OpenID Connect ID 공급자로서의 GitLab

OpenID Connect ID 공급자로서의 GitLab에 대해 설명합니다.

GitLab을 다른 서비스에 액세스하기 위한 OpenID Connect (OIDC) ID 공급자로 사용할 수 있습니다. OIDC는 OpenID 2.0과 동일한 많은 작업을 수행하는 ID 레이어이지만 API 친화적이며 네이티브 및 모바일 애플리케이션에서 사용할 수 있습니다. 클라이언트는 OIDC를 사용하여 다음을 수행할 수 있습니다: GitLab이 수행한 인증을 기반으로 최종 사용자의 ID를 확인합니다. 상호 운용 가능하고 REST 방식으로 최종 사용자에 대한 기본 프로필 정보를 가져옵니다. Rails 애플리케이션에는 OmniAuth::OpenIDConnect 를 사용할 수 있으며 다른 많은 클라이언트 구현 도 사용할 수 있습니다. GitLab은 OIDC 서비스를 제공하기 위해 doorkeeper-openid_connect gem을 사용합니다. 자세한 내용은 doorkeeper-openid_connect 리포지토리 를 참조하세요. OAuth 애플리케이션에 OIDC 활성화 # OAuth 애플리케이션에 OIDC를 활성화하려면 애플리케이션 설정에서 openid 범위를 선택해야 합니다. 자세한 내용은 OAuth 2.0 인증 ID 공급자로 GitLab 구성 을 참조하세요. 일부 사용자가 GitLab을 OIDC 공급자로만 사용하고 GitLab 프로젝트나 그룹에 대한 액세스가 필요하지 않은 경우, 해당 사용자에게 최상위 그룹에서 최소 액세스 역할을 할당하는 것을 고려하세요. 최소 액세스 사용자는 구독에서 시트를 소비하지 않으며, 제한된 액세스 가 활성화되어 있고 사용 가능한 시트가 없는 경우에도 액세스할 수 있습니다. 설정 검색 # 클라이언트가 검색 URL에서 OIDC 설정을 가져올 수 있는 경우 GitLab은 이 정보에 액세스할 수 있는 엔드포인트를 제공합니다: GitLab.com의 경우 https://gitlab.com/.well-known/openid-configuration 을 사용하세요. GitLab Self-Managed의 경우 https://<your-gitlab-instance>/.well-known/openid-configuration 을 사용하세요. 공유 정보 # 다음 사용자 정보가 클라이언트와 공유됩니다: 클레임 유형 설명 ID 토큰에 포함 userinfo 엔드포인트에 포함 sub string 사용자의 ID ✅ ✅ auth_time integer 사용자의 마지막 인증 타임스탬프 ✅ ❌ name string 사용자의 전체 이름 ✅ ✅ nickname string 사용자의 GitLab 사용자 이름 ✅ ✅ preferred_username string 사용자의 GitLab 사용자 이름 ✅ ✅ email string 사용자의 기본 이메일 주소 ✅ ✅ email_verified boolean 사용자의 이메일 주소가 확인되었는지 여부 ✅ ✅ website string 사용자 웹사이트의 URL ✅ ✅ profile string 사용자의 GitLab 프로필 URL ✅ ✅ picture string 사용자의 GitLab 아바타 URL ✅