authentik에서 sso 사용시, totp를 강제하려면 이렇게 하는게 맞을까요?
authentik으로 sso를 사용하게 만들고, totp도 강제하려고 합니다.
아직 authentik를 제대로 이해 하지 못해서 일단 작동하게는 만들었는데 제대로 한게 맞는지 싶어 확인차 질문합니다.
먼저 구글 sso는 달소님 가이드를 토대로 만들었고, 가이드대로 default-authentication-flow에서 default-authentication-identification에 추가했습니다.
이후 새로운 Authentication flow를 만들었고, stage bindings은
이렇게(order가 단순히 stage 순서를 표시하는게 맞을까요?) 설정하고,
default-authentication-mfa-validation은
default-source-authentication-login은
이렇게 설정했습니다.
그리고 앞서 만들어 둔 Social login에서
folw settings -> Authentication flow을 위의 새롭게 만든 Authentication flow로 설정했는데 이렇게 하면 되는게 맞을까요?
일단 sso 후, totp 설정이 나오고, 인증 페이지가 뜨는 걸 보아 제대로 한 것 같기는 한데,
totp 설정이야 유튜브에 가이드가 있어 보고 했다지만, sso 다음 totp 인증 강제하는 전체 과정은 구글에서 찾지 못해 느낌오는데로 설정한거라 제대로 한게 맞는지 모르겠네요.
authentik 사용하시는 분들 중에 저처럼 sso와 totp 강제 하신 분이 있다면 제대로 한게 맞는지 확인해 주시면 감사하겠습니다 :)
좋은답변을 받기위해서는 좋은 질문이 필요합니다.
유의할점⚠️
- 예의를 지켜주세요. 답변자는 답변을 할 의무는 없습니다.
- 질문에 대한 대부분의 답은 검색으로 찾아보실 수 있습니다.
- 답변자가 답변을 하면서 대개 많은 경우는 다시 질문을 하는 경우가 많이 있습니다.
- (질문의 대한 정보가 부족합니다. ~일 경우 결과물이 어떻게 됩니까? 등등)
질문방법🙏
자신의 상황을 최대한 자세히 설명해주세요.
상황이 정확하고 많을 수록 답변의 정확도가 올라갑니다.
ex) ex) 헤놀로지라면 메인보드 모델 칩셋정보, CPU, 사용한 DSM 버전, 모델, 부수적인 추가 컨트롤러 나 랜카드 등과 어떠한 로더의 이미지를 사용했는지.(arpl-i18n, mshell), 어떤 버전을 사용했는지, 문제가있다면 어떠한것인지 스크린샷을 동반하고 에러의 경우 에러로그를 출력해서 주시면 좋습니다.
*가능하면 최신버전 OS/SW를 이용해주세요
답변에대한 피드백을 주세요.
정보가 질문에 모두 담겨있지않다면 대부분의 답변이 다른정보를 요구합니다.
이러한 답변에 대해 명확한 피드백을 주시면 도움이 됩니다.
헉 제가 번역해놓고 문자열 불러오는지 확인은 못했네요.
한국어 안뜨나요?
Flow대로 흐르게만 잘 구성하시면 되는데 시간 될때 한번 정리해야겠네요
일단은 뭐.. sso 로그인 한 뒤에도, totp 인증이 되어야 로그인 되게 잘 작동은 하는데, 제대로 flow를 한 것이 맞나 싶어서 질문으로 올렸네요 ㅋㅋㅋㅋ
처음에는 default-authentication-flow에서 sso를 추가해도, sso 인증 후 default-authentication-flow 후속 flow로 가는 줄 알고, default-authentication-flow에만 totp를 설정했는데 안되서 무척 헤맸습니다 ㅋㅋㅋㅋ
보니 sso 만들 때, 인증 후 연결되는 authentication 지정에 대해 몰랐었던...
저는 사실 오라클 amd64에서 격리해서 쓰려고 막 열심히 번역했다가 너무 묵직한 친구라 램이 최소 2기가 필요하더라구요 2기가도 간신히 돌릴거 같아서 놓아버렸습니다 :)
Keycloak도 보고있기는 한데...
막상 사용해보시니 어떠신가요? 쾌적한가요?
상황이 조금 웃기긴하지만 ^^
authentik 설치하고 나서 램 사용량이 2기가가 늘은......
redis와 Postgresql를 함께 사용한다고 하지만 말이죠.
저도 Keycloak은 보긴 했는데, authentik 보다 더 어렵다는 소리를 듣고
포기한 ㅋㅋㅋㅋㅋ
클라우드프록시를 태워서 그런지 몰라도 조금 버벅거리는 감은 있어요.
내부 ip로 들어가면 그럭저럭 빠른 걸 보면 말이죠 ㅋㅋㅋㅋ
클라우드 플레어 프록시 태우실거면
클라우드플레어 제로 트러스트도 편합니다.
기본으로 하면 이메일인증인데 이게 너무 불편해서 인증방식을 Saml로 하고 시놀로지 C3로 돌려서 사용합니다.
TOTP도 지원하구 같은 시리즈로 비밀번호 관리자(?) 같은 것도 지원합니다. SAML만 지원하기는 하는데, AD랑도 연동 되어서요. 시놀로지를 안써도 무료로 사용할 수 있는 것도 좋구요.
다만 C3는 인증서가 좀 성의없기는 합니다. 와일드카드로 때려버리는데다가... ㅠㅠ
그래도 서버 관리 안하고 든든해져서 좋네요 :)
후... 이것저것 사람들과 공유하고 싶은건 많은데 시간이 없네요
이제 traefik하고도 연결 하셔야죠? ㅎㅎ
프록시 태우기만 해도 너무 느려져서 dns only로 사용하고 있어서 변칙적으로 쓰는게 맞을 것 같더라고요.
아...traefik. 연결해서 비밀번호 지원 안하는 도커들 미들웨어로 달아야죠 ㅋㅋ
하나가 끝나면 새로운 하나가 ㅋㅋㅋㅋ
제로 트러스트는 링크 확인하셨겠지만, ICN엣지로 잡힙니다. :)
시놀로지 C3는 넥스트 클라우드, 시놀로지 등등도 지원하구요 :)
서버리스는 크흡....ㅋㅋㅋ
구글 sso 를 추가하셨는데 구글에 따로 2차인증 설정은 안해두신 걸까요?
지인들과 함께 도커를 사용할 때, 사용하려고 하다보니 ㅎㅎㅎ
의미없는 짓인가 싶긴 하지만, 그래도 authentik를 조금 더 잘 알게되었다 정도로도 만족스럽긴 해요 :)
저같은경우 구글로그인에 otp를 걸어놔서 따로안하긴했었는데 잘 활용하시니 소개해드린입장에서 뿌듯하군요~~
늘 달소님 가이드 덕분에 편하게 시작하는 부분들이 많아 감사하게 생각하고 있습니다 ㅎㅎ
cmt alert