인증 및 접근 제어
D.Hub는 로그인(인증)과 자원 접근(권한)을 따로 관리합니다. 로그인은 로컬 계정이나 조직 SSO로 하고, 자원에는 역할 기반 권한과 세분화된 정책을 적용합니다.
로그인 방식
로그인 화면에서는 두 가지 방식을 제공합니다.
- 로컬 로그인: 이메일과 비밀번호로 로그인합니다.
- SSO 로그인: 조직의 ID 제공자(IdP)가 연동돼 있으면 SSO 로그인 버튼도 함께 나타납니다. 버튼을 누르면 IdP 로그인 화면으로 갔다가 다시 D.Hub로 돌아옵니다.
SSO를 구성해 두면 D.Hub 비밀번호 없이 조직 계정만으로 바로 로그인합니다.
SSO (OIDC)
SSO는 OIDC(OpenID Connect) 표준을 따릅니다. SSO로 로그인하면 D.Hub가 IdP에서 받은 정보로 로그인 세션을 만듭니다.
- SSO 사용자는 비밀번호를 D.Hub에 저장하지 않고, 이름·이메일 같은 기본 프로필은 IdP에서 관리합니다.
- 관리자는 사용자 관리·그룹 관리 화면에서 IdP 사용자·그룹을 등록하고 D.Hub 내 **유형(역할)**을 지정합니다.
어떤 IdP를 지원하나요?
표준 OIDC를 지원하는 IdP(예: Keycloak, Azure AD/Entra ID, Zitadel 등)를 연동할 수 있습니다. 지금 어떤 IdP가 연동돼 있는지는 로그인 화면과 사용자/그룹 등록 버튼에 뜨는 제공자 이름으로 확인합니다.
자동화·연동용 인증 (OIDC 클라이언트)
자동화 스크립트나 외부 시스템이 사람 로그인 없이 D.Hub API를 호출해야 한다면 OIDC 클라이언트를 씁니다. 클라이언트 발급과 관리는 관리자가 사이드바 시스템 → 설정 → OIDC 클라이언트(/settings/oidc-clients)에서 합니다.
- 클라이언트 시크릿은 생성·회전할 때 한 번만 보이므로 안전한 곳에 따로 보관하세요.
- 스크립트·커넥터에서 쓸 자격증명은 시크릿(Secret) 화면(
/settings/secrets)에 따로 보관해 두고 참조할 수 있습니다.
접근 제어 (역할 기반)
자원 접근 여부는 사용자/그룹과 자원 사이의 역할로 가립니다. 역할은 자원의 공유 및 권한 화면에서 사용자나 그룹에 부여합니다.
| 역할 | 조회 | 편집 | 삭제·권한 관리 |
|---|---|---|---|
| 뷰어 (reader) | ✅ | ||
| 편집자 (writer) | ✅ | ✅ | |
| 소유자 (owner) | ✅ | ✅ | ✅ |
- 역할은 누적됩니다. 소유자는 편집자 권한을, 편집자는 뷰어 권한을 함께 가집니다.
- 자원을 만든 사용자는 자동으로 소유자가 되며, 다른 사용자·그룹에 권한을 주거나 거두는 일도 소유자가 합니다.
그룹으로 권한 관리
사용자 한 명 한 명 대신 그룹에 역할을 주면, 그룹 멤버가 바뀔 때 접근 권한도 자동으로 따라 바뀝니다.
그룹 "data-team" → 컬렉션 "sales-data" (편집자)
├── alice (멤버) → sales-data 편집 가능
├── bob (멤버) → sales-data 편집 가능
└── carol (멤버) → sales-data 편집 가능
컬럼·행 수준 제어
역할로 자원 접근을 열어 준 다음, 같은 데이터셋이라도 사용자·그룹마다 보이는 컬럼·행을 다르게 제어하고 싶다면 정책(FGAC)을 씁니다. 자세한 내용은 정책 개요를 참고하세요.
다음 단계
| 문서 | 설명 |
|---|---|
| 사용자 관리 | 사용자 조회·생성, IdP 사용자 등록·동기화 |
| 그룹 관리 | 그룹 생성, IdP 그룹 등록·동기화 |
| 공유 및 권한 | 자원에 역할을 부여하는 방법 |
| 정책 개요 | 컬럼·행 수준 세분화 접근 제어(FGAC) |