raccoon-mh commented 4 months ago

1. 임시 보안 자격 증명

2. CSP 별 지원 현황

구분	IDP OIDC	IDP SAML	Other..	가이드제공	비고
AWS	확인	확인		가능	OIDC 및 SAML STS 발급 및 사용 PoC 완료 [MZC]
Alibaba	확인	O		가능	OIDC STS 발급 및 사용 PoC 완료 [MZC]
Tencent	확인	O		가능	OIDC 및 SAML STS 발급 및 사용 PoC 완료 [MZC]
GCP	O	O
naver cloud	X	확인	STS API 를 제공	가능	STS API 를 통해 600 - 43200초 동안 사용가능한 API 인증 발급 가능 [MZC]
ibm cloud	X	deprecated	STS API 를 제공	가능	STS API 를 통해 3600초 동안 사용 가능한 API 인증 발급 가능 [MZC]
NHN	X	X	rbac, abac 은 제공하나, api key를 통해서 제공		API Accesskey, Secretkey 를 활용한 API 호출/ api password, tenantID, UserId 등 필요
openstack	O	O
Azure	O	O
KT Cloud	X	X			없음.

키페어, 접근패스워드, otp, api key type만 제공
- https://tech.ktcloud.com/3
k10 (kubernetes)에서는제공하는듯 하나, docs 는 확인불가
- https://gcloud.kt.com/download/SPK_Veeam_Kasten.pdf

STS API를 제공
- https://cloud.ibm.com/docs/account?topic=account-iamtoken_from_apikey&locale=ko&code=curl
SAML 더 이상 사용되지 않음.
- 자사 연합 ID를 사용하도록 더이상 SAML 을 지원하지 않음
  - 연합 ID란 도메인, 메일서버, 휴대폰 번호등 입력

MZC-CSC commented 4 months ago

ncp 의 경우 OIDC, SAML 이 서비스 가입형태로 제공되는 것 같습니다. https://www.ncloud.com/product/management/NcloudSingleSignon

dongjae commented 4 months ago

유용한 정보 감사합니다. 큰 틀에서 보면, 글로벌은 지원, 국내는 미지원 상황인 듯 하네요. 그럼....글로벌과 국내로 구분하여 2가지의 접근 방식으로 정리가 가능할런지가 관건인 듯 합니다.

powerkimhub commented 4 months ago

@raccoon-mh

NCP 경우 다음 SSO-Keycloak 가이드가 있는데, STS 지원하고는 또 다른 것인지요?
- https://guide.ncloud-docs.com/docs/sso-keycloak

raccoon-mh commented 4 months ago

@powerkimhub

해당 링크에 있는 가이드는 SAML 연동 방식의 IDP 연동입니다.
문의 결과 OIDC 프로토콜은 계획이 없다고 합니다.
기존 AWS, Alibaba 및 M-CMP 모두 OIDC 를 제공하고 있기에 SAML 은 OIDC나 다른 대안이 없을때 진행하려 합니다.
- 그리고 NCP의 IDP 연동 방식은 계정 프로비저닝 및 별도 테넌트 생성등의 작업이 추가로 필요하여 최대한 모든 CSP 가 동일한 설정을 갖을 수 있도록 하기 위함입니다.
NCP 같은경우 첫번째 이슈 커맨트에서 확인해보시면 다음링크에서 STS 토큰을 API 방식으로 STS를 사용할 수 있는 Acceskey 와 secret을 얻을 수 있습니다.
해당 가이드를 통해 PoC 진행중이며 관련하여 role 및 policy 적용방안 마련후 공유 드리겠습니다.

powerkimhub commented 4 months ago

@raccoon-mh