Entra ID 사용자를 위한 Teleport 접근 설정

중첩 접근 목록을 사용하여 Entra ID 그룹을 Teleport 역할에 매핑하는 방법을 알아봅니다.

이 가이드는 Teleport의 중첩 접근 목록(Nested Access List)을 사용하여 Entra 그룹 구성원을 기반으로 Entra ID에서 가져온 사용자의 접근을 설정하는 방법을 보여줍니다. 작동 방식 # 중첩 접근 목록 설정에서, 자식 접근 목록은 부모 접근 목록에서 부여된 역할과 트레잇을 상속합니다. 이 기능을 활용하면 Entra ID에서 가져온 접근 목록을 다른 접근 목록의 구성원으로 추가하여 Teleport 역할을 해당 구성원에게 부여할 수 있습니다. 이 가이드에서는 Entra ID 사용자에 대한 접근을 설정하려는 참조 애플리케이션으로 Grafana를 사용합니다. 이 애플리케이션은 리소스 레이블 env: monitor 로 Teleport에 등록됩니다. Entra ID에 두 사용자 그룹을 생성합니다: ad-app-admin 과 ad-app-support . 이 그룹의 구성원들이 각각 영구적인 접근 권한과 Grafana에 대한 접근 요청 능력을 갖기를 원합니다. 기존 Entra ID 그룹을 사용할 수도 있습니다. 그런 다음 Teleport에서 두 가지 역할을 생성합니다. 하나는 Grafana 애플리케이션 접근을 허용하고, 다른 하나는 Grafana 애플리케이션 접근을 부여하는 역할을 요청할 수 있도록 허용합니다. 이 역할들은 접근 목록에 할당되어 Entra ID에서 가져온 그룹에 역할과 트레잇을 부여합니다. 사전 요구사항 # Auth Connector, 플러그인, 역할 및 접근 목록을 읽고 쓸 수 있는 사전 설정 editor 또는 동등한 역할을 가진 Teleport 사용자. Entra ID에서 그룹을 생성할 권한. Teleport 클러스터에 설정된 Entra ID 통합 . 이 가이드에서는 Grafana 애플리케이션을 참조합니다. 시작하려면 다른 리소스 유형을 사용할 수 있습니다. 1/3단계. Entra ID에서 그룹 생성 # 정보 - 새 그룹: 이미 기존 Entra ID 그룹을 사용하는 경우 이 단계를 건너뛸 수 있습니다. Azure Portal에서 "Azure services" 아래 "Groups" 메뉴를 선택합니다. "Groups" 페이지에서 "New group" 버튼을 클릭하여 ad-app-support 라는 새 사용자 그룹을 생성합니다. 원하는 사용자를 이 그룹에 추가할 수 있습니다. 단계를 반복하여 ad-app-admin 이라는 다른 사용자 그룹을 생성합니다. Teleport는 5분마다 Entra ID에서 그룹을 가져오고 가져온 각 그룹에 대해 접근 목록을 생성합니다. Teleport는 또한 해당 그룹 구성원을 접근 목록 구성원으로 보존합니다. 2/3단계. Teleport에서 역할 생성 # 먼저 Grafana 접근을 부여하는 역할 템플릿을 생성합니다. Teleport 웹 UI의 사이드 탐색 메뉴에서 "Zero Trust Access > Roles"를 선택합니다. "Roles" UI에서 "Create New Role" 버튼을 클릭합니다. YAML 편집기로 전환합니다. 아래 역할 스펙을 복사하여 역할 편집기에 붙여넣어 새