[키클록] KeyCloak란? (개념, 특징, 장단점, OpenID Connect)

 

KeyCloak은 오픈 소스 아이덴티티 및 엑세스 관리 솔루션으로, 애플리케이션 및 서비스에 대한 보안 인증 및 권한 부여를 제공합니다. Red Hat이 주도하는 이 프로젝트는 주로 Java 언어로 작성되어 있으며, WildFly 서버 위에서 실행됩니다. KeyCloak을 사용하면 개발자들이 보안 관련 복잡한 부분을 직접 처리하지 않고도, 애플리케이션에 강력한 보안 기능을 쉽게 통합할 수 있습니다.

 

 

개념

• Single Sign-On (SSO): KeyCloak은 Single Sign-On을 지원하여, 사용자가 한 번의 로그인으로 여러 다른 애플리케이션과 서비스에 접근할 수 있게 합니다. 이는 사용자 경험을 개선하고 보안을 강화하는 데 도움이 됩니다.
• Identity Brokering: 외부 아이덴티티 제공자(ex: Google, Facebook, Twitter 등)를 통해 인증을 중개할 수 있습니다. 이를 통해 사용자는 기존의 소셜 계정을 사용하여 로그인할 수 있으며, 개발자는 이러한 기능을 쉽게 통합할 수 있습니다.
• User Federation: KeyCloak은 LDAP 또는 Active Directory와 같은 외부 사용자 저장소를 통합하여 사용자 관리를 용이하게 합니다. 이를 통해 기존의 사용자 데이터베이스를 그대로 사용하면서 KeyCloak의 기능을 활용할 수 있습니다.

 

특징

• 강력한 보안 기능: KeyCloak은 토큰 기반 인증, 역할 기반 접근 제어, Find-grained Authorization(세밀한 권한 부여) 등 다양한 보안 기능을 제공합니다.
• 확장성: KeyCloak은 커스텀 프로바이더를 통해 확장할 수 있으며, 다양한 프로토콜과 표준을 지원합니다.(ex: OpenID Connect, OAuth 2.0, SAML 2.0 등)
• 관리자 및 사용자 인터페이스 제공: KeyCloak은 관리 콘솔을 통해 사용자, 역할, 권한 설정 등을 손쉽게 관리할 수 있으며, 사용자 자체 등록, 계정 관리 기능 등을 제공하는 사용자 인터페이스도 포함하고 있습니다.
• 멀티 테넌시: 하나의 KeyCloak 인스턴스를 사용하여 여러 애플리케이션 또는 조직을 위한 분리된 보안 영역을 관리할 수 있습니다.

장점

• 광범위한 기능 제공: KeyCloak은 Single Sign-On(SSO), 사용자 페더레이션, 아이덴티티 브로커링, 소셜 로그인, 멀티 테넌시 등 다양한 보안 및 인증 기능을 제공합니다. 이는 개발자가 복잡한 보안 요구 사항을 쉽게 구현할 수 있게 해줍니다.
• 쉬운 통합: KeyCloak은 다양한 프로토콜과 표준을 지원하며(ex: OpenID Connect, OAuth 2.0, SAML 2.0), 다양한 프로그래밍 언어 및 프레임워크와 호환이 가능하여, 애플리케이션에 쉽게 통합될 수 있습니다.
• 사용자와 관리자 인터페이스: KeyCloak은 직관적인 관리 콘솔과 사용자 인터페이스를 제공하여, 사용자 관리, 권한 설정, 인증 플로우 설정 등을 손쉽게 할 수 있습니다.
• 커스터마이징과 확장성: KeyCloak은 테마, SPI(Service Provider Interfaces)를 통한 확장, 사용자 정의 이벤트 리스너 및 프로바이더 등을 통해 고도로 커스터마이징 할 수 있습니다.

 

단점

• 학습 곡선: KeyCloak의 다양한 기능과 설정 옵션은 새로운 사용자에게는 다소 복잡하고 압도적일 수 있습니다. 처음 사용하는 경우 학습 곡선이 가파를 수 있습니다.
• 자원 소모: KeyCloak은 강력한 기능성을 제공하는 대신, 상대적으로 많은 시스템 자원을 소모할 수 있습니다. 소규모 프로젝트나 리소스가 제한된 환경에서는 이를 고려해야 합니다.
• 문서화: 비록 KeyCloak의 공식 문서가 광범위하게 제공되지만, 일부 사용자는 문서가 충분히 상세하지 않거나 최신 상태를 유지하지 않는다고 느낄 수 있습니다. 특히, 고급 기능이나 커스터마이징 관련 내용에서는 이러한 문제가 발생할 수 있습니다.
• 업그레이드 복잡성: KeyClock을 지속적으로 업데이트하고 관리하는 과정이 복잡할 수 있으며, 때로는 호환성 문제나 업그레이드 중 발생하는 다른 이슈로 인해 관리자에게 추가적인 작업 부담을 줄 수 있습니다.

*OpenID Connect

OIDC는 인터넷 사용자의 인증을 위한 간단한 아이덴티티 레이어입니다. 이는 OAuth 2.0 프로토콜을 기반으로 하며, 사용자가 한 번 로그인하면 여러 다른 애플리케이션과 서비스에서 그 인증을 사용할 수 있게 해주는 Single Sign-On(SSO) 기능을 제공합니다. OIDC는 사용자의 인증 정보를 안전하게 전송하기 위해 JSON Web Token(JWT)을 사용합니다.

 

• 인증 및 SSO: 사용자는 한 번의 로그인으로 KeyCloak에 연결된 여러 애플리케이션과 서비스에 접근할 수 있습니다. 이는 편리한 사용자 경험을 제공하며, 인증 과정을 간소화합니다.
• 토큰 기반 인증: KeyCloak은 OpenID Connect 표준을 사용하여 엑세스 토큰과 ID토큰을 제공합니다. 엑세스 토큰은 API 접근 권한을 제어하는 데 사용되며, ID 토큰은 사용자의 인증 정보를 안전하게 전송하는 데 사용됩니다.
• 사용자 정보 제공: OIDC는 사용자의 프로필 정보를 안전하게 제공하는 사용자 정보 엔드포인트를 정의합니다. 애플리케이션은 사용자의 동의 하에 이 정보를 요청하여 사용자 경험을 개인화할 수 있습니다.
• 다양한 인증 플로우 지원: OIDC는 다양한 인증 플로우를 지원합니다. 예를 들어, 웹 애플리케이션은 Authorization Code Flow를 사용할 수 있으며, 모바일 애플리케이션은 Implicit Flow 또는 Hybrid Flow를 사용할 수 있습니다. 이를 통해 다양한 유형의 클라이언트에 맞는 보안 요구 사항을 충족시킬 수 있습니다.
• 동적 클라이언트 등록: OIDC는 클라이언트 애플리케이션이 keyCloak에 동적으로 등록할 수 있는 기능을 지원합니다. 이를 통해 개발자는 애플리케이션을 쉽게 등록하고 관리할 수 있으며, 인증 절차를 자동화할 수 있습니다.

 

오늘은 KeyCloak에 대해서 알아보았습니다.

보안 관련해서 OAuth에 대한 내용도 함께 보시면 좋습니다!

2024.04.08 - [IT] - [보안] OAuth란? (개념, 특징, 장단점, 사용 사례)

[보안] OAuth란? (개념, 특징, 장단점, 사용 사례)