인증 및 접근 제어
D.Hub는 로그인(인증)과 자원 접근(권한)을 분리해 관리합니다. 사용자는 로컬 계정이나 조직 SSO로 로그인하고, 자원에는 역할 기반 권한과 세분화된 정책이 적용됩니다.
로그인 방식
로그인 화면에서는 두 가지 방식을 제공합니다.
- 로컬 로그인: 이메일과 비밀번호로 로그인합니다.
- SSO 로그인: 조직의 ID 제공자(IdP)가 연동되어 있으면 SSO 로그인 버튼이 함께 표시됩니다. 버튼을 누르면 IdP 로그인 화면으로 이동했다가 다시 D.Hub로 돌아옵니다.
SSO가 구성된 경우 별도의 D.Hub 비밀번호 없이 조직 계정으로 바로 로그인할 수 있습니다.
SSO (OIDC)
SSO는 OIDC(OpenID Connect) 표준으로 동작합니다. 사용자가 SSO로 로그인하면 D.Hub는 IdP가 발급한 정보를 받아 로그인 세션을 만듭니다.
- SSO 사용자는 비밀번호가 D.Hub에 저장되지 않으며, 이름·이메일 등 기본 프로필은 IdP에서 관리됩니다.
- 관리자는 사용자 관리·그룹 관리 화면에서 IdP 사용자·그룹을 등록하고, D.Hub 내 **유형(역할)**을 지정합니다.
표준 OIDC를 지원하는 IdP(예: Keycloak, Azure AD/Entra ID, Zitadel 등)를 연동할 수 있습니다. 어떤 IdP가 연동되어 있는지는 로그인 화면과 사용자/그룹 등록 버튼에 표시되는 제공자 이름으로 확인할 수 있습니다.
자동화·연동용 인증 (OIDC 클라이언트)
자동화 스크립트나 외부 시스템이 사람 로그인 없이 D.Hub API를 호출해야 할 때는 OIDC 클라이언트를 사용합니다. 관리자는 사이드바 시스템 → 설정 → OIDC 클라이언트(/settings/oidc-clients)에서 클라이언트를 발급·관리합니다.
- 클라이언트 시크릿은 생성·회전 시 한 번만 표시되므로 안전한 곳에 보관해야 합니다.
- 스크립트·커넥터 등에서 사용할 자격증명은 시크릿(Secret) 화면(
/settings/secrets)에서 별도로 보관·참조할 수 있습니다.
접근 제어 (역할 기반)
자원 접근은 사용자/그룹과 자원 사이의 역할로 판단합니다. 자원의 공유 및 권한 화면에서 사용자나 그룹에 역할을 부여합니다.
| 역할 | 조회 | 편집 | 삭제·권한 관리 |
|---|---|---|---|
| 뷰어 (reader) | ✅ | ||
| 편집자 (writer) | ✅ | ✅ | |
| 소유자 (owner) | ✅ | ✅ | ✅ |
- 역할은 누적됩니다. 소유자는 편집자의 권한을, 편집자는 뷰어의 권한을 포함합니다.
- 자원을 만든 사용자에게는 자동으로 소유자 역할이 부여되며, 소유자가 다른 사용자·그룹에 권한을 부여하거나 회수합니다.
그룹으로 권한 관리
개별 사용자 대신 그룹에 역할을 부여하면, 그룹 멤버십이 바뀔 때 접근 권한이 자동으로 따라 바뀝니다.
그룹 "data-team" → 컬렉션 "sales-data" (편집자)
├── alice (멤버) → sales-data 편집 가능
├── bob (멤버) → sales-data 편집 가능
└── carol (멤버) → sales-data 편집 가능
컬럼·행 수준 제어
역할로 자원 접근을 허용한 뒤, 같은 데이터셋이라도 사용자·그룹별로 보이는 컬럼·행을 다르게 제어하려면 정책(FGAC)을 사용합니다. 자세한 내용은 정책 개요를 참고하세요.
다음 단계
| 문서 | 설명 |
|---|---|
| 사용자 관리 | 사용자 조회·생성, IdP 사용자 등록·동기화 |
| 그룹 관리 | 그룹 생성, IdP 그룹 등록·동기화 |
| 공유 및 권한 | 자원에 역할을 부여하는 방법 |
| 정책 개요 | 컬럼·행 수준 세분화 접근 제어(FGAC) |