TB Interaction with IAM and Web

[seokho-son]

TB Interaction with IAM and Web 방식 논의

IAM 메인테이너의 의견에 따르면, IAM은 현재 2가지 방식을 고려하여, 개발 및 연동 추진 중

• (1) 시스템별 API 미들웨어(ex: CB-TB의 미들웨어)에서 미리 설정된 IAM의 Public Key를 이용하여 직접 사용자 토큰을 decode하는 형태
• (2) 시스템별 API 미들웨어(ex: CB-TB의 미들웨어)에서, API 처리시, IAM에 요청을 통해 사용자 토큰(및 API 요청)을 검증하는 방식

(1) 시스템별 API 미들웨어(ex: CB-TB의 미들웨어)에서 미리 설정된 IAM의 Public Key를 이용하여 직접 사용자 토큰을 decode하는 형태 (1단계 확정안)

sequenceDiagram
    actor User
    participant WEB
    participant IAM as IAM (+Keycloak)

    IAM->>+TB: IAM Public Key (credential for TB to use IAM)
    Note over IAM,TB: System configuration (without login)

    User->>+WEB: Web Login
    WEB->>+IAM: Request User validation
    IAM->>+WEB: Return a User Token
    WEB->>+User: Provide a session
    Note over WEB,User: Session


    User->>+WEB: Request a function

    WEB->>+TB: API call (with the User token)
    TB-->>+TB: API Middleware: Handle API call
    TB-->>+TB: Validate(/Decode) the token (using the IAM Public Key)

    TB->>+SP: API call (with the User token)
    SP-->>+SP: API Middleware: Handle API call
    SP-->>+SP: Validate(/Decode) the token (using the IAM Public Key)
    SP->>+CSP: API call
    CSP-->>-SP: return
    SP-->>-TB: return
    TB-->>-WEB: return
    WEB-->>-User: return

Loading

• https://mermaid.live/edit#pako:eNqdVF1PGzEQ_CsrPwVxISVpA9wDEgGkopYqImmRqntx7L07C8dO_REURfnv9UdIj1KpVfOS88zc7Hj37C1hmiMpicUfHhXDG0EbQ5eVgvCjzGkDXy2avF5R4wQTK6ocPN5O3oJ3V_dAbfrrHX_CDZOaPh1VKisD3L-8PJ5PyqSY-oUUDIIMeswgR-UElVCHkvMJOA3eYhQe5be_aIeg12giVkST2cY6XALTqhaNN9QJraD3LFyrvQOpG6EOteMmYvEQu4RHXMDnSGcuYJEKtiU8xD5Yl_SwplLwZPtqA8njAZ03CmhWzvUTvnaLcAlTo9eCY5BZtPZg9GsvQV1k6exF8MfIL7ko1F4xtxd26sWGXE3vgFEpcxPAtZjTuZhu38b5pN-V3wvOJT5TgyV8pCo8H1ze6L_ldmBvcIPxszlKFZI59LwVqknA69keJjBPMWfTf4s5m_a78r_G7Oj_N-beJrhcd1Nm4joX6EfGpNF36_Zje7pw7lo_ja6Lx2FFIo88M6QgSzRLKng4h9uoq0gIuMSKlOGRY029dBUp9lT4DDLTopQanrWRvCKV2gUj6p2ebRQjpTMeC2K0b1pS1lTasPKr2Jf9Ef8NveUiHPYDiGl5ny-HdEcUJBxmjkGyJW6zingjrAt4PoAR90YGuHVuZcvBINInTRixX5wwvRxYwdtwWbTri_FgPByf0-EIx2cj-mE04mxxenFeD9-f1vzs3emQkt2uIOFO-a71S9LdT_pAeW4

(2) 시스템별 API 미들웨어(ex: CB-TB의 미들웨어)에서, API 처리시, IAM에 요청을 통해 사용자 토큰(및 API 요청)을 검증하는 방식 (옵셔널 방식. 향후 필요시 진행.)

sequenceDiagram
    actor User
    participant WEB
    participant IAM as IAM (+Keycloak)

    Note over IAM,TB: NO System configuration

    User->>+WEB: Web Login
        WEB->>+IAM: Request User validation
        IAM-->>-WEB: Return a User Token
    WEB-->>-User: Provide a session
    Note over WEB,User: Session


    User->>+WEB: Request a function

        WEB->>+TB: TB API call (with the User token)
                TB->>+IAM: API Middleware: request is token valid 
                IAM-->>-TB: return valid token result
    
    
                TB->>+SP: SP API call
                    SP->>+IAM: API Middleware: request is token valid
                    IAM-->>-SP: return valid token result


                    SP->>+CSP: CSP API call
                    CSP-->>-SP: return
                    SP-->>-TB: return
        TB-->>-WEB: return
    
    WEB-->>-User: return

Loading

• https://mermaid.live/edit#pako:eNqVVE1vGjEQ_SuWT4myhAItSfYQKaQ5RC0JClSRqr0Ye9i18K6pP0AI8d87XrNAC21VH_bjzZuZNyPPbCjXAmhKLfzwUHH4LFluWJlVBA_jThvyzYKJ_wtmnORywSpH3p8Gp-Dzw5AwW78urr7AmivN5pdZFZkv2gHRSzCBkEwGKXl5JeO1dVASrquZzL1hTuqqcQiZW_f3V5grJe8wJV91Lne2cBAPZoyWkrdQgHW1D1kyJcUuVENGVgvZrTrYGzhvKsIifaLnsGOGkIEV8JSMjF5KAcizYO0-3KEQpCeROm4IZ8U36hiZ-Yof13hUR-jIZEAeRs-EM6XIxUq6grgCokoXVF4evJozOTQhuA6lEApWzEBKzC6ttNE7NoacxmiaEySY2JtIjW4GrFcuuh0_T2WMR9iK0b6GU1o449F_Kj4fphEdcv5F9HGnT1U8Bu_Hf0pGxm-5_hj01z4eaJPB4f4d285dvGinCS3BlEwKnNBN4GUUr0MJGU3xUzAzz2iyw7FrES5AKU1W2iiR0azaYhTmnR6vK05TZzwk1C9wOppZp-mMKbtHn4TEqd-DUP8O45aol0VCcaoFIGVD3XoR8Fxah3gc4oB7oxAunFvYtN0O5uscL7OfXnNdtq0UBW6NYnnXb_e7_VvW7UH_psc-9XqCTzt3t7Pux85M3HzodBndbhNqtM-LvSRcNd-1bnRvfwKg0Ge7

[seokho-son]

@yunkon-kim 지난 MC-IAM (+ MC-WEB-CONSOLE) 간 온라인 미팅의 주요 정리 사항을 현 디스커션에 간략히 공유해주실 수 있으실까요? :)
향후 양쪽 연동시 상호 레퍼런스하기 위함입니다. (요즘은 조금만 시간이 지나도 결정 사항을 까먹어서... ㅎㅎㅎ)

[yunkon-kim]

@seokho-son (cc. @powerkimhub @innodreamer @raccoon-mh @MZC-CSC)

잊혀지지 않도록 챙겨주셔서 감사합니다 ^^

관련하여, 우선 MC-IAM-MANAGER에서 작성해주신 추진 방안을 공유드립니다.

• MC-IAM-MANAGER other Framework Middleware Pkg m-cmp/mc-iam-manager#18 (comment)

추가로, 회의 내용을 공유드립니다.

우선 위 방안 (1)과 (2) 모두 유효하다고 협의 되었습니다.

• 방안 (1) 관련: PublicKey는 사전 공유 방식 대신, URL/API를 통해 획득하는 것으로 합의 (위 추진 방안 참고)
• 방안 (2) 관련: IAM에 API 요청을 통한 토큰 유효성 검증이 필요한 케이스가 있음을 확인
  • 토큰 유효성 검증이 필요한 케이스 예) Portal 상에서 갑작스런 Logout, Role 변경 등으로 토큰이 만료(변경 포함)되는 경우
  • 다만 IAM-TB간 빈번한 API호출로 이어질 수 있기 때문에 구현상 적용 포인트에 대해서는 고민해 보기로 함
  • 토큰 유효 기간과 관련해서는 가이드 제공 예정

MC-IAM-MANAGER에서 인증 및 접근관리와 관련한 공통 기능 및 Pkg를 구현하여 제공될 것이고요.
CB-Tumblebug에서 이를 활용하여 Middleware를 구현 및 적용하기로 하였습니다.

• Middleware는 각 서브시스템에서 운영/관리하는 것으로 결정

중요한 사항인 Role 관련 안건이 올라왔으나, Role 관리 방안(또는 인가(Authz))에 대해서는 초안 마련 후 논의하기로 하였습니다.

마지막으로, PoC 및 논의를 위해 오픈했던 PR(#1627)을 아래와 같이 처리할 예정이오니 참고하시기 바랍니다. (Close 하려다가, 히스토리를 킵하기 위해 계획을 변경하였습니다 ^^;;)

• 적절한 시점에 Rebase 및 개선
• Draft PR -> PR 전환
• 리뷰, 개선 및 머지

[seokho-son]

@raccoon-mh @MZC-CSC 확인 및, 이견이나, 추가 언급해주실 사항이 있는지 문의드립니다.

[raccoon-mh]

@seokho-son

확인했습니다! 방안 1과 2 모두 개발 진행 중이며, 타 프레임워크에서 사용할 수 있도록 공통 기능 패키지 준비 예정입니다.
MC-IAM-MANAGER m-cmp/mc-iam-manager#18 (comment)