4단계 - 인증
참고: 이 페이지는 Halo Portal SSO 로그인을 Azure Entra ID와 통합하기 위한 것입니다.
필수 조건
- SSO를 사용하려면 Portal용 도메인을 선택합니다.
- 원하는 AWS tenant의
tenant_id를 확인합니다. - Azure CLI가 머신에 설치되어 있는지 확인하고
az login을 사용하여 로그인합니다. - Run the attached shell script to create 3 app registrations and enterprise applications. Make a note of the outputs from the script which will be used in the next steps:
- cdrplatform-api-access
- cdrplatform-portal-access
- cdrplatform-portal-client
bash create-azure-app-registrations.sh cleanroom.glasswall.com
Portal 인증 설치
Glasswall Halo의 portal에서 AWS와 SSO를 설정하려면:
- 아래 명령을 실행하려면 VM에 SSH로 접속합니다.
- 참고:
/home/glasswall디렉터리에 cdrplatform-portal 및 cdrplatform-portal-access helm chart가 있습니다.
- 클러스터에서 portal의 image tag를 찾아
image_tag변수로 설정합니다.
k get deploy portal -o json | jq -r '.spec.template.spec.containers[0].image' | cut -d":" -f2
- 아래 변수에 올바른 값을 할당하도록 주의하면서 AWS IAM 설정으로 portal을 배포합니다.
tenant_id=""
portal_domain=""
portal_client_id=""
portal_access_uri=""
image_tag=""
helm upgrade --install cdrplatform-portal cdrplatform-portal \
--set image.repository=glasswallacr.azurecr.io/cdrplatform-portal \
--set image.tag="${image_tag:?}" \
--set image.pullPolicy=IfNotPresent \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${portal_domain:?} \
--set ingress.tls.secretName=tls-secret \
--set cloud_provider=local \
--set resources.requests.cpu=500m \
--set resources.requests.memory=500Mi \
--set resources.limits.cpu=500m \
--set resources.limits.memory=500Mi \
--set securityContext.seccompProfile.type=RuntimeDefault \
--set configuration.BackendScope="${portal_access_uri}/PortalUserScope" \
--set configuration.BackendUrl="https://${portal_domain}" \
--set configuration.EnabledPages="SystemSettings\,PolicySettings" \
--set configuration.OIDC.ProviderOptions.Authority="https://login.microsoftonline.com/${tenant_id:?}/v2.0" \
--set configuration.OIDC.ProviderOptions.RedirectUri="https://${portal_domain}/authentication/login-callback" \
--set configuration.OIDC.ProviderOptions.ClientId="${portal_client_id}" \
--set configuration.OIDC.ProviderOptions.PostLogoutRedirectUri="https://${portal_domain}/authentication/logout-callback" \
--atomic
- 클러스터에서 portal-access의 image tag를 찾아
image_tag변수로 설정합니다.
k get deploy portal-access -o json | jq -r '.spec.template.spec.containers[0].image' | cut -d":" -f2
- Azure AD 구성으로 portal access를 배포합니다:
tenant_id=""
portal_domain=""
portal_access_uri=""
image_tag=""
helm upgrade --install cdrplatform-portal-access cdrplatform-portal-access \
--set image.repository=glasswallacr.azurecr.io/cdrplatform-portal-access \
--set image.tag="${image_tag:?}" \
--set image.pullPolicy=IfNotPresent \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${portal_domain:?} \
--set ingress.tls.secretName=tls-secret \
--set cloud_provider=local \
--set resources.requests.cpu=1 \
--set resources.requests.memory=2Gi \
--set resources.limits.cpu=1 \
--set resources.limits.memory=2Gi \
--set securityContext.seccompProfile.type=RuntimeDefault \
--set configuration.AuthenticationScheme=Bearer \
--set configuration.Authentication__Schemes__Bearer__ValidAudiences__0="${portal_access_uri}" \
--set configuration.Authentication__Schemes__Bearer__ValidIssuer=https://sts.windows.net/${tenant_id:?}/ \
--set configuration.Authentication__Schemes__Bearer__Authority=https://login.microsoftonline.com/${tenant_id}/v2.0/ \
--atomic
-
브라우저에서 portal domain을 열고 왼쪽 하단의 Login with SSO를 클릭합니다.
-
Azure AD를 통해 로그인하고 조직에 대한 앱 권한을 부여합니다.
API 인증
API 인증은 2가지 방법으로 구성할 수 있습니다:
기본 인증 설치
- 아래 명령을 실행하려면 VM에 SSH로 접속합니다.
참고: cdrplatform-api-access Helm chart는 /home/glasswall 디렉터리에 있습니다.
- 아래 명령에서 Username 및 Password를 설정합니다. 여러 비밀번호는 쉼표로 구분합니다.
bash add_secrets.sh organisation0-id <username>
bash add_secrets.sh organisation0-tokens <password>
- 기본 인증으로 API-access를 배포합니다.
image_tag=$(k get deploy api-access -o json | jq -r '.spec.template.spec.containers[0].image' | cut -d":" -f2)
enable_tls="true" OR "false"
api_domain="" # ignore if enable_tls is false
helm upgrade --install cdrplatform-api-access cdrplatform-api-access \
--set image.tag="${image_tag:?}" \
--set image.pullPolicy=IfNotPresent \
--set image.repository="glasswallacr.azurecr.io/cdrplatform-api-access" \
--set ingress.tls.enabled="${enable_tls:?}" \
--set ingress.tls.domain="${api_domain}" \
--set configuration.CLIENTS__Policy__BaseAddress="http://policy-api:8080" \
--set configuration.CLIENTS__License__BaseAddress="http://license-management.license-management.svc.cluster.local:8080" \
--set configuration.CLIENTS__AsyncApi__BaseAddress="http://async-api:8080" \
--set configuration.AuthenticationScheme="Basic" \
--set cloud_provider=local \
--set resources.requests.cpu=1 \
--set resources.requests.memory=3Gi \
--set resources.limits.cpu=1 \
--set resources.limits.memory=3Gi \
--set securityContext.seccompProfile.type=RuntimeDefault \
--atomic
Bearer 인증 설치
-
원하는 Azure tenant의
tenant_id를 확인합니다. -
아래 명령을 실행하려면 VM에 SSH로 접속합니다.
참고: cdrplatform-API-access Helm chart는 /home/glasswall 디렉터리에 있어야 합니다.
- Azure AD 구성으로 API-access를 배포합니다.
tenant_id=""
api_valid_audience="api://cdrplatform-api-access"
image_tag=$(k get deploy api-access -o json | jq -r '.spec.template.spec.containers[0].image' | cut -d":" -f2)
enable_tls="true" OR "false"
api_domain="" # ignore if enable_tls is false
helm upgrade --install cdrplatform-api-access cdrplatform-api-access \
--set image.tag="${image_tag}" \
--set image.pullPolicy=IfNotPresent \
--set image.repository="glasswallacr.azurecr.io/cdrplatform-api-access" \
--set ingress.tls.enabled="${enable_tls}" \
--set ingress.tls.domain="${api_domain}" \
--set configuration.CLIENTS__Policy__BaseAddress="http://policy-api:8080" \
--set configuration.CLIENTS__License__BaseAddress="http://license-management.license-management.svc.cluster.local:8080" \
--set configuration.CLIENTS__AsyncApi__BaseAddress="http://async-api:8080" \
--set configuration.AuthenticationScheme="Bearer" \
--set configuration.Authentication__Schemes__Bearer__ValidAudiences__0="${api_valid_audience}" \
--set configuration.Authentication__Schemes__Bearer__ValidIssuer=https://sts.windows.net/${tenant_id}/ \
--set configuration.Authentication__Schemes__Bearer__Authority=https://login.microsoftonline.com/${tenant_id}/v2.0/ \
--set cloud_provider=local \
--set resources.requests.cpu=1 \
--set resources.requests.memory=3Gi \
--set resources.limits.cpu=1 \
--set resources.limits.memory=3Gi \
--set securityContext.seccompProfile.type=RuntimeDefault \
--atomic
축하합니다. Glasswall Halo를 성공적으로 배포했습니다!