OIDC로 SSO 구성 - Weights & Biases Documentation

이 가이드는 OpenID Connect(OIDC) 호환 ID 공급자를 사용해 single sign-on(SSO)을 활성화하려는 W&B Dedicated Cloud 또는 Self-Managed 인스턴스 관리자를 위한 것입니다. 이 과정을 마치면 ID 공급자를 구성하고 W&B에 연결하여 사용자가 조직의 기존 ID 시스템을 통해 로그인할 수 있게 되며, Okta, Keycloak, Auth0, Google, Entra와 같은 공급자를 통해 사용자 ID와 그룹 멤버십을 관리할 수 있습니다.

OpenID Connect

W&B는 외부 ID 공급자(IdP)와 통합할 수 있도록 다음 OIDC 인증 플로를 지원합니다:

Form Post를 사용하는 Implicit Flow.
PKCE(Proof Key for Code Exchange)를 사용하는 Authorization Code Flow.

이러한 플로는 사용자를 인증하고, 접근 제어를 관리하는 데 필요한 ID 정보(ID 토큰 형태)를 W&B에 제공합니다. ID 토큰은 이름, 사용자명, 이메일, 그룹 멤버십 등 사용자의 ID 정보를 포함하는 JWT입니다. W&B는 이 토큰을 사용해 사용자를 인증하고 시스템 내 적절한 역할이나 그룹에 매핑합니다. W&B에서는 액세스 토큰이 사용자를 대신해 API 요청을 승인하는 데 사용되지만, W&B의 주된 관심사는 사용자 인증과 ID이므로 ID 토큰만 있으면 됩니다. 환경 변수를 사용해 Dedicated Cloud 또는 Self-Managed 인스턴스의 IAM 옵션을 구성할 수 있습니다. Dedicated Cloud 또는 Self-Managed 배포에서 ID 공급자를 구성하는 데 도움이 되도록, 아래 가이드라인을 따르세요. W&B Multi-tenant Cloud를 사용 중이라면 지원이 필요할 경우 support@wandb.com으로 문의하세요.

IdP를 설정하세요

다음 섹션에서는 OIDC용 ID 공급자(IdP)를 설정하는 방법을 설명합니다. 먼저 IdP 설정 단계를 완료하세요. 다음 섹션에서 W&B에서 SSO를 설정할 때 이 과정에서 얻은 Client ID, Issuer URL, 그리고 Client Secret(선택 사항)을 사용합니다. 자세한 내용은 해당 IdP의 탭을 선택하세요.

Cognito
Okta
Entra

AWS Cognito를 IdP로 설정하려면 다음 절차를 따르세요. 완료되면 W&B를 설정할 때 사용할 Client ID와 OIDC issuer URL을 얻게 됩니다.

AWS 계정에 로그인한 다음 AWS Cognito App으로 이동하세요.
IdP에서 애플리케이션을 설정하려면 허용된 callback URL을 제공하세요. callback URL로 http(s)://[YOUR-W-AND-B-HOST]/oidc/callback를 추가하세요. [YOUR-W-AND-B-HOST]를 W&B 호스트 경로로 바꾸세요.
IdP가 universal logout을 지원하는 경우 Logout URL을 http(s)://[YOUR-W-AND-B-HOST]로 설정하세요. [YOUR-W-AND-B-HOST]를 W&B 호스트 경로로 바꾸세요. 예를 들어 애플리케이션이 https://wandb.mycompany.com에서 실행되는 경우 [YOUR-W-AND-B-HOST]를 wandb.mycompany.com으로 바꾸세요. 다음 이미지는 AWS Cognito에서 허용된 callback URL과 sign-out URL을 지정하는 방법을 보여줍니다.
wandb/local은 기본적으로 form_post response type을 사용하는 implicit grant를 사용합니다. wandb/local이 PKCE Code Exchange flow를 사용하는 authorization_code grant를 수행하도록 설정할 수도 있습니다.
AWS Cognito가 앱에 토큰을 전달하는 방식을 설정하려면 하나 이상의 OAuth grant 유형을 선택하세요.
W&B에는 특정 OpenID Connect (OIDC) scope가 필요합니다. AWS Cognito App에서 다음을 선택하세요.
- openid
- profile
- email
예를 들어 AWS Cognito App UI는 다음 이미지와 비슷하게 표시되어야 합니다.
settings 페이지에서 Auth Method를 선택하거나 OIDC_AUTH_METHOD 환경 변수를 설정해 wandb/local이 사용할 grant를 지정하세요. Auth Method를 pkce로 설정해야 합니다.
Client ID와 OIDC issuer URL이 필요합니다. OpenID discovery document는 $OIDC_ISSUER/.well-known/openid-configuration에서 사용할 수 있어야 합니다. 예를 들어 User Pools 섹션의 App Integration 탭에서 Cognito IdP URL에 User Pool ID를 덧붙여 issuer URL을 생성할 수 있습니다.
IdP URL에 Cognito domain을 사용하지 마세요. Cognito는 discovery document를 https://cognito-idp.$REGION.amazonaws.com/$USER_POOL_ID에서 제공합니다.

다음으로, W&B에서 SSO 설정을 진행하세요.

Okta를 IdP로 설정하려면 다음 절차를 따르세요. 완료하면 W&B를 설정할 때 사용할 Client ID와 OIDC issuer URL을 확인할 수 있습니다.

Okta Portal에 로그인하세요.
왼쪽에서 Applications를 선택한 다음, 다시 Applications를 선택하세요.
Create App integration을 클릭하세요.
Create a new app integration 화면에서 OIDC - OpenID Connect와 Single-Page Application을 선택하세요. 그런 다음 Next를 클릭하세요.
New Single-Page App Integration 화면에서 다음과 같이 값을 입력한 후 Save를 클릭하세요.
- App integration name에 예를 들어 W&B를 입력하세요.
- Grant type: Authorization Code와 **Implicit (hybrid)**를 모두 선택하세요.
- Sign-in redirect URIs: https://[YOUR-W-AND-B-URL]/oidc/callback.
- Sign-out redirect URIs: https://[YOUR-W-AND-B-URL]/logout.
- Assignments: Skip group assignment for now를 선택하세요.
생성한 Okta 애플리케이션의 개요 화면에서 General 탭의 Client Credentials 아래에 있는 Client ID를 기록해 두세요.
Okta OIDC Issuer URL을 파악하려면 왼쪽에서 Settings를 선택한 다음 Account를 선택하세요. Okta UI에는 Organization Contact 아래에 회사 이름이 표시됩니다.

OIDC issuer URL은 다음 형식입니다. https://[COMPANY].okta.com [COMPANY]를 해당 값으로 바꾸세요. 이 값도 기록해 두세요.다음으로, W&B에서 SSO를 설정하세요.

Azure AD (Entra ID)는 W&B에 대해 두 가지 OIDC 설정 모드를 지원합니다. 보안 요구 사항에 맞는 설정을 선택하세요:

Public client: 클라이언트 시크릿 없이 PKCE를 사용합니다. 설정이 간단하며 대부분의 deployment에 적합합니다.
기밀 클라이언트: 클라이언트 시크릿과 함께 PKCE를 사용합니다. GORILLA_OIDC_SECRET 환경 변수를 설정해야 한다면 필수입니다.

설정을 혼용하지 마세요. Azure AD에서 Single-page application을 선택한 경우 클라이언트 시크릿을 입력하지 마세요. 클라이언트 시크릿이 필요한 경우 플랫폼 유형으로 Web을 선택해야 합니다.

퍼블릭 클라이언트

클라이언트 시크릿을 지정할 필요가 없는 경우 이 설정을 사용하세요. 고급 보안 요구 사항이 없는 배포 환경에 적합합니다.

Azure Portal에 로그인하세요.
Microsoft Entra ID 서비스로 이동한 다음 왼쪽 사이드바에서 App registrations를 선택하세요.
페이지 상단에서 New registration을 클릭하세요.
Register an application 화면에서 다음과 같이 설정하세요.
- Name: 식별하기 쉬운 설명형 이름을 입력하세요.
- Supported account types: 기본값인 Single tenant를 유지하거나 필요에 따라 변경하세요.
- Redirect URI: 플랫폼 유형으로 Single-page application을 선택하고 https://[YOUR-W-AND-B-URL]/oidc/callback을 입력하세요.
- Register를 클릭하세요.
등록이 완료되면 Overview 페이지에서 다음 값을 기록해 두세요.
- Application (client) ID: OIDC Client ID입니다.
- Directory (tenant) ID: OIDC Issuer URL입니다.
인증 설정을 구성하세요.
- 왼쪽 사이드바에서 Authentication을 선택하세요.
- Front-channel logout URL 아래에 https://[YOUR-W-AND-B-URL]/logout을 입력하세요.
- Save를 클릭하세요.

다음 정보를 기록해 두세요.

OIDC Client ID: 5단계의 Application (client) ID입니다.
OIDC Issuer URL: https://login.microsoftonline.com/[TENANT-ID]/v2.0 ([TENANT-ID]를 5단계의 Directory ID로 바꾸세요).

W&B를 설정할 때는 다음 값을 사용하세요.

Auth Method: pkce.
OIDC Client Secret: 비워 두세요(GORILLA_OIDC_SECRET은 설정하지 마세요).

다음으로, W&B에서 SSO를 설정하세요.

기밀 클라이언트

클라이언트 시크릿을 사용해 인증해야 하는 경우 이 설정을 사용하세요.

Azure Portal에 로그인하세요.
Microsoft Entra ID 서비스로 이동한 다음, 왼쪽 사이드바에서 App registrations를 선택하세요.
페이지 상단에서 New registration을 클릭하세요.
Register an application 화면에서 다음 항목을 설정하세요.
- Name: 알아보기 쉬운 설명용 이름을 입력하세요.
- Supported account types: 기본값인 Single tenant를 유지하거나 필요에 따라 수정하세요.
- Redirect URI: 플랫폼 유형으로 Web을 선택하고 https://[YOUR-W-AND-B-URL]/oidc/callback을 입력하세요.
- Register를 클릭하세요.
등록이 완료되면 Overview 페이지에서 다음 값을 기록해 두세요.
- Application (client) ID: OIDC Client ID입니다.
- Directory (tenant) ID: OIDC Issuer URL에 사용할 값입니다.
인증 설정을 구성하세요.
- 왼쪽 사이드바에서 Authentication을 선택하세요.
- Front-channel logout URL 아래에 https://[YOUR-W-AND-B-URL]/logout을 입력하세요.
- Save를 클릭하세요.
클라이언트 시크릿을 생성하세요.
- 왼쪽 사이드바에서 Certificates & secrets를 선택하세요.
- New client secret을 클릭하세요.
- 시크릿에 대한 설명을 추가하세요.
- 만료 기간을 선택하세요.
- Add를 클릭하세요.
  시크릿 Value를 즉시 복사해 저장하세요(Secret ID가 아님).

다음 세부 정보를 기록해 두세요.

OIDC Client ID: 5단계의 Application (client) ID입니다.
OIDC Client Secret: 7단계의 시크릿 값입니다.
OIDC Issuer URL: https://login.microsoftonline.com/[TENANT-ID]/v2.0 ([TENANT-ID]를 5단계의 Directory ID로 바꾸세요.)

W&B를 설정할 때는 다음을 사용하세요.

Auth Method: pkce.
OIDC Client Secret: GORILLA_OIDC_SECRET 환경 변수를 7단계의 시크릿 값으로 설정하세요.

v2.0 엔드포인트는 개인 Microsoft 계정과 회사/학교 계정을 모두 지원합니다. 조직에서 v1.0 엔드포인트를 요구하는 경우에는 대신 https://login.microsoftonline.com/[TENANT-ID]를 사용하세요.

다음으로, W&B에서 SSO를 설정하세요.

W&B에서 SSO 설정하기

IdP 구성을 완료한 후, 인스턴스에서 IdP를 연결하고 SSO를 활성화하려면 W&B에서 다음 단계를 수행하세요. SSO를 설정하려면 관리자 권한과 다음 정보가 필요합니다.

OIDC Client ID.
OIDC Auth method (implicit 또는 pkce).
OIDC Issuer URL.
OIDC Client Secret (선택 사항이며, IdP를 어떻게 설정했는지에 따라 달라집니다).

IdP에 OIDC Client Secret이 필요한 경우, 환경 변수 GORILLA_OIDC_SECRET를 전달하여 지정하세요.

W&B App에서 System Console > Settings > Advanced > User Spec으로 이동한 다음, 아래 예시와 같이 extraENV 섹션에 GORILLA_OIDC_SECRET를 추가하세요.

Helm에서는 아래 예시와 같이 values.global.extraEnv를 설정하세요.

values:
global:
    extraEnv:
    GORILLA_OIDC_SECRET="[YOUR-SECRET]"

SSO를 구성한 후 인스턴스에 로그인할 수 없는 경우, LOCAL_RESTORE=true 환경 변수를 설정한 상태로 인스턴스를 다시 시작할 수 있습니다. 그러면 컨테이너 로그에 임시 비밀번호가 출력되고 SSO가 비활성화됩니다. SSO 관련 문제를 해결한 후에는 SSO를 다시 활성화하려면 해당 환경 변수를 제거해야 합니다.

System Console
System settings

W&B Kubernetes Operator로 W&B를 배포한 경우 이 탭을 사용하세요. System Console은 System Settings 페이지의 후속 기능입니다. 이 기능은 W&B Kubernetes Operator 기반 배포에서 사용할 수 있습니다.

Access the W&B Management Console을 참고하세요.
Settings로 이동한 다음 Authentication으로 이동합니다. Type 드롭다운에서 OIDC를 선택합니다.
값을 입력합니다.
Save를 클릭합니다.
로그아웃한 다음 다시 로그인합니다. 이번에는 IdP 로그인 화면을 사용하세요.

고객 네임스페이스 찾기

W&B Dedicated Cloud 또는 Self-Managed에서 CoreWeave 저장소로 팀 수준 BYOB를 구성하려면 먼저 조직의 Customer Namespace를 획득해야 합니다. Authentication 탭 하단에서 이를 확인하고 복사할 수 있습니다.Customer Namespace를 사용해 CoreWeave 저장소를 구성하는 자세한 방법은 CoreWeave requirements for Dedicated Cloud or Self-Managed를 참고하세요.

Security Assertion Markup Language (SAML)

W&B는 SAML을 지원하지 않습니다.

Documentation Index

​OpenID Connect

​IdP를 설정하세요

​W&B에서 SSO 설정하기

​고객 네임스페이스 찾기

​Security Assertion Markup Language (SAML)

OpenID Connect

IdP를 설정하세요

W&B에서 SSO 설정하기

고객 네임스페이스 찾기

Security Assertion Markup Language (SAML)