KeyCloak의 IdP에서 Okta 설정

이 글은 DENSO 추가 캘린더 2021의 셋째 날의 글이다.
개시하다
옥타와의 결말은?
인증 라이센스를 제공하는 IDaas 중 하나
https://www.okta.com/jp/
KeyCloak과의 결말?
인증 라이센스를 제공하는 OSS 중 하나
https://www.keycloak.org/
왜 옥타와 키클라크를 연합시킬 필요가 있을까요?
KeyCloak 개발에 사용됐던 AWS는 단일 서명으로 열리는 환경을 구축했으나 옥타로 바뀌었다.이 경우 옥타는 일반적으로 인증 승인을 받지만 이번에는 일부 사용자가 KeyCloak을 계속 사용해야 하는 경우도 있다.
단, 한 곳에서 한 사용자를 인증하고 싶기 때문에 옥타에 사용자 정보가 있다면 KeyCloak에서 옥타를 참조하십시오
구성 예
다음 프로그램(이번은 프로그램 B)만 KeyCloak에 사용자가 있는 경우 KeyCloak 인증을 하고 Okta에 사용자가 있는 경우 KeyCloak에서 Okta로 인증합니다.

설정 정보
개요

KeyCleak의 Identity Provider에서 Okta

설정

Okta 측면의 SAML2.0으로 KeyCloak 응용 프로그램 등록
탭

구체적 절차
Keycleak으로 Identity Provider 만들기
Keycloak의 관리자 화면을 열고 Identity Provider의 제작,SAMLv2를 선택하십시오.0을 선택합니다.

다음은 Keycleak의 Alias(무엇이든 가능), Display Name(무엇이든 가능)을 설정합니다.여기 아직 세이브가 없어요.메타데이터를 가져오기 위해서입니다.
Keycloak의 Redirect URI를 복사합니다.(이것은 옥타 측에 설정하기 위함)

Keycloak의 Service Provider Enity ID를 복사합니다.(이것은 옥타 측에 설정하기 위함)

여긴 화면을 끄지 않고 그냥 놔둬.(나중에 설정할 경우)
Okta로SAML2.0 응용 프로그램 만들기
Okta의 관리자 화면을 열고 SAML2.0 응용 프로그램을 만듭니다.

애플리케이션 이름 설정 및 Next 선택
뒤에 나오는 설정화면에서.
1. Single sign on URL에 Keycleak의 Redirect URI 붙여넣기
2. Keycleak의 Service Provider Enity ID를 Audience URI로 복사

다른 것은 변경하지 않고 OKta에서 Next->Finish를 선택하여 응용 프로그램 제작을 완료합니다.
다시 만든 응용 프로그램을 선택하여 Sign On 탭을 엽니다.

여기에 표시된 Identity Provider metadata의 링크 주소를 복사합니다.
마지막으로 만든 프로그램에 접근권을 줍니다.
KeyCloak 측에서 OKta의 메타데이터 가져오기
다시 Key Cloak 화면으로 돌아가겠습니다.
Keycloak의 Improt from URL에 Okta의 메타데이터 링크를 붙여넣고 저장

이렇게 설정하면 완성됩니다.
동작 확인 정보
다른 브라우저에서 KeyCloak의 로그인 화면을 보면 표시되지 않은 Identity Provider를 시작하는 정보가 표시됩니다.(이번에는saml)

이 링크를 클릭하면 Okta의 로그인 화면에 표시됩니다.

OKta 측에서 로그인이 완료되면 KeyCloak 측에서 로그인하여 목적 프로그램에 접근할 수 있습니다.
총결산
KeyCloak의 IdP에서 OKta를 설정하는 방법을 요약했습니다.구성이 좀 번거롭긴 하지만 참고가 됐으면 좋겠어요.