로그인
MSAP.ai Console에 접속하려면 인증 과정을 거쳐야 합니다. MSAP.ai Console은 OIDC 인증과 Token 인증 두 가지 방식을 지원합니다.
로그인 화면 구성
MSAP.ai Console에 처음 접속하면 로그인 화면이 표시됩니다. 기본 접속 URL은 https://console.[sub_domain].[domain].[TLD]/이며, MSAP.ai Console 인그레스에서 확인할 수 있습니다.
로그인 화면에는 다음 요소가 표시됩니다.
- MSAP.ai 로고: 화면 상단에 제품 로고가 표시됩니다.
- 인증 방식 선택: OIDC 로그인 또는 Token 로그인 중 원하는 방식을 선택할 수 있습니다.
- 로그인 버튼: 선택한 인증 방식에 따라 로그인을 진행합니다.
운영 환경의 설정에 따라 사용 가능한 인증 방식이 달라질 수 있습니다. OIDC가 구성되어 있지 않은 환경에서는 Token 인증만 표시됩니다.
OIDC 로그인
OIDC(OpenID Connect) 인증은 Keycloak을 통한 통합 인증 방식입니다. 조직의 사용자 계정을 중앙에서 관리하며, SSO(Single Sign-On)를 지원합니다.
로그인 절차
- 로그인 화면에서 OIDC 로그인 버튼을 클릭합니다.
- SSO 로그인 페이지로 리다이렉트됩니다.
- 사용자 이름(또는 이메일)과 비밀번호를 입력합니다.
- 로그인 버튼을 클릭합니다.
- 인증이 성공하면 MSAP.ai Console 메인 화면으로 자동 이동합니다.
OIDC 인증의 장점
- 중앙 집중 관리: Keycloak에서 사용자 계정, 권한, 그룹을 통합 관리할 수 있습니다.
- SSO 지원: 한 번 로그인하면 MSAP.ai 플랫폼의 다른 서비스에도 별도 로그인 없이 접속할 수 있습니다.
- 보안 강화: 비밀번호 정책, 2단계 인증 등 Keycloak의 보안 기능을 활용할 수 있습니다.
- 세션 관리: 관리자가 사용자 세션을 중앙에서 관리하고 필요시 강제 로그아웃할 수 있습니다.
주의 사항
- Keycloak 서버에 접속할 수 없는 경우 OIDC 로그인이 실패할 수 있습니다. 이 경우 Token 인증을 사용하시기 바랍니다.
Token 로그인
Token 인증은 Kubernetes 서비스 계정 토큰을 사용하여 직접 인증하는 방식입니다. OIDC가 구성되지 않은 환경이나 자동화 스크립트에서 활용할 수 있습니다.
토큰 획득 방법
Kubernetes 클러스터에서 서비스 계정 토큰을 가져오려면 다음 명령어를 실행합니다.
# 서비스 계정의 시크릿에서 토큰 추출
kubectl -n kube-system get secret <서비스계정-시크릿명> -o jsonpath='{.data.token}' | base64 -d
또는 관리자에게 토큰을 요청할 수 있습니다.
로그인 절차
- 로그인 화면에서 Token 인증 방식을 선택합니다.
- 토큰 입력 필드에 획득한 Bearer Token 값을 붙여넣습니다.
- 로그인 버튼을 클릭합니다.
- 토큰이 유효하면 MSAP.ai Console 메인 화면으로 이동합니다.
주의 사항
- 토큰은 해당 서비스 계정에 부여된 권한 범위 내에서만 리소스에 접근할 수 있습니다.
- 토큰의 유효 기간이 만료되면 다시 로그인해야 합니다.
- 토큰은 민감한 정보이므로 안전하게 관리해야 합니다. 타인과 공유하거나 소스 코드에 포함하지 마시기 바랍니다.
세션 관리
세션 유지
로그인에 성공하면 세션이 생성되어 일정 시간 동안 재로그인 없이 사용할 수 있습니다. 세션 유지 시간은 서버 설정에 따라 달라집니다.
세션 만료
세션이 만료되면 자동으로 로그인 화면으로 이동합니다. 진행 중이던 작업이 있는 경우 세션 만료 전에 저장하시기 바랍니다.