Skip to content
- 조직 계정의 realm/role/group 관리 주체
- FractalOps 이벤트 브리지 대상
- 사용자 직접 비밀번호 로그인은 관리자 계정만 허용
- 일반 직원은 Entra 브로커 경유(비밀번호 입력 없는 흐름)
- GitHub 링크 필요 계정은
identity_link_required 상태로 명시
- admin event -> FractalOps ingress 전달
- principal profile overlay 적용 가능
- plugin 방식으로 확장(직접 DB 수정 금지)
- Portal/Pomerium 로그인 버튼에서 로그인 시작점을 명시하고, Entra 직행 리다이렉트는 강제하지 않는다.
- FractalOps는 Keycloak authentication flow/execution을 삭제하거나 재구성하지 않는다.
- 표준 연산 ID:
reconcile_keycloak_idp_instance
- 동작 스코프:
identity-provider/instances/<alias> 설정 조정(syncMode, loginHint, prompt, optional firstBrokerLoginFlowAlias)
- 신규 사용자 생성 시 principal_upsert 이벤트 생성
- role/group 변경이 FractalOps policy 입력에 반영
x-pomerium-claim-sub 또는 x-pomerium-claim-user가 Portal principal subject_id로 유지되고 email만 ID로 쓰이지 않음