BARON-SSO 로그인 스테이징>실서버 교체 클라이언트ID 변경에 따른 수정
All checks were successful
ITAM Code Check / build-and-config-check (push) Successful in 12s
ITAM Docker Build Check / docker-build-check (push) Successful in 15s

This commit is contained in:
2026-07-01 13:41:05 +09:00
parent 6fea80b483
commit 75b6ac4784
3 changed files with 29 additions and 14 deletions

View File

@@ -13,6 +13,7 @@ Headless RP는 일반 OIDC 클라이언트와 설정 방식이 다릅니다. 특
1. `devfront` 접속 후 **연동 앱 > 연동 앱 추가**를 클릭합니다.
2. **Name**: `headless-login` (또는 자유롭게 입력)
3. **Redirect URIs**: 데모 앱에 접속할 주소의 콜백 경로를 입력합니다.
- **운영/공개 환경**: `https://[앱_도메인]/callback`
- **통합 환경 (IdP와 RP가 같은 서버일 때)**: `http://localhost:3000/callback`
- **분리 환경 (IdP는 원격 서버, RP는 내 PC일 때)**: `http://[내_PC_IP]:3000/callback`
- _주의: 실제 앱에서 요청하는 Redirect URI와 여기서 등록한 값이 **완전히 일치**해야 인증 거부 에러가 발생하지 않습니다._
@@ -25,9 +26,11 @@ Headless RP는 일반 OIDC 클라이언트와 설정 방식이 다릅니다. 특
1. `pkce` 하단의 **"Headless Login (자체 로그인 UI 사용)"** 토글을 활성화합니다.
2. **JWKS URI**: **Baron SSO 서버에서 접근 가능한** 데모 앱의 공개키 주소를 입력합니다.
- **운영/공개 환경**: `https://[앱_도메인]/.well-known/jwks.json`
- **통합 환경 (IdP와 RP가 같은 서버일 때)**: `http://localhost:3000/.well-known/jwks.json`
- **분리 환경 (IdP는 원격 서버, RP는 내 PC일 때)**: `http://[내_PC_IP]:3000/.well-known/jwks.json`
- _주의: Baron SSO 서버(`172.16.10.175`)에서 사용자님의 로컬 PC 포트로 네트워크가 열려있어야 합니다._
- _주의: Baron SSO 서버에서 사용자님의 로컬 PC 포트 또는 운영 HTTPS 도메인으로 네트워크가 열려있어야 합니다._
- _주의: `/.well-known/jwks.json`은 로그인 페이지나 사내 인증 포털로 리다이렉트되면 안 되며, 반드시 `200 OK`로 JWKS JSON을 직접 반환해야 합니다._
![Step 2 설정 예시](./images/setup-step2-example.png)
@@ -50,13 +53,13 @@ PORT=3000
# OIDC IdP 설정 (원격 서버 주소 입력)
CLIENT_ID=a9b64539-7242-4aa5-ad3d-13c7f1ef00f2
ISSUER=http://172.16.10.175/oidc
ISSUER=https://sso.hmac.kr/oidc
# 리다이렉트 및 보안 설정
# REDIRECT_URI는 DevFront에 등록한 Redirect URIs 중 하나와 정확히 일치해야 합니다.
REDIRECT_URI=http://[내_PC_IP]:3000/callback
REDIRECT_URI=https://[앱_도메인]/callback
# JWKS_URI는 Baron SSO 서버가 내 PC로 접속할 때 사용하는 주소와 일치해야 합니다.
JWKS_URI=http://[내_PC_IP]:3000/.well-known/jwks.json
JWKS_URI=https://[앱_도메인]/.well-known/jwks.json
# tenant 제한 시 이동시킬 userfront 에러 경로
ERROR_LOCALE_PATH=/ko/error
@@ -66,8 +69,10 @@ ERROR_LOCALE_PATH=/ko/error
## 3. 주의 사항 (네트워크 구성)
- **서버 간 통신 (Server-to-Server)**: Headless 로그인은 Baron SSO 서버가 직접 데모 앱의 `JWKS_URI`에 접속하여 서명을 검증합니다. 따라서 IdP 서버에서 로컬 PC의 포트(`3000`)로의 인바운드 통신이 허용되어야 합니다.
- **Redirect URI 일치**: 브라우저를 통해 접속할 주소가 IP라면, Redirect URI와 JWKS URI 모두 IP 기반 주소로 통일하는 것이 문제 발생 소지를 줄이는 가장 좋은 방법입니다.
- **서버 간 통신 (Server-to-Server)**: Headless 로그인은 Baron SSO 서버가 직접 데모 앱의 `JWKS_URI`에 접속하여 서명을 검증합니다. 따라서 IdP 서버에서 로컬 PC의 포트 또는 운영 HTTPS 도메인으로의 인바운드 통신이 허용되어야 합니다.
- **운영 환경 HTTPS 권장**: 운영 Baron 앱은 내부망 HTTP보다 Baron SSO가 접근 가능한 HTTPS 도메인을 사용하는 편이 안정적입니다.
- **JWKS 직접 응답 필수**: `https://[앱_도메인]/.well-known/jwks.json``302` 없이 `200 application/json`으로 직접 응답해야 합니다.
- **Redirect URI 일치**: 브라우저를 통해 접속할 주소가 IP라면, Redirect URI와 JWKS URI 모두 IP 기반 주소로 통일하는 것이 문제 발생 소지를 줄이는 가장 좋은 방법입니다. 도메인을 쓴다면 둘 다 같은 HTTPS 도메인으로 맞추십시오.
---