임시 자격 증명을 검색하기 위해 Azure에서 OpenID Connect 구성

임시 자격 증명을 검색하기 위해 Azure에서 OpenID Connect 구성에 대해 설명합니다.

Warning CI_JOB_JWT_V2 는 GitLab 15.9에서 지원 중단 되었으며 GitLab 17.0에서 제거될 예정입니다. 대신 ID 토큰 을 사용하세요. 이 튜토리얼은 GitLab CI/CD 잡에서 JSON 웹 토큰(JWT)을 사용하여 시크릿을 저장하지 않고 Azure에서 임시 자격 증명을 검색하는 방법을 설명합니다. 시작하려면 GitLab과 Azure 간의 ID 페더레이션을 위한 OpenID Connect(OIDC)를 구성합니다. GitLab과 함께 OIDC를 사용하는 자세한 내용은 클라우드 서비스에 연결 을 읽어보세요. 사전 요구사항: Owner 접근 수준을 가진 기존 Azure 구독에 대한 접근 권한. 최소 Application Developer 접근 수준을 가진 해당 Microsoft Entra ID 테넌트에 대한 접근 권한. Azure CLI 의 로컬 설치. 또는 Azure Cloud Shell 을 사용하여 다음 모든 단계를 수행할 수 있습니다. Azure가 GitLab OIDC 엔드포인트에 연결해야 하므로 GitLab 인스턴스가 인터넷을 통해 공개적으로 접근 가능해야 합니다. GitLab 프로젝트. 이 튜토리얼을 완료하려면: Entra ID 애플리케이션 및 서비스 주체 생성 . Entra ID 페더레이션 ID 자격 증명 생성 . 서비스 주체에 대한 권한 부여 . 임시 자격 증명 검색 . Azure ID 페더레이션에 대한 자세한 내용은 워크로드 ID 페더레이션 을 참조하세요. Entra ID 애플리케이션 및 서비스 주체 생성 # GitLab을 위한 Entra ID 애플리케이션 및 서비스 주체를 생성하려면: Azure CLI에서 GitLab용 애플리케이션을 생성합니다: appId=$(az ad app create --display-name gitlab-oidc --query appId -otsv) 나중에 GitLab CI/CD 파이프라인을 구성하는 데 필요하므로 appId (애플리케이션 클라이언트 ID) 출력을 저장합니다. 해당 서비스 주체 를 생성합니다: az ad sp create --id $appId --query appId -otsv Azure CLI 대신 Azure Portal을 사용하여 이러한 리소스를 생성 할 수 있습니다. Entra ID 페더레이션 ID 자격 증명 생성 # <mygroup>/<myproject> 의 특정 브랜치에 대한 이전 Entra ID 애플리케이션의 페더레이션 ID 자격 증명을 생성하려면: objectId=$(az ad app show --id $appId --query id -otsv) cat < body.json { "name": "gitlab-federated-identity", "issuer": "https://gitlab.example.com", "subject": "project_path:<mygroup>/<myproject>:ref_type:branch:ref:<branch>", "description": "GitLab