SSO·계정 프로비저닝 한 페이지 (8분)
D.Hub 의 OIDC 기반 SSO 로그인, IdP 사용자·그룹 등록·동기화, 자동화용 OIDC 클라이언트를 한 페이지에서 끝까지 본 흐름으로 정리합니다. 도입 결정 회의 직후 사전 조사용.
이 튜토리얼이 끝나면
- D.Hub 의 SSO 가 어떤 표준(OIDC) 위에 서 있고, IdP 와 D.Hub 사이의 동기화가 어느 방향으로 흐르는지 한 도식으로 잡힌다.
- 로컬 사용자·IdP 사용자·자동화용 OIDC 클라이언트, 세 신원의 자리와 운영 위험이 구분된다.
- 컴플라이언스·보안팀 한 페이지 요약의 인증·프로비저닝 항목을 채울 만큼의 확신이 선다.
한 줄 요약 — D.Hub 의 SSO 는 OIDC 표준을 따르고, 사용자·그룹 등록은 IdP → D.Hub 단방향, 자동화는 별도 OIDC 클라이언트 시크릿(1회 노출)을 발급해 처리한다. 비상 접근용 로컬 계정은 SSO 운영 환경에서도 살려 두는 게 표준 권장.
1. 인증 ↔ 권한 분리 (30초)
D.Hub 는 인증(누구인지)과 권한(무엇을 할 수 있는지)을 분리한다. 본 튜토리얼은 인증 한 축만 다룬다 — 권한·역할·정책은 권한 모델 한 눈에 보기 가 짝.
| 축 | 화면 진입 | 본 튜토리얼 범위 |
|---|---|---|
| 인증 (로그인) | 로그인 화면 + 사이드바 시스템 → 설정 → 인증 | ✓ |
| 사용자·그룹 신원 | 사이드바 시스템 → 설정 → 사용자 / 그룹 | ✓ |
| 자원 권한 | 자원의 공유 및 권한 다이얼로그 | — (별도 튜토리얼) |
2. SSO 로그인 흐름 (1분 30초)
SSO 가 구성되면 로그인 화면에 SSO 로그인 버튼이 함께 뜬다. 사용자가 이 버튼을 누르면 D.Hub 가 IdP 로 리디렉트하고, IdP 인증 결과를 받아 세션을 연다.
사용자 → D.Hub : "SSO 로그인" 클릭
D.Hub → IdP : 로그인 요청(리디렉트)
IdP → 사용자 : IdP 로그인 화면
사용자 → IdP : 자격 증명 입력
IdP → D.Hub : 인증 결과 반환
D.Hub → 사용자 : D.Hub 로그인 완료
핵심 사실:
- 표준 — OIDC (OpenID Connect). 표준 OIDC 를 지원하는 IdP(Keycloak, Azure AD/Entra ID, Zitadel 등)는 연동 가능 — 도입 시점에 어떤 IdP 가 붙어 있는지는 로그인 화면과 사용자 등록 버튼의 제공자 이름으로 식별된다.
- 비밀번호 비저장 — SSO 사용자의 비밀번호는 D.Hub 에 저장되지 않고, 이름·이메일 등 기본 프로필도 IdP 가 권원(authoritative).
- 로컬·SSO 공존 — SSO 가 구성되어도 로컬 계정은 살아 있을 수 있다. 비상 접근용 로컬 계정 보유가 운영 표준 권장(IdP 장애 시 관리자 진입 경로 확보).
3. 사용자 등록 — 로컬 vs IdP (1분 30초)
사이드바 시스템 → 설정 → 사용자 (/settings/users). 관리자(admin) 유형만 들어갈 수 있다.
| 신원 종류 | 만드는 화면 | 비밀번호 관리 | 프로필 수정 |
|---|---|---|---|
| 로컬 사용자 | 사용자 만들기 다이얼로그 | D.Hub 가 저장 (관리자가 초기화 가능) | D.Hub 에서 |
| SSO (IdP) 사용자 | IdP 사용자 등록 다이얼로그 (IdP 이름 표시 — 예: "Keycloak 사용자 등록") | IdP 권원 (D.Hub 미저장) | IdP 에서, 이름·이메일 잠금 |
등록 후 관리자가 부여하는 D.Hub 내부 속성:
- 유형(역할) — 관리자 / 매니저 / 사용자 중 택1. 관리 화면 접근 권한을 결정.
- 그룹 — 한 사용자가 여러 그룹에 동시 소속 가능. 권한 부여 단위.
- 활성/비활성 — 즉시 전환.
운영 메모:
- 로컬 사용자 비밀번호는 최소 8자. 관리자가 비밀번호 초기화를 할 수 있지만 본인 계정에는 적용할 수 없다.
- SSO 사용자는 행 액션 동기화로 IdP 기준 프로필을 갱신한다. IdP 에서 삭제된 사용자에게는 안내가 뜬다.
4. 그룹 등록 — IdP → D.Hub 단방향 (1분 30초)
사이드바 시스템 → 설정 → 그룹 (/settings/groups). 관리자 전용.
- 로컬 그룹 — 그룹 만들기로 신설. 로컬 사용자에게만 배정 가능.
- SSO (IdP) 그룹 — IdP 그룹 등록 으로 가져온다. 등록 후 동기화로 갱신.
기억할 한 줄 — 그룹 등록·동기화는 IdP → D.Hub 방향. D.Hub 에서 그룹 멤버를 바꿔도 IdP 에는 반영되지 않는다. 따라서 SSO 그룹 멤버십 변경은 IdP 쪽에서 하는 것이 표준 흐름.
멤버 배정은 그룹 화면이 아니라 사용자 화면에서 한다. 사용자를 편집해 그룹 필드에 추가/제거.
그룹에 자원 권한을 부여하면 멤버십 변경이 곧장 권한에 반영된다 — 운영 효율의 가장 큰 지렛대.
5. 자동화용 OIDC 클라이언트 (1분 30초)
자동화 스크립트·외부 시스템이 사람 로그인 없이 D.Hub API 를 호출해야 할 때는 OIDC 클라이언트 를 발급한다.
진입 경로: 사이드바 시스템 → 설정 → OIDC 클라이언트 (/settings/oidc-clients).
운영 위험·관행:
- 시크릿은 생성·회전 시 한 번만 노출 — 안전한 시크릿 저장소(예: 사내 vault)로 즉시 옮기는 게 표준. 다시 보여 주는 화면이 없다.
- 클라이언트 단위 분리 — 한 클라이언트가 여러 자동화에 재사용되면 사고 시 영향 범위가 커진다. 시스템당 1 클라이언트 가 운영 권장.
- 시크릿 보관 — 스크립트·커넥터 등에서 쓸 자격증명은 별도 시크릿(Secret) 화면(
/settings/secrets) 에 보관·참조한다. - 회수 흐름 — 시크릿 노출·이직·시스템 폐기 시 회전 또는 클라이언트 삭제. 회전 시 새 시크릿이 똑같이 1회만 노출.
6. 사전 조사 한 페이지 체크리스트
도입 결정 회의 직후 보안·법무에 제출할 수 있는 형식:
- 표준 — OIDC. 현재 IdP(예: Keycloak / Entra ID / Zitadel) 확정.
- 로그인 경로 — 로컬 / SSO 어느 쪽을 1차로? 비상용 로컬 계정 보유자 명단.
- 프로비저닝 방향 — IdP → D.Hub 단방향. D.Hub 측 자체 신원 생성이 발생하는 채널 명세 (로컬 사용자 / 자동화 클라이언트).
- 유형 분배 — admin 보유자, manager 보유자 명시. admin 은 사용자·그룹·인증·시스템 설정 전부 접근.
- 그룹 운용 — SSO 그룹 멤버십 권원은 IdP. D.Hub 에서의 그룹 수정 시 누락 위험 인지.
- 자동화 인증 — OIDC 클라이언트 발급·회전 절차. 시크릿 1회 노출 정책의 vault 적재 SOP 확정.
- 계정 회수 — SSO 사용자 비활성만으로 충분한지, 삭제가 필요한지 사내 정책 확정.
다음 단계
- 권한·역할·정책 층을 같은 페이지 두께로 보고 싶다면 권한 모델 한 눈에 보기.
- 사용자·그룹 등록·동기화가 끝난 뒤 정책으로 데이터셋 컬럼·행까지 좁히려면 컬럼·행 마스킹 정책 운영 로 — SSO 가 누구를 잇는 축이라면 FGAC 는 무엇을 좁히는 축이다.
- 본 튜토리얼의 화면명·필드명은 포털의 시스템 → 설정 사이드바 트리와 일치한다. 포털 라벨이 바뀌면 본 튜토리얼의 라벨도 같은 라운드에서 sync 한다.