권한 평가 도구(Permission Evaluation) 사용

Keycloak에서 권한 부여(Authorization)를 구성했다면, 실제로 정책과 권한이 올바르게 동작하는지 확인해야 할 때가 있다. 이때 유용하게 활용할 수 있는 것이 권한 평가 도구(Permission Evaluation)이다. 권한 평가 도구를 사용하면, 특정 사용자(또는 액세스 토큰)가 특정 자원(Resource)나 범위(Scope)에 접근할 수 있는지에 대해 미리 시뮬레이션해볼 수 있으며, 왜 접근이 허용되었거나 거부되었는지에 대한 상세 정보도 확인할 수 있다.

개요

권한 평가 도구는 Keycloak 관리자 콘솔의 리소스 서버(예: 특정 Client) → Authorization → Evaluate 메뉴에서 제공된다. 이 기능은 다음과 같은 상황에서 특히 유용하다.

• 특정 권한 설정에 문제가 있어 보이는데, 어떤 정책이 충돌을 일으키는지 확인하고 싶을 때

• 사용자별로 자원 접근이 허용되는 근거(만족된 정책)와 거부되는 근거(충족되지 않은 정책)를 파악하고 싶을 때

• 정책, 퍼미션 설정을 변경한 직후에 올바르게 동작하는지 빠르게 검증하고 싶을 때

평가 흐름

Keycloak 권한 부여에서 권한 평가가 이뤄지는 흐름은 다음과 같은 과정을 거친다.

1. 사용자 혹은 액세스 토큰 식별 평가 대상이 되는 특정 사용자를 지정하거나, 실제 발급된 액세스 토큰을 직접 입력할 수도 있다.

2. 자원(Resource) 및 범위(Scope) 설정 사용자가 어느 자원에 대해 어떤 범위로 접근을 시도했는지 구성한다. 예를 들어 “문서” 자원에 대해 “write” 범위를 요청한다고 가정한다.

3. 정책 및 퍼미션 평가 Keycloak이 내부적으로 설정된 정책 및 퍼미션을 순차적으로 확인하여, 해당 사용자가 요청한 자원/범위 조합을 허용할지 또는 거부할지를 결정한다.

4. 결과 표시 평가 도구는 최종적으로 허용(Granted) 또는 거부(Denied) 상태를 보여주며, 어떤 정책이 허용을 이끌었고(또는 거부를 이끌었고) 어떤 정책이 충족되지 않았는지 상세한 정보를 제공한다.

설정 및 사용 방법

Keycloak 콘솔에서 권한 평가 도구를 사용하는 일반적인 방법은 다음과 같다.

• 리소스 서버(Client) 선택 관리자 콘솔에서 권한 부여가 활성화된 클라이언트를 선택한다.

• Authorization 탭 이동 상단 탭 중에서 ‘Authorization’을 클릭한다.

• Evaluate 메뉴 진입 왼쪽 사이드 메뉴에서 ‘Evaluate’를 선택하면 권한 평가 화면이 나타난다.

• 사용자 혹은 토큰 입력

  • User: Keycloak에 등록된 사용자를 선택하면 해당 사용자의 정보(할당된 역할, 그룹 등)를 바탕으로 평가를 진행한다.

  • Access Token: 실제 발급된 JWT 토큰을 직접 입력해 평가할 수도 있다. 이를 통해 토큰에 포함된 클레임 기반 평가도 가능하다.

• 자원 및 범위 설정

  • Resource: 평가할 리소스 이름(예: “document”)을 선택한다.

  • Scope: 평가할 범위(예: “read”, “write” 등)가 있다면 선택한다.

• Evaluate 버튼 클릭 필요한 정보를 입력한 뒤 “Evaluate” 버튼을 누르면, Keycloak이 내부적으로 모든 정책과 퍼미션을 확인한 뒤 결과를 반환한다.

결과 해석

권한 평가 도구가 반환하는 결과는 크게 두 부분으로 나뉜다.

• 결과 요약(Effect)

  • GRANTED: 모든 관련 퍼미션을 충족하여 자원 접근이 허용됨

  • DENIED: 하나 이상의 필수 정책이 충족되지 않아 접근 거부됨

• 세부 정보(Policies 및 Permissions)

  • 어떤 퍼미션이 평가 대상이었는지, 그리고 그 퍼미션에 연결된 정책들이 어떻게 평가되었는지를 목록 형태로 보여준다.

  • 정책이 허용으로 평가되었는지(Policy Granted), 거부되었는지(Policy Denied), 또는 비적용(해당되지 않음)되었는지 등이 표시된다.

  • 정책 구성에서 종합 로직(affirmative, consensus, unanimous 등)에 따라 최종 결과가 달라질 수 있으므로, 어떤 로직으로 정책이 결합되어 있는지도 함께 확인해야 한다.

주의사항

• 정책 충돌: 정책이 서로 충돌하는 경우, 어떤 정책 결합 전략을 사용하느냐에 따라 최종 결과가 달라진다. 예를 들어, ‘Unanimous(만장일치)’ 전략인 경우 모든 정책이 만족되어야 GRANTED가 된다.

• 캐시: Keycloak의 토큰 검증이나 권한 검증에는 캐시가 개입될 수 있다. 권한 평가 도구는 즉시적인 시뮬레이션 결과를 보여주지만, 실제 런타임 환경에서의 캐시 정책도 고려해야 한다.

• 정책 범위(Scope): 정책이 특정 범위에만 유효하도록 구성된 경우, 요청 범위와 일치하지 않는다면 그 정책은 평가 대상에서 제외된다.

활용 예시

예를 들어, “문서”라는 리소스에 대해 “read”와 “write” 범위를 정의해놓고, “write” 범위는 ‘문서 작성 권한’ 역할을 가진 사용자만 허용하도록 정책을 세웠다고 가정한다. 이때, 어떤 사용자가 “document:write” 권한을 요청했는데 접근 거부가 발생한다면, 권한 평가 도구를 통해 다음과 같은 점검이 가능하다.

• 사용자가 실제로 “문서 작성 권한” 역할을 가지고 있는지

• 해당 역할이 제대로 설정되어 있고, 퍼미션이 “write” 범위를 허용하도록 연결되어 있는지

• 사용자 토큰에 필요한 클레임이 누락되지 않았는지

평가 결과는 각 정책이 어떤 근거로 허용 또는 거부를 결정했는지 보여주므로, 문제를 빠르게 찾고 수정할 수 있다.

---

Keycloak 권한 부여 기능을 제대로 활용하려면, 권한 평가 도구를 사용하여 정책과 퍼미션이 의도대로 동작하는지를 정기적으로 점검하는 것이 필수적이다. 이 도구를 통해 정책 충돌, 범위 설정 오류, 사용자 역할 누락 같은 오류를 신속히 파악하고 해결할 수 있다. 결과적으로 이는 리소스 보호 수준을 높이는 동시에, 권한 부여 설정을 유지보수하기 쉽게 만들어준다.