GitLab을 SSO 프로바이더로 사용한 인증

SSO에 GitLab을 사용하여 Teleport 접근을 구성하는 방법

작동 방식

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1/3단계. GitLab 구성

2/3단계. GitLab을 Teleport에 연결

역할 매핑 할당

OIDC 커넥터 구성

--bind-addr sets the host and port tsh will listen on, and --callback changes

what link is displayed to the user

커넥터 테스트

커넥터 만들기

3/3단계. 인증 기본 설정 구성

Snippet from /etc/teleport.yaml

다음 단계

문제 해결

Using the Web UI

Teleport does not show the expected Nodes

Single sign-on fails with OIDC

이 가이드는 특정 사용자 그룹에게 자격 증명을 발급하도록 GitLab 을 구성하는 방법을 다룹니다. 역할 기반 접근 제어(RBAC)와 함께 사용하면 관리자가 다음과 같은 정책을 정의할 수 있습니다: "DBA" 그룹의 구성원만 PostgreSQL 데이터베이스에 접근할 수 있습니다. "ProductionKubernetes"의 구성원만 프로덕션 Kubernetes 클러스터에 접근할 수 있습니다. 개발자는 프로덕션 서버에 절대 SSH 접근을 하면 안 됩니다. 작동 방식 # You can register your Teleport cluster as an application with GitLab, then create an authentication connector resource that provides Teleport with information about your application. When a user signs in to Teleport, GitLab executes its own authentication flow, then sends an HTTP request to your Teleport cluster to indicate that authentication has completed. Teleport authenticates users to your infrastructure by issuing short-lived certificates. After a user completes an SSO authentication flow, Teleport issues short-lived TLS and SSH certificates to the user. Teleport also creates a temporary user on the Auth Service backend. Teleport roles are encoded in the user's certificates. To assign Teleport roles to the user, the Auth Service inspects the role mapping within the authentication connector, which associates user data on GitLab with the names of one or more Teleport roles. 사전 요구 사항 # 사용자가 할당된 최소 두 개의 GitLab 그룹. 아래 예제에서는 두 개의 서브그룹 admin 과 dev 가 있는 company 라는 그룹을 가정합니다. oidc 리소스를 유지 관리할 수 있는 접근 권한이 있는 Teleport 역할. 기본 editor 역할에서 사용 가능합니다. A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl