Devops
Keycloak
실무에서의 Keycloak 적용 사례

실무에서의 Keycloak 적용 사례

1️⃣ + 사내 시스템 SSO 구성 예제

1. 사내 시스템 SSO란?

Single Sign-On(SSO)은 사용자가 한 번 로그인하면 다양한 시스템을 재인증 없이 사용할 수 있도록 해주는 인증 방식입니다.
Keycloak은 사내 시스템들을 하나의 인증 플랫폼으로 통합할 수 있는 SSO 기능을 제공합니다.

2. 구성 예시

  • 시스템: Jira, Confluence, GitLab, Jenkins, Wiki 등
  • Keycloak을 IDP로 구성
  • 각 애플리케이션에 OIDC 혹은 SAML 프로토콜로 연동

3. 주요 구성 요소

  • Realm: 회사 이름 또는 조직 단위
  • Client: 각각의 시스템 (ex. jira-client, gitlab-client)
  • User Federation: 사내 LDAP 혹은 AD와 연동하여 직원 계정 자동 생성
  • SSO 세션: 하나의 로그인으로 모든 시스템 접근 가능

4. 활용 팁

  • 사용자 그룹별 Role 매핑: Dev팀은 Jenkins 접근, HR팀은 Wiki 접근 등
  • 클라이언트 Scope 설정을 통해 필요한 claim만 전달

2️⃣ + 외부 B2C 인증 플랫폼 구성

1. B2C(Business to Customer) 시나리오

서비스형 플랫폼이나 포털 등 외부 고객들이 로그인해야 하는 경우, Keycloak은 인증 플랫폼으로서 사용 가능합니다.

2. 예시 구성

  • 서비스: 쇼핑몰, 예약 시스템, 고객 포털 등
  • 사용자: 일반 사용자(회원가입/로그인 필요)
  • 인증방식: 소셜 로그인(Google, Kakao, Apple 등) + 자체 계정

3. 주요 기능

  • Self Registration: 사용자가 직접 회원가입
  • Email Verification: 가입 후 이메일 인증 절차
  • Custom Flow: 로그인 시 TOTP, WebAuthn 등 2차 인증 가능
  • Themes: 사용자 친화적인 로그인 UI 제공

4. 팁

  • 이메일 인증, 패스워드 정책 강화, 사용자 Terms & Conditions 설정 등을 통해 보안성 강화

3️⃣ + 다중 Realm 환경 운영 전략

1. 다중 Realm이란?

Realm은 Keycloak에서 완전히 분리된 인증 도메인을 의미합니다.
여러 조직이나 프로젝트를 하나의 Keycloak 인스턴스에서 격리된 인증 환경으로 운영할 수 있습니다.

2. 예시

  • Realm: company-a, company-b
  • 각 Realm은 독립된 사용자/클라이언트/정책 가짐

3. 장점

  • 보안 격리: 한 조직의 설정이 다른 Realm에 영향 없음
  • 운영 유연성: 각 Realm마다 요구사항에 맞는 인증 정책 구성

4. 주의점

  • Realm이 많아질수록 관리 부담 ↑
  • 공통 설정(예: 커스텀 테마, 공통 Provider 등)은 각 Realm에 반복 설정 필요

4️⃣ + Keycloak + Istio + OIDC 전략

1. 목표

서비스 메시인 Istio와 연동하여 API Gateway 또는 Ingress 없이도 인증 흐름을 적용하는 전략

2. 구성 예시

  • 사용자 → Istio Ingress Gateway → Service A
  • 인증은 Keycloak OIDC Provider를 통해 수행
  • Istio AuthorizationPolicy를 사용하여 토큰 검증

3. 활용 기술

  • Istio RequestAuthentication: JWT 발급자(issuer) 및 공개키 검증 설정
  • AuthorizationPolicy: 특정 Role이 있어야 서비스 접근 가능하게 설정
  • ServiceAccount, RBAC: 서비스 간 인증 및 접근 제어

4. 장점

  • 별도의 애플리케이션 수정 없이 인증 보장
  • 클러스터 레벨에서의 통합 인증 정책 구현 가능

마무리 팁

실무에서는 Keycloak을 단순한 인증서버 이상으로 활용하게 됩니다.

  • 인증뿐 아니라 인가(RBAC/ABAC), 사용자 관리, 감사로그, 보안 정책 통제 등
  • 다양한 오픈소스 툴과 연동할 수 있으며 GitOps를 통해 구성 자동화도 가능합니다.

필요 시 Realm → Client → Role → Group 흐름을 명확히 정의하고,
현실적인 시나리오에 맞춰 Keycloak을 확장해나가는 것이 중요합니다.

RSS Feed
마지막 수정일자
Keycloak 백업, 복원, 마이그레이션