Okta 앱 및 그룹 동기화

Okta 구성을 Teleport RBAC 시스템으로 가져오는 Okta 앱 및 그룹 동기화 통합을 활성화하는 방법을 설명합니다.

Okta는 Teleport에 직접 매핑되지 않는 자체 권한 시스템을 가지고 있습니다. 여기에는 Okta 그룹이 부여한 권한과 Okta 내 개별 애플리케이션에 대한 사용자 할당이 포함됩니다. Teleport에서 이를 모델링하려면 관리자가 일반적으로 다양한 Okta 앱과 그룹에 첨부할 레이블링 시스템과 그에 맞는 역할 세트를 신중하게 설계해야 합니다. Okta 통합의 Teleport 접근 목록 기능으로 Okta 앱과 그룹을 동기화하면 이 작업이 자동으로 수행됩니다. 이 가이드는 Okta 앱 및 동기화를 설정하는 방법을 설명합니다. 작동 방식 # Teleport에서 Okta 접근 목록 동기화기는 구성원이 있는 Okta 그룹 또는 Okta 통합 등록 시 선택적으로 제공할 수 있는 필터와 일치하는 개별 할당이 있는 Okta 애플리케이션을 찾습니다. 동기화기는 일치하는 각 Okta 그룹 또는 애플리케이션에 대해 다음 리소스를 생성합니다: 그룹/애플리케이션에 대한 접근을 부여하는 구성원용 역할. 그룹/애플리케이션에 대한 접근 검토 권한을 부여하는 소유자용 역할. 그룹/애플리케이션 구성원을 나타내는 접근 목록. 접근 목록의 구성원. 동기화된 모든 Okta 사용자에게는 동기화된 리소스에 대한 접근을 요청할 수 있는 내장 okta-requester 역할이 할당됩니다. 이 역할 할당은 tctl 로 통합을 생성할 때 --no-assign-default-roles 플래그를 사용하거나 tctl edit plugins/okta 에서 okta.sync_settings.disable_assign_default_roles: true 를 설정하여 비활성화할 수 있습니다. 커넥터가 수동으로 생성되지 않은 경우, 이 역할은 Auth 커넥터 역할 매핑에서도 기본적으로 할당되므로 변경 사항이 적용되려면 해당 부분도 업데이트해야 합니다. 접근 목록 동기화는 Okta 그룹 및 Okta 애플리케이션이 Teleport 리소스로 동기화를 완료할 때까지 기다리므로 시작 시 즉시 동기화가 시작되지 않을 수 있습니다. 할당이 있는 Okta 사용자 그룹만 Teleport 접근 목록으로 가져옵니다. Okta 사용자 그룹에 할당이 없으면 할당이 생길 때까지 가져오지 않습니다. 접근 목록에서 마지막 사용자가 제거되면 다음 동기화 시 Teleport에서 접근 목록이 제거됩니다. 사전 요구사항 # A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version.