[GitLab] 깃랩 마이크로소프트(MS) 계정 SSO 설정

 

 

 

깃랩은 OmniAuth라는 모듈을 내장하여 SSO(Single Sign On)을 제공합니다. 이로 인해 매우 다양한 인증 프로바이더를 지원하고 있습니다. https://docs.gitlab.com/ee/integration/omniauth.html#supported-providers

이 문서에서는 이 목록 중 마이크로소프트의 계정을 이용할 수 있는 "Azure V2 프로바이더"와의 SSO 설정을 설명합니다. 여기서의 SSO는 MS 계정을 가지고 깃랩의 유저를 등록하거나 기존 등록된 유저와 연결해서 로그인을 할 수 있도록 하는 것입니다.

---

자격

이하의 작업을 하는데 있어서는 다음의 조건이 필요합니다.

• MS 계정에 관리자 권한 보유
• 깃랩 서버에 ssh로 접속할 수 있고 root 권한으로 명령을 실행할 수 있는 상태

 

Azure Active Directory 설정

깃랩에서 MS 계정에 대한 SSO를 이용한다는 것은 MS의 인증 프로바이더를 이용한다는 얘기와 같습니다. 이 인증 프로바이더는 Azure Active Directory(이하 Azure AD)의 기능으로 제공됩니다. 이 기능을 이용하기 위해서는 먼저 어플리케이션을 등록해야 합니다. 자세한 설정은 https://docs.microsoft.com/ko-kr/azure/active-directory/develop/quickstart-register-app을 참조하기 바랍니다.

 

설정의 기본 화면은 다음의 단계로 들어갈 수 있습니다.

1. Azure Portal에 로그인
2. "Azure Active Directory 관리" 클릭

 

앱 등록

앱등록은 다음의 과정을 거칩니다.

1. 메뉴에서 "앱 등록"을 선택
2. "새 등록"을 클릭
3. 어플리케이션을 등록
   1. 이름에는 "깃랩" 입력. (다른 이름도 가능)
   2. 지원되는 계정 유형에는 "이 조직 디렉터리의 계정만(ITMSG만 - 단일 테넌트)" 선택
   3. 리디렉션 URI에는 웹을 선택하고 https://gitlab.example.com/users/auth/azure_activedirectory_v2/callback 입력

 

클라이언트 암호 생성

앱등록을 마치면 상세 설정화면이 나옵니다. 다음의 과정을 거쳐서 클라이언트 암호를 생성할 수 있습니다.

1. 메뉴에서 "인증서 및 암호" 선택
2. "새 클라이언트 암호" 선택
3. "설명"과 "만료시간"을 입력 혹은 확인하고 추가 클릭

위 과정을 거치면 암호가 생성되는데 이때 값을 복사해서 메모장 등에 보관해 두어야 합니다. 화면 전환 후에는 더이상 값을 볼 수 없습니다. (보안상의 이유)

 

 

API 사용권한 설정

SSO 로그인 과정에서 깃랩이 필요한 정보를 제공하도록 설정해 주어야 합니다. 깃랩은 email, openid, profile 에 대한 접근 권한이 필요합니다. 다음의 과정을 통해 사용 권한을 부여합니다.

1. 메뉴에서 "API 사용 권한" 선택
2. "권한 추가" 선택
3. "Microsoft Graph" 선택
4. "위임된 권한" 선택
5. "OpenId 권한"에서 email, openid, profile 선택
6. 맨밑에 "권한추가" 버튼 클릭

권한을 추가한 이후 "ITMSG에 대한 관리자 동의 허용"을 클릭하고 권한 부여에 동의해주어야 합니다. 이 작업은 ITMSG 그룹에 대한 관리자 권한이 있어야 가능합니다.

여기까지 설정하면 Azure AD에 대한 모든 설정은 끝이 납니다. 이 설정에 의해 생성된 정보 중 "개요" 에서 볼 수 있는 "애플리케이션(클라이언트) ID"와 "디렉터리(테넌트) ID", 클라이언트 암호 생성에서 생성한 암호는 깃랩 설정에서 이용되기 때문에 따로 메모해 놓아야 합니다.

 

 

깃랩 설정

이제 깃랩에서 Azure AD를 이용한 로그인을 활성화 시켜 주어야 합니다. /etc/gitlab/gitlab.rb 파일에 다음의 설정을 추가해 줍니다.

gitlab_rails['omniauth_allow_single_sign_on'] = ['azure_activedirectory_v2']
gitlab_rails['omniauth_block_auto_created_users'] = false
gitlab_rails['omniauth_providers'] = [
  {
    "name" => "azure_activedirectory_v2",
    "args" => {
      "client_id" => "[애플리케이션(클라이언트) ID]",
      "client_secret" => "[클라이언트 암호]",
      "tenant_id" => "[디렉터리(테넌트) ID]"
    }
  }
]

 

설정이 변경되면,

sudo gitlab-ctl reconfigure

명령어로 설정을 반영해 줍니다.

 

 

자세한 내용은 https://docs.gitlab.com/ee/integration/azure.html#microsoft-azure-oauth2-omniauth-provider-v2 참조.

Use Microsoft Azure as an authentication provider | GitLab

 

 

 

 

[Ubuntu] 우분투 서버 세팅

[Ubuntu] 우분투 서버 세팅

[GitLab] 깃랩 우분투(Ubuntu)서버에 세팅

[GitLab] 깃랩 우분투(Ubuntu)서버에 세팅

[GitLab] 깃랩 로그인 화면 커스터마이징

[GitLab] 깃랩 로그인 화면 커스터마이징

[GitLab] 깃랩 SSL적용 및 자동갱신

[GitLab] 깃랩 SSL적용 및 자동갱신