SSO + OIDC 프로비저닝
외부 IdP (Keycloak · Okta · Azure AD) 와 D.Hub 를 OIDC 로 연결하고, 첫 사용자 로그인 시 자동 프로비저닝되도록 설정합니다.
8분
도입 초기에 SSO 를 한 번 잘 잡으면 사용자 추가 가 조직의 일상 운영에서 빠집니다. 본 레슨은 OIDC 기반 SSO 연동과 자동 프로비저닝 설정을 한 번에 통과합니다.
사전 정리 — IdP 에 D.Hub 클라이언트 등록
OIDC 흐름의 한쪽 끝은 외부 IdP 가 잡습니다. Keycloak / Okta / Azure AD / Google Workspace 어느 쪽이든, IdP 에서 D.Hub 를 OIDC 클라이언트 로 먼저 등록해야 합니다. 다음 두 값이 필요합니다.
- redirect URI —
https://<your-dhub-host>/auth/oidc/callback - 클라이언트 ID + secret — IdP 가 발급
이 두 값이 손에 있으면 D.Hub 쪽 설정으로 넘어갑니다.
D.Hub 쪽 — 인증 설정
포털 우상단 사용자 메뉴에서 설정 → 인증 및 접근 제어 로 들어갑니다.
1. OIDC 클라이언트 등록
- + OIDC 클라이언트 를 누르고 IdP 에서 받은 클라이언트 ID 와 secret 을 입력
- issuer URL — IdP 의 OIDC discovery 엔드포인트. 예:
https://keycloak.example.com/realms/dhub - scope —
openid profile email이 기본
저장하면 연결 테스트 버튼이 활성화됩니다. 한 번 눌러 연결 OK 인지 확인합니다.
2. SSO 로그인 활성화
같은 화면에서 SSO 로그인 토글을 켭니다. 활성화하면 로그인 화면에 "<IdP 이름> 으로 계속하기" 버튼이 표시됩니다.
자동 프로비저닝 — 첫 로그인이 곧 계정 생성
OIDC 자동 프로비저닝을 켜면, IdP 에서 인증된 사용자가 처음 로그인하는 순간 D.Hub 가 그 사용자 계정을 자동으로 만듭니다. 관리자가 매번 사용자 추가 를 누를 필요가 없습니다.
설정에서 자동 프로비저닝 토글을 켜고 두 가지를 잡습니다.
- 기본 Role — 자동 생성된 사용자에게 부여될 기본 권한. Reader 권장 — Writer 이상은 그룹 매핑 (다음 레슨) 으로 부여하는 게 안전합니다.
- 이메일 매핑 컬럼 — IdP 의 어떤 claim 을 사용자 이메일로 잡을지. 기본
email.
저장하면 IdP 에서 새 사용자가 로그인하는 순간 D.Hub 사용자 목록에 자동 등장합니다.
자가 점검
- 로그인 화면에 <IdP> 로 계속하기 버튼이 표시되는가
- 새 IdP 사용자로 로그인 시도 → D.Hub 사용자 목록에 자동 추가됐는가
- 추가된 사용자의 기본 Role 이 의도한 값 (Reader) 인가
- 비상용 로컬 관리자 계정 1 개는 그대로 남아 있는가
이 레슨에서 익혀야 할 것
- OIDC 클라이언트 등록의 IdP 쪽 · D.Hub 쪽 두 끝
- 자동 프로비저닝 의 의미 — 첫 로그인 = 계정 생성
- 비상용 로컬 계정 의 운영 안전 패턴
다음 레슨
IdP 그룹 ↔ 포털 그룹 매핑을 정의해 그룹 단위로 권한을 일괄 부여 합니다.