Teleport SAML IdP를 사용한 GCP 인력 ID 페더레이션

Teleport SAML IdP를 사용하여 GCP(Google Cloud Platform) 웹 콘솔 접근 관리.

사전 요구사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

가이드 설정 플로우

1/3단계. 인력 풀 설정

2/3단계. Teleport에 인력 풀 추가

3/3단계. GCP IAM 정책 생성

인력 풀 접근 관리

속성 매핑

접근 조건

Teleport 역할을 기반으로 GCP 리소스 접근 매핑

gcloud CLI 및 Google Cloud API 클라이언트 인증

수동 통합

1/3단계. 인력 풀 및 풀 공급자 생성

2/3단계. Teleport에 인력 풀 추가

3/3단계. GCP IAM 정책 생성

GCP 인력 ID 페더레이션(Workforce Identity Federation)은 Google Workspace Admin 또는 GCP Cloud Identity에서 관리되지 않는 ID에 대해 GCP 웹 콘솔 및 API 접근을 프로비저닝할 수 있습니다. 인력 ID 페더레이션 설정의 일반적인 워크플로우는 먼저 인력 풀(workforce pool)을 생성하는 것입니다. 그런 다음 풀 ID 공급자를 생성하고 설정합니다. 풀 ID 공급자가 설정되면, 페더레이션 인증 프로세스에서 ID 공급자가 사용자 ID에 서명하는 한 사용자는 GCP 웹 콘솔에 로그인할 수 있습니다. 이 가이드에서는 GCP 인력 ID 페더레이션 서비스를 Teleport SAML IdP와 통합하여 사용자가 Teleport로 인증하여 GCP 웹 콘솔에 로그인할 수 있는 방법을 자세히 설명합니다. 사전 요구사항 # A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" Follow the instructions for your platform to install tctl and tsh clients: To check that you can connect to your Teleport cluster, sign in with tsh login , then verify that you can run tctl commands using your current credentials. For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username: $ tsh login --proxy= --user= $ tctl status # C