Golang Keycloak SAML 이용
Golang을 활용하여 Keycloak의 SAML을 이용하고 분석한다.
1. 인증서 생성
SAML의 Service Provider는 인증서가 필요하다. 다음의 명령어로 인증서를 생성한다.
$ openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"
2. Service Provider Code
|
|
[Code 1]은 SAML Identity Provider를 통해서 User를 인증하고, 인증 과정을 통해서 얻은 SAML Session 정보를 출력하는 SAML Service Provider App이다. 전체 App Code는 다음의 Repo에서 확인 할 수 있다.
동작 과정은 다음과 같다.
- User가 Service Provider의 “/session” Path에 접속하면 Service Provider는 RequireAccount() Middleware 함수를 통해서 SAML Request를 Identity Provider에게 보내어 User가 인증을 할 수 있도록 Redirect한다. SAML Request에는 인증후 User가 요청한 URL 정보도 포함되어 있다.
- Identity Provider를 통해서 인증이 완료되면 Identity Provider는 이전에 등록된 Service Provider의 ACS Endpoint인 “/saml/acs"로 User를 다시 Redirect하고, 인증 정보인 SAML Response도 ACS Endpoint에 같이 전송한다. SAML Response에는 SAML Request에 포함된 User가 요청한 URL 정보도 포함되어 있다.
- Service Provider의 ACS는 SAML Response를 수신한 다음 인증 정보를 확인하고 Web Browser의 Cookie에 인증을 설정한다. 이후에 Service Provider는 SAML Response에 포함된 User가 요청한 URL로 User를 다시 Redirect하여 User가 Service를 이용할 수 있도록 만든다.
[Code 1]의 각 Line별 설명은 다음과 같다.
- Line 3, 51 : samlRequestPrinter() 함수는 ACS로 들어오는 요청을 출력하는 Middleware이다.
- Line 12 : echoSession() 함수는 SAML이 설정한 Session 정보를 반환하는 함수이다.
- Line 55 : samlSP.RequireAccount() 함수는 “/session” 경로 접근시 Identity Provider에게 인증을 요청하는 Middleware이다.
3. Service Provider Metadata 추출
[Code 1]의 Service Provider의 Metadata를 추출해야 한다. 추출한 Metadata는 Identity Provider에 Service Provider를 등록하는데 이용된다. 다음의 명령어로 Service Provider의 Metadata를 추출한다. [Code 1]의 Service Provider는 “/saml/metadata” 경로를 통해서 추출할 수 있다.
$ go run main.go
$ curl localhost:8000/saml/metadata > metadata
4. Keycloak 설치, 설정
Docker를 이용하여 Keycloak을 설치한다. Keycloak의 Admin ID/Password는 admin/admin으로 설정한다.
$ docker run --name keycloak -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -d quay.io/keycloak/keycloak:17.0.0 start-dev
“localhost:8080"에 접속하여 Admin 계정으로 Login을 진행한 이후에 [Figure 1]과 같이 “ssup2” Realm을 생성한다. Keycloak의 Realm은 인증 범위를 의미한다. 하나의 Realm에 다수의 Service Provider가 등록될 수 있다.
Service Provider로부터 추출한 Metadata를 Load하여 [Figure 2]와 같이 Client를 생성한다.
[Figure 3]과 같이 생성한 Client에 들어가서 Client Signature Required를 Off한다. Service Provider가 이용하는 인증서가 임의의 인증서이기 때문에 Off가 필요하다.
“users” Group을 생성하고 “users” Group 하위에 “user” User를 생성한다. 이후 [Figure 4]와 같이 생성한 “user” User의 Password를 “user"로 설정한다.
이후 생성한 “user” User의 Role을 [Figure 5]와 같이 확인 한다.
5. Service Provider 실행
|
|
Service Provider를 실행하고 “/session” Path에 접근하면 [Text 1]의 URL을 통해서 [Figure 6]과 같은 Login 화면을 확인할 수 있다. [Text 1]을 보면 URL의 Query 형태로 “SAML Request"와 “Relay State"를 확인할 수 있다. SAML Request는 Service Provider가 Identity Provider (Keycloak)에게 전송하는 인증 요청이고, Relay State는 Identity Provider의 인증 과정 이후 Identity Provider가 Service Provider의 ACS로 “SAML Response"와 함께 전달하는 값으로, Service Provider가 인증 이후 어떤 동작을 수행할지 판별하는 용도로 이용된다.
|
|
[Text 1]의 SAML Request 값을 URL Decoding, Base64 Decoding, XML Inflate를 수행하면 XML 형태의 [Text 2] SAML Request를 얻을수 있다.
|
|
[Text 3]은 Keycloak에서 인증 완료 이후 Keycloak이 Service Provider의 ACS Endpoint로 전달하는 Request를 나타내고 있다. Request의 Body에는 “SAML Response"와 “Relay State"가 존재하는 것을 확인할 수 있다. Relay State는 [Text 1]의 Relay State와 동일한 것을 확인 할 수 있다. Service Provider는 ACS Endpoint로 전달되는 Relay State를 통해서 User를 “/session” Path로 Redirect 시키는 것을 판단하고 수행한다.
|
|
[Text 3]의 SAML Response를 URL Decoding, Base64 Decoding을 수행하면 [Text 4]와 같은 XML 형태의 SAML Response를 얻을 수 있다.
|
|
Service Provider의 “/session” Endpoint에 접근하면 [Text 5]과 같이 현재의 Session 정보를 확인할 수 있다. Role에 [Figure 5]의 Role이 포함되어 있는것을 확인할 수 있다.
6. 참조
- https://www.keycloak.org/getting-started/getting-started-docker
- https://docs.anchore.com/3.0/docs/overview/sso/examples/keycloak/
- https://github.com/crewjam/saml
- https://goteleport.com/blog/how-saml-authentication-works/
- https://www.rancher.co.jp/docs/rancher/v2.x/en/admin-settings/authentication/keycloak/