OIDC로 SSO 구성

W&B는 OpenID Connect(OIDC) 호환 ID 공급자를 지원하므로, Okta, Keycloak, Auth0, Google, Entra와 같은 외부 ID 공급자를 통해 사용자 ID와 그룹 멤버십을 관리할 수 있습니다.

OpenID Connect (OIDC)

W&B는 외부 ID 공급자(IdP)와 통합할 수 있도록 다음 OIDC 인증 플로를 지원합니다.

Form Post를 사용하는 Implicit Flow
PKCE(Proof Key for Code Exchange)를 사용하는 Authorization Code Flow

이러한 플로는 사용자를 인증하고, 접근 제어를 관리하는 데 필요한 ID 정보(ID 토큰 형태)를 W&B에 제공합니다. ID 토큰은 이름, 사용자명, 이메일, 그룹 멤버십 등 사용자의 ID 정보를 포함하는 JWT입니다. W&B는 이 토큰을 사용해 사용자를 인증하고 시스템 내 적절한 역할이나 그룹에 매핑합니다. W&B에서는 액세스 토큰이 사용자를 대신해 API 요청을 승인하는 데 사용되지만, W&B의 주된 관심사는 사용자 인증과 ID이므로 ID 토큰만 있으면 됩니다. 환경 변수를 사용해 Dedicated Cloud 또는 Self-Managed 인스턴스의 IAM 옵션을 구성할 수 있습니다. Dedicated Cloud 또는 Self-Managed W&B 설치에서 ID 공급자를 구성하는 데 도움이 되도록, 각 IdP별로 아래 가이드라인을 따르세요. SaaS 버전의 W&B를 사용 중이라면 조직의 Auth0 테넌트 구성에 대한 지원이 필요할 경우 support@wandb.com으로 문의하세요.

IdP 설정

이 섹션에서는 OIDC용 ID 공급자(IdP)를 설정하는 방법을 설명합니다. 자세한 내용은 사용하는 IdP의 탭을 선택하세요.

Cognito
Okta
Entra

아래 절차에 따라 인가를 위해 AWS Cognito를 설정하세요:

먼저 AWS 계정에 로그인한 다음 AWS Cognito 앱으로 이동합니다.
IdP에서 애플리케이션을 설정할 수 있도록 허용된 콜백 URL을 지정합니다:
- 콜백 URL로 http(s)://YOUR-W&B-HOST/oidc/callback를 추가합니다. YOUR-W&B-HOST를 W&B 호스트 경로로 바꾸세요.
IdP가 범용 로그아웃을 지원하는 경우 Logout URL을 http(s)://YOUR-W&B-HOST로 설정합니다. YOUR-W&B-HOST를 W&B 호스트 경로로 바꾸세요. 예를 들어 애플리케이션이 https://wandb.mycompany.com에서 실행 중이라면 YOUR-W&B-HOST를 wandb.mycompany.com으로 바꾸면 됩니다. 아래 이미지는 AWS Cognito에서 허용된 콜백 URL과 로그아웃 URL을 설정하는 방법을 보여줍니다.
wandb/local은 기본적으로 form_post 응답 유형을 사용하는 implicit grant를 사용합니다. wandb/local이 PKCE Code Exchange 흐름을 사용하는 authorization_code grant를 수행하도록 설정할 수도 있습니다.
AWS Cognito가 앱에 토큰을 전달하는 방식을 설정하려면 하나 이상의 OAuth grant 유형을 선택합니다.
W&B에서는 특정 OpenID Connect (OIDC) 스코프가 필요합니다. AWS Cognito 앱에서 다음 항목을 선택합니다:
- “openid”
- “profile”
- “email”
예를 들어 AWS Cognito 앱 UI는 다음 이미지와 비슷해야 합니다:
설정 페이지에서 Auth Method를 선택하거나 OIDC_AUTH_METHOD 환경 변수를 설정해 wandb/local이 사용할 grant를 지정합니다. Auth Method를 pkce로 설정해야 합니다.
클라이언트 ID와 OIDC issuer URL이 필요합니다. OpenID discovery document는 $OIDC_ISSUER/.well-known/openid-configuration에서 사용할 수 있어야 합니다. 예를 들어 User Pools 섹션의 App Integration 탭에 있는 Cognito IdP URL에 User Pool ID를 덧붙여 issuer URL을 생성할 수 있습니다:
IdP URL에 “Cognito domain”을 사용하지 마세요. Cognito는 https://cognito-idp.$REGION.amazonaws.com/$USER_POOL_ID에서 discovery document를 제공합니다.

다음으로, W&B에서 SSO를 설정하세요.

권한 부여를 위해 아래 절차에 따라 Okta를 설정하세요.

Okta Portal에 로그인합니다.
왼쪽에서 Applications를 선택한 다음 Applications를 다시 선택합니다.
“Create App integration”을 클릭합니다.
“Create a new app integration” 화면에서 OIDC - OpenID Connect와 Single-Page Application을 선택합니다. 그런 다음 “Next”를 클릭합니다.
“New Single-Page App Integration” 화면에서 다음과 같이 값을 입력한 후 Save를 클릭합니다.
- App integration name, 예: “W&B”
- Grant type: Authorization Code와 **Implicit (hybrid)**를 모두 선택합니다
- Sign-in redirect URIs: https://YOUR_W_AND_B_URL/oidc/callback
- Sign-out redirect URIs: https://YOUR_W_AND_B_URL/logout
- Assignments: Skip group assignment for now를 선택합니다
방금 생성한 Okta 애플리케이션의 Overview 화면에서 General 탭의 Client Credentials 아래에 있는 Client ID를 메모해 둡니다.
Okta OIDC Issuer URL을 파악하려면 왼쪽에서 Settings를 선택한 다음 Account를 선택합니다. Okta UI에는 Organization Contact 아래에 회사 이름이 표시됩니다.

OIDC issuer URL은 다음 형식입니다. https://COMPANY.okta.com COMPANY를 해당 값으로 바꾸세요. 이 값도 메모해 두세요.다음으로, W&B에서 SSO 설정을 진행하세요.

Azure AD (Entra ID)는 W&B에 대해 두 가지 OIDC 설정 모드를 지원합니다. 보안 요구 사항에 맞는 설정을 선택하세요:

공개 클라이언트: 클라이언트 시크릿 없이 PKCE를 사용합니다. 설정이 더 간단하며, 대부분의 배포 환경에 적합합니다.
Confidential Client: 보안 강화를 위해 클라이언트 시크릿과 함께 PKCE를 사용합니다. GORILLA_OIDC_SECRET 환경 변수를 설정해야 한다면 필수입니다.

설정을 혼용하지 마세요. Azure AD에서 “Single-page application”을 선택한 경우 클라이언트 시크릿을 입력하지 마세요. 클라이언트 시크릿이 필요하면 플랫폼 유형으로 “Web”을 선택해야 합니다.

퍼블릭 클라이언트

클라이언트 시크릿을 지정할 필요가 없으면 이 설정을 사용하세요. 이 설정은 고급 보안 요구 사항이 없는 배포에 적합합니다.

Azure Portal에 로그인합니다.
Microsoft Entra ID 서비스로 이동한 다음 왼쪽 사이드바에서 App registrations를 선택합니다.
페이지 상단에서 New registration을 클릭합니다.
“애플리케이션 등록” 화면에서 다음 항목을 설정합니다.
- Name: 식별하기 쉬운 이름을 입력합니다.
- Supported account types: 기본값인 “Single tenant”를 유지하거나 필요에 따라 변경합니다.
- Redirect URI: 플랫폼 유형으로 Single-page application을 선택하고 https://YOUR_W_AND_B_URL/oidc/callback를 입력합니다.
- Register를 클릭합니다.
등록이 완료되면 Overview 페이지에서 다음 값을 기록해 둡니다.
- Application (client) ID: OIDC Client ID입니다.
- Directory (tenant) ID: OIDC Issuer URL입니다.
인증 설정을 구성합니다.
- 왼쪽 사이드바에서 Authentication을 선택합니다.
- Front-channel logout URL 아래에 https://YOUR_W_AND_B_URL/logout를 입력합니다.
- Save를 클릭합니다.

다음 세부 정보를 기록해 두세요.

OIDC Client ID: 5단계의 Application (client) ID
OIDC Issuer URL: https://login.microsoftonline.com/{TenantID}/v2.0 (를 5단계의 Directory ID로 바꾸세요)

W&B를 설정할 때는 다음을 사용하세요.

Auth Method: pkce
OIDC Client Secret: 비워 두세요 (GORILLA_OIDC_SECRET는 설정하지 마세요)

다음으로, W&B에서 SSO 설정으로 이동하세요.

기밀 클라이언트

클라이언트 시크릿을 사용해 인증해야 하는 경우 이 설정을 사용하세요.

Azure Portal에 로그인합니다.
Microsoft Entra ID 서비스로 이동한 다음, 왼쪽 사이드바에서 App registrations를 선택합니다.
페이지 상단에서 New registration을 클릭합니다.
“Register an application” 화면에서 다음과 같이 설정합니다.
- Name: 알아보기 쉬운 설명형 이름을 입력합니다.
- Supported account types: 기본값인 “Single tenant”를 그대로 사용하거나 필요에 따라 변경합니다.
- Redirect URI: 플랫폼 유형으로 Web을 선택하고 https://YOUR_W_AND_B_URL/oidc/callback를 입력합니다.
- Register를 클릭합니다.
등록이 완료되면 Overview 페이지에서 다음 값을 기록해 둡니다.
- Application (client) ID: OIDC 클라이언트 ID입니다.
- Directory (tenant) ID: OIDC 발급자 URL입니다.
인증 설정을 구성합니다.
- 왼쪽 사이드바에서 Authentication을 선택합니다.
- Front-channel logout URL 아래에 https://<YOUR_W_AND_B_URL>/logout를 입력합니다.
- Save를 클릭합니다.
클라이언트 시크릿을 생성합니다.
- 왼쪽 사이드바에서 Certificates & secrets를 선택합니다.
- New client secret을 클릭합니다.
- 시크릿에 대한 설명을 추가합니다.
- 만료 기간을 선택합니다.
- Add를 클릭합니다.
  시크릿 Value를 즉시 복사해 저장하세요(Secret ID가 아님)
  .

다음 세부 정보를 기록해 두세요.

OIDC Client ID: step 5의 Application (client) ID
OIDC Client Secret: step 7의 시크릿 값
OIDC Issuer URL: https://login.microsoftonline.com/{TenantID}/v2.0 (를 step 5의 Directory ID로 바꾸세요)

W&B를 설정할 때는 다음을 사용합니다.

Auth Method: pkce
OIDC Client Secret: GORILLA_OIDC_SECRET 환경 변수를 step 7의 시크릿 값으로 설정합니다

v2.0 엔드포인트는 개인 Microsoft 계정과 회사/학교 계정을 모두 지원합니다. 조직에서 v1.0 엔드포인트가 필요하면 대신 https://login.microsoftonline.com/{TenantID}를 사용하세요.

다음으로, W&B에서 SSO 설정을 진행하세요.

W&B에서 SSO 설정

SSO를 설정하려면 관리자 권한과 다음 정보가 필요합니다.

OIDC Client ID
OIDC 인증 방법(implicit 또는 pkce)
OIDC Issuer URL
OIDC Client Secret(선택 사항, IdP 설정 방식에 따라 다름)

IdP에 OIDC Client Secret이 필요하면 환경 변수 GORILLA_OIDC_SECRET를 설정해 지정합니다.

W&B App에서 System Console > Settings > Advanced > User Spec으로 이동한 다음, 아래와 같이 extraENV 섹션에 GORILLA_OIDC_SECRET를 추가합니다.

Helm에서는 아래와 같이 values.global.extraEnv를 설정합니다.

values:
global:
    extraEnv:
    GORILLA_OIDC_SECRET="<your_secret>"

SSO를 설정한 후 인스턴스에 로그인할 수 없는 경우, LOCAL_RESTORE=true 환경 변수를 설정한 상태로 인스턴스를 재시작할 수 있습니다. 그러면 컨테이너 로그에 임시 비밀번호가 출력되고 SSO가 비활성화됩니다. SSO 관련 문제를 해결한 후에는 SSO를 다시 활성화하기 위해 해당 환경 변수를 반드시 제거해야 합니다.

System Console
System settings

System Console은 System Settings 페이지를 대체하는 기능입니다. W&B Kubernetes Operator 기반 배포에서 사용할 수 있습니다.

Access the W&B Management Console을 참고하세요.
Settings로 이동한 다음 Authentication으로 이동합니다. Type 드롭다운에서 OIDC를 선택합니다.
값을 입력합니다.
Save를 클릭합니다.
로그아웃한 다음 다시 로그인합니다. 이번에는 IdP 로그인 화면을 사용합니다.

고객 네임스페이스 찾기

W&B Dedicated Cloud 또는 Self-Managed에서 CoreWeave 저장소를 사용해 팀 수준 BYOB를 설정하려면 먼저 조직의 Customer Namespace를 확인해야 합니다. 이 값은 Authentication 탭 하단에서 확인하고 복사할 수 있습니다.Customer Namespace를 사용해 CoreWeave 저장소를 설정하는 자세한 방법은 CoreWeave requirements for Dedicated Cloud / Self-Managed를 참조하세요.

SSO를 설정한 후 인스턴스에 로그인할 수 없는 경우, LOCAL_RESTORE=true 환경 변수를 설정한 상태로 인스턴스를 재시작할 수 있습니다. 그러면 컨테이너 로그에 임시 비밀번호가 출력되고 SSO가 꺼집니다. SSO 관련 문제를 해결한 후에는 SSO를 다시 활성화하기 위해 해당 환경 변수를 반드시 제거해야 합니다.

Security Assertion Markup Language (SAML)

W&B는 SAML을 지원하지 않습니다.

W&B에 오신 것을 환영합니다

제품

플랫폼 세부 정보

리소스

OpenID Connect (OIDC)

IdP 설정

W&B에서 SSO 설정

고객 네임스페이스 찾기

Security Assertion Markup Language (SAML)

W&B에 오신 것을 환영합니다

제품

플랫폼 세부 정보

리소스

​OpenID Connect (OIDC)

​IdP 설정

​W&B에서 SSO 설정

​고객 네임스페이스 찾기

​Security Assertion Markup Language (SAML)

OpenID Connect (OIDC)

IdP 설정

W&B에서 SSO 설정

고객 네임스페이스 찾기

Security Assertion Markup Language (SAML)