AWS IAM Identity Center를 Okta에서 Teleport로 마이그레이션

Okta 제어에서 Teleport 제어로 Identity Center 인스턴스를 마이그레이션하는 방법을 설명합니다.

이 가이드는 기존 Okta 관리 AWS IAM Identity Center 설정에 Teleport를 도입하는 방법을 설명합니다. 특히 두 가지 시나리오를 설명합니다: Teleport가 Okta와 함께 Identity Center 관리 리소스를 공유하는 경우와, Teleport가 Identity Center SSO 공급자 및 사용자 프로비저너로 Okta를 대체하는 경우입니다. 작동 방식 # 기존 Okta 관리 AWS IAM Identity Center 인스턴스에 Teleport를 도입하는 두 가지 방법이 있습니다: 부분 이관 (_하이브리드 모드_라고도 함): Okta를 AWS IAM Identity Center 인스턴스의 사용자 프로비저너 및 SSO 공급자로 유지하되, 계정 할당 및 (일부) Identity Center 그룹 프로비저닝을 Teleport에 위임하거나, 전체 이관 : 사용자 프로비저닝, 그룹 프로비저닝, 계정 할당 프로비저닝 및 SAML SSO를 포함하여 AWS IAM Identity Center의 제어를 Okta에서 Teleport로 완전히 이전합니다. 간소화를 위해 전체 이관을 권장합니다. 두 경우 모두, Teleport는 부분 이관 모드에서도 Identity Center 그룹을 프로비저닝하고 그룹 구성원을 관리하기 위해 SCIM을 사용하므로 AWS IAM Identity Center SCIM 베어러 토큰을 Teleport와 공유해야 합니다. 사전 요구사항 # Teleport 클러스터. 통합이 사용하도록 AWS IAM Identity Center 가이드 에 따라 설정된 AWS 역할. Teleport Auth 서비스가 선택하고 사용할 AWS 자격 증명(예: 환경 변수, 시스템 프로필 등). 다음 권한이 있는 Okta API 토큰: 사용자 및 세부 정보 보기. 그룹 및 세부 정보 보기. 애플리케이션 및 세부 정보 보기. AWS IAM Identity Center ARN, AWS 리전, SCIM 기본 주소 및 SCIM 베어러 토큰. 부분 이관 (하이브리드 설정) # 먼저 부분 이관 설정에서 Teleport, Okta 및 Identity Center를 설정하는 방법부터 시작합니다: Okta와 Teleport를 통합하여 Identity Center에 프로비저닝된 모든 Okta 사용자가 Teleport에도 프로비저닝되도록 합니다. Identity Center의 그룹 및 계정 할당을 관리하도록 Teleport를 설정합니다. Identity Center 그룹 가져오기 규칙을 설정하여 Okta가 관리하는 Identity Center 그룹이 Teleport에 의해 재정의되지 않도록 합니다. 이 초기 설정이 완료되면 부분 이관 모드에서 무기한 실행하거나 부분 이관 설정을 전체 이관 통합으로의 발판으로 사용할 수 있습니다. 경고 - Teleport는 잠긴 또는 비활성화된 Teleport 사용자를 AWS에서 비활성화하지 않습니다: 부분 이관 설정의 특성상 외부 IdP(이 경우 Okta)가 Teleport가 인식하지 못한 채 Teleport에 의