- Red Hat에서 개발한 오픈소스 Identity and Access Management(IAM) 솔루션입니다. 현대적인 애플리케이션과 서비스를 위한 인증 및 권한 부여 기능을 제공하는 인증 서버(Authentication Server)의 기능을 수행합니다. - Keycloack에서는 여러 플랫폼에서 중앙 집중식 인증 서버로 동작을 합니다. 주요한 기능은 서로 다른 도메인에서 실행되는 애플리케이션 간의 SSO를 지원하거나 REST API 기반에 접근제어 토큰에 대한 인증 제공 및 세션 타임아웃, 동시 로그인 제한과 같은 다양한 세션 기능을 담당합니다.
여러 애플리케이션에 대한 인증을 한 곳에서 관리할 수 있어 보안 정책 적용과 유지보수가 용이합니다.
SSO(Single Sign-On) 지원
사용자가 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있어 사용자 경험이 향상됩니다.
다양한 인증 프로토콜
OpenID Connect, SAML 2.0 등 표준 프로토콜을 지원하여 다양한 시스템과의 통합이 가능합니다.
소셜 로그인 통합
Google, Facebook 등 소셜 로그인을 쉽게 구현할 수 있습니다.
강력한 보안 기능
2단계 인증, 비밀번호 정책, 세션 관리 등 다양한 보안 기능을 제공합니다.
오픈소스
무료로 사용 가능하며, 활발한 커뮤니티 지원과 지속적인 업데이트가 이루어집니다.
확장성
REST API를 통한 통합이 용이하며, 커스터마이징이 가능한 유연한 아키텍처를 제공합니다.
2) 일반 사용자와 소셜 로그인 매핑
💡 일반 사용자와 소셜 로그인 매핑
- Keycloak에서 제공하는 기능으로, 기존의 일반 사용자 계정과 소셜 로그인으로 생성된 계정을 연결하는 프로세스입니다.
- 단일 사용자 계정으로 여러 로그인 방식 사용 가능합니다. - 기존 계정의 데이터와 권한을 소셜 로그인에서도 유지할 수 있습니다. - 사용자 경험 향상 및 계정 관리 효율성 증대가 됩니다.
1. 일반 사용자와 소셜 로그인 매핑 처리 과정
💡 일반 사용자와 소셜 로그인 매핑 처리 과정
1. 소셜 로그인 시도 시 이메일 주소 확인 2. 동일한 이메일을 가진 기존 계정 검색 3. 일치하는 계정이 있을 경우 계정 연동 옵션 제공 4. 사용자 확인 후 계정 통합 진행
3) 일반 사용자와 소셜 로그인 매핑 환경 구성
1. Keyclaok 관리자 페이지 접근 > Identity providers 탭 > 소셜 로그인을 선택합니다.
2. Mappers 탭 > Add mapper 버튼을 누릅니다.
3. Add Identity Provider Mapper
💡 Add Identity Provider Mapper
- 소셜 로그인 제공자로부터 받은 사용자 정보를 Keycloak의 사용자 속성으로 매핑하는 설정을 추가하는 화면입니다.
필드명
설명
Name
매퍼의 고유 식별자로 사용되는 이름입니다. 관리자가 쉽게 식별할 수 있는 의미 있는 이름을 지정해야 합니다.
Sync Mode Override
사용자 데이터 동기화 방식을 설정합니다.
Mapper Type
매핑 유형을 지정합니다. Attribute Importer는 소셜 제공자의 속성을 Keycloak 사용자 속성으로 가져오는 역할을 합니다.
Social Profile JSON Field Path
소셜 로그인 제공자로부터 받은 JSON 응답에서 가져올 필드의 경로를 지정합니다.
User Attribute Name
매핑된 값을 저장할 Keycloak 사용자 속성의 이름을 지정합니다. 예: email, firstName 등
💡 Sync Mode Override 속성 값
Sync Mode
설명
사용 시나리오
Inherit
Identity Provider에서 설정된 기본 동기화 방식을 상속받아 사용합니다.
일반적인 상황에서 가장 권장되는 기본 옵션입니다.
Import
최초 로그인 시 사용자 정보를 가져오고, 이후 필요한 경우에만 업데이트합니다.
선택적인 업데이트가 필요한 경우 사용합니다.
Force
로그인할 때마다 사용자 정보를 강제로 동기화합니다.
실시간으로 소셜 제공자의 최신 정보가 필요한 경우에 사용합니다.
Legacy
최초 로그인 시에만 정보를 가져오며, 이후에는 업데이트하지 않습니다.
초기 데이터만 필요하고 이후 수동으로 관리하는 경우에 사용합니다.
💡 Mapper Type 속성 값과 사용 사례
Mapper Type
설명
사용 시나리오
Attribute Importer
소셜 로그인 제공자의 사용자 속성을 Keycloak 사용자 속성으로 직접 매핑합니다.
기본적인 사용자 정보(이메일, 이름 등)를 매핑할 때 사용합니다.
User Property Importer
사용자의 기본 속성을 매핑합니다.
username, email, firstName, lastName 등 기본 속성 매핑 시 사용합니다.
JSON Path Claim Mapper
복잡한 JSON 응답 구조에서 특정 값을 추출하여 매핑합니다.
중첩된 JSON 구조에서 특정 데이터를 추출해야 할 때 사용합니다.
Hardcoded Role
소셜 로그인 사용자에게 특정 역할을 자동으로 할당합니다.
모든 소셜 로그인 사용자에게 동일한 역할을 부여해야 할 때 사용합니다.
Hardcoded Attribute
소셜 로그인 사용자에게 고정된 속성값을 설정합니다.
모든 소셜 로그인 사용자에게 동일한 속성값을 지정해야 할 때 사용합니다.
Hardcoded Group
소셜 로그인 사용자를 특정 그룹에 자동으로 할당합니다.
모든 소셜 로그인 사용자를 특정 그룹에 자동 배정해야 할 때 사용합니다.
Hardcoded User Session Attribute
소셜 로그인 사용자의 세션에 고정된 속성을 설정합니다.
사용자 세션에 특정 속성을 추가해야 할 때 사용합니다.
Username Template Importer
특정 템플릿을 기반으로 사용자 이름을 생성합니다.
사용자 이름을 특정 패턴이나 규칙에 따라 자동 생성해야 할 때 사용합니다.
4. Provicder details 내에 생성을 확인하였습니다.
4) 일반 사용자와 소셜 로그인 매핑
1. 사용자 확인
💡 사용자 확인
- 아래와 같이 adjh54ir@gmail.com이라는 이미 이메일을 사용하는 사용자가 있습니다.
2. 소셜 로그인 : Google Login
💡 외부 로그인 : Google Login
- 위에 지정한 이메일을 기반으로 소셜 로그인을 수행합니다.
3. Account alerady exists > Add to existing account 버튼을 누릅니다.
💡 Account alerady exists > Add to existing account 버튼을 누릅니다
- User with email adjh54ir@gmail.com already exists. How do you want to continue? 라는 메시지가 출력이 되었고, Revices profile과 Add to exisitng account라는 버튼이 출력이 되었습니다. - 이는 adjh54ir@gmail.com 라는 이메일이 중복이 발생하는데 이를 수정할것인지 아니면 기존에 계정에 추가할지에 대한 선택입니다. - 기존의 일반 사용자 계정에 소셜로그인을 추가하는 과정이므로 ‘Add to existing account’ 버튼을 누릅니다.
4. 로그인 페이지로 이동
💡 로그인 페이지로 이동
- 해당 버튼을 눌렀을때, 일반 사용자 계정과 소셜 로그인 계정이 매핑이 되고 로그인페이지로 리턴되었습니다. - 해당 부분에서 일반 사용자의 사용자 인증을 수행합니다.
5. 관리자 페이지 > Users > 일반 사용자 > Identity provider links 선택
💡 관리자 페이지 > Users > 일반 사용자 > Identity provider links 선택합니다.
