editor 권한을 포함시킨다. 혹은 content_team을 만들어 writer + editor + reviewer 권한을 포함시킨다.
  
  

- keycloak의 Roles

[OpenSource] Keycloak 이해하기 -4 : Keycloak 권한 및 종류

 

 

 

 

---

 

 

 

 

4. 권한 할당 및 권한 매핑

• 직접 할당 방식
  사용자나 클라이언트에게 개별적으로 역할을 직접 부여하는 방식으로 가장 원초적인 방법이다. 명확한 권한 관리가 가능하며 사용자마다 권한 설정을 할 수 있고, 즉각적인 권한 변경이 가능하다. 그러나 사용자가 많아지면 누가 어떤 권한을 왜 가졌는지 파악하기 어려워져서 관리가 힘들어진다.  → 소규모 프로젝트나 테스트 시 유용하다. 
• 그룹을 통한 할당 방식
  사용자를 개발팀 혹은 기획팀과 같은 그룹에 넣고 그 그룹에 역할을 부여하는 방식이다. 대규모 사용자 관리에 효율적이며 일관된 권한 관리를 할 수 있다. → 일반적인 기업용 애플리케이션 및 사내 시스템에서 유용하다.
• 복합 역할을 통합 할당 방식
  여러 개의 작은 역할을 묶어 하나의 큰 역할을 만드는 방식이다. 권한의 재사용성이 높고 애플리케이션 소스 코드에서는 세부 역할만 체크한다. 그리고 관리자는 큰 역할만 부여하면 된다. → 마이크로서비스 아키텍처에서 여러 앱의 권한을 통합 관리할 때 유용하다.
• 매퍼를 통한 동적 매핑
  사용자의 속성이나 외부 DB 정보에 따라 토큰에 들어갈 권한 정보를 실시간으로 변환하는 방식이다. 예시로 이메일이 @tistory.com으로 끝나면 무조건 editor 권한을 부여한다와 같은 조건부 로직이 가능하다. Keycloak DB에 역할을 저장하지 않고도 외부 정보를 기반으로 권한을 생성할 수 있다. → 위부 LDAP/Active Directory연동이나 복잡한 비즈니스 로직 기반 권한 부여 시 유용하다.

 

 

 

---

 

 

- Keycloak에 대한 자세한 설명이 적혀져있습니다.(설치 등)

'Backend/Keycloak' 카테고리의 글 목록