Microsoft Entra ID(OIDC)를 사용한 Teleport 인증

OIDC 아이덴티티 프로바이더로 Microsoft Entra ID(구 Azure AD)를 사용하여 Teleport 접근을 구성하는 방법.

이 가이드는 Teleport를 위한 OIDC 아이덴티티 프로바이더로 Microsoft Entra ID(구 Azure AD)를 구성하는 방법을 보여줍니다. 이 구성으로 사용자는 Entra ID로 인증하여 Teleport에 접근할 수 있으며, Entra ID의 그룹 멤버십에 따라 Teleport에서 리소스에 접근하거나 관리할 수 있는 권한이 부여됩니다. SAML 기반 Entra ID IdP 구성 버전은 이 가이드 에서 확인할 수 있습니다. 작동 방식 # Microsoft Entra ID 테넌트에서 엔터프라이즈 애플리케이션을 만들고 Teleport를 위한 OIDC 아이덴티티 프로바이더로 설정합니다. 사용자의 OIDC ID 토큰에 포함될 groups 클레임도 구성합니다. Teleport에서 인증 커넥터 리소스를 만들고 Microsoft Entra ID를 OIDC 아이덴티티 프로바이더로 설정합니다. Entra ID 그룹을 Teleport 역할에도 매핑합니다. 사용자가 Microsoft Entra ID 계정으로 인증하여 Teleport에 로그인하면 Teleport는 먼저 groups 클레임에서 매핑된 Teleport 역할과 속성으로 임시 사용자 계정을 만듭니다. 속성은 사용자 속성(키-값 형식)입니다. OIDC ID 토큰에 있는 모든 클레임은 사용자 속성으로 보존됩니다. Teleport는 그런 다음 사용자 아이덴티티, 역할 및 속성을 인코딩하는 단기 TLS 및 SSH 인증서 쌍을 발급하여 새 세션을 시작합니다. 이러한 인증서는 Teleport에서 접근 권한을 부여하기 위해 평가됩니다. Microsoft Entra ID 그룹과 Teleport 역할 매핑을 시연하기 위해 Microsoft Entra ID 테넌트에 두 사용자 그룹을 만들겠습니다: ad-app-support . 이 그룹을 Teleport 사전 설정 requester 역할에 매핑합니다. 사전 설정 requester 역할은 Teleport에 등록된 리소스에 대한 접근을 요청할 수 있는 권한을 부여합니다. ad-app-admin . 이 그룹을 Teleport 사전 설정 reviewer 와 editor 역할에 매핑합니다. 사전 설정 editor 역할은 Teleport에서 리소스를 관리할 수 있는 권한을 부여합니다. 사전 설정 reviewer 는 Teleport에서 리소스에 대한 접근을 검토할 수 있는 권한을 부여합니다. 새 그룹을 만드는 대신 이 가이드를 따르기 위해 기존 Microsoft Entra ID 그룹을 사용할 수 있습니다. 사전 요구 사항 # Microsoft Entra ID 테넌트에서 엔터프라이즈 애플리케이션을 만들고, Microsoft Graph API 권한을 구성 및 부여하고, 그룹을 관리할 수 있는 권한. 인증 커넥터, 사용자 및 역할을 읽고 쓸 수 있는 사전 설정 editor 역할 또는 동등한 역할이 있는 Teleport 사용자. To check that you can connect to your Teleport cluster, sign in with tsh login , t