SAML 애플리케이션 접근 제어

SAML 서비스 프로바이더(SAML 애플리케이션)에 대한 접근을 관리하는 방법을 알아봅니다.

이 페이지에서는 Teleport에서 SAML IdP 서비스 프로바이더 리소스(SAML 애플리케이션)에 대한 접근을 관리하는 방법을 설명합니다. Teleport SAML IdP를 처음 사용하신다면, 먼저 Teleport를 SAML IdP로 설정하는 방법 을 알아보시기 바랍니다. 작동 방식 # SAML IdP 서비스 프로바이더 리소스에 대한 사용자 접근은 두 가지 사용 사례로 분류할 수 있습니다: SAML IdP 서비스 프로바이더 리소스 관리. 예를 들어, Teleport 관리자가 SAML IdP 서비스 프로바이더 리소스를 생성하거나 업데이트하려는 경우. SAML 서비스 프로바이더에 로그인. 예를 들어, Teleport 사용자가 Teleport로 인증하여 SAML IdP 서비스 프로바이더에 로그인하려는 경우. 두 경우 모두, saml_idp_service_provider 리소스를 대상으로 하는 허용/거부 규칙과 역할 app_labels 와 saml_idp_service_provider 리소스 레이블을 매칭하는 레이블 매처를 가진 Teleport 역할을 사용하여 접근을 설정할 수 있습니다. 다른 Teleport 역할 버전 간의 RBAC 동작 # Teleport SAML IdP는 역할 버전 8과 역할 버전 7 이하에서 서비스 프로바이더 리소스에 다른 RBAC 로직을 적용합니다. 역할 버전 7 이하에서는 saml_idp_service_provider 리소스 접근에 다음과 같은 접근 제어가 적용됩니다: IdP를 활성화하는 역할 옵션: spec.options.idp.saml.enabled: true/false . IdP를 활성화하는 클러스터 인증 기본 설정: spec.idp.saml.enabled: true/false . 리소스 규칙 spec.allow/deny.rules.resources.saml_idp_service_provider . 관리자 작업에만 적용됩니다. read,list 동사를 가진 허용 규칙이 암묵적으로 적용됩니다. read,list 동사를 가진 거부 규칙이 암묵적 허용보다 우선합니다. 세션별 MFA: spec.options.require_session_mfa: true/false . Teleport 역할 버전 8(Teleport 버전 18.0과 함께 릴리스)에서는 다음 RBAC 변경 사항이 도입되었습니다: app_labels 를 기반으로 한 레이블 매처. saml_idp_service_provider 를 대상으로 하는 동사가 있는 리소스 규칙이 이제 리소스 접근과 관리자 작업 모두에 적용됩니다. SAML IdP 세션에 대한 디바이스 신뢰(Device Trust). 역할 옵션 spec.options.idp.saml.enabled: true/false 는 역할 버전 8부터 더 이상 지원되지 않습니다. 세션별 MFA는 모든 역할 버전에서 지원됩니다. RBAC 우선순위 # 사용자에게 최신 역할(버전 8)과 이전 버전 역할(버전 7 이하)이 동시에 할당될 수 있습니다. 사용자에게 역할 버전 7과 8이 모두 할당된 경우, 버전 8의 거부 규칙