Keycloak을 사용한 Teleport 인증

Keycloak을 사용하여 Teleport 접근을 구성하는 방법

작동 방식

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1/3단계. Keycloak 구성

SAML 클라이언트 만들기

SAML 어설션 매핑 구성

2/3단계. Keycloak을 Teleport에 연결

역할 매핑 할당

SAML 커넥터 구성

커넥터 테스트

3/3단계. 인증 기본 설정 구성

Snippet from /etc/teleport.yaml

클라이언트 인증서 서명 검증(권장)

서명을 위한 개인 키 만들기

클라이언트 서명 검증 활성화

다음 단계

문제 해결

Using the Web UI

Teleport does not show the expected Nodes

Single sign-on fails with OIDC

서명 검증 비호환성

이 가이드는 SAML 인증 커넥터로 특정 사용자 그룹에게 자격 증명을 발급하도록 Keycloak을 구성하는 방법을 설명합니다. 역할 기반 접근 제어(RBAC)와 함께 사용하면 Teleport 관리자가 다음과 같은 정책을 정의할 수 있습니다: "DBA" 그룹의 구성원만 PostgreSQL 데이터베이스에 연결할 수 있습니다. 개발자는 프로덕션 서버에 절대 SSH 접근을 하면 안 됩니다. 다음 단계는 Keycloak 그룹과 일치하는 예제 SAML 인증 커넥터를 구성합니다. 다른 옵션을 구성하도록 선택할 수 있습니다. 작동 방식 # You can register your Teleport cluster as an application with Keycloak, then create an authentication connector resource that provides Teleport with information about your application. When a user signs in to Teleport, Keycloak executes its own authentication flow, then sends an HTTP request to your Teleport cluster to indicate that authentication has completed. Teleport authenticates users to your infrastructure by issuing short-lived certificates. After a user completes an SSO authentication flow, Teleport issues short-lived TLS and SSH certificates to the user. Teleport also creates a temporary user on the Auth Service backend. Teleport roles are encoded in the user's certificates. To assign Teleport roles to the user, the Auth Service inspects the role mapping within the authentication connector, which associates user data on Keycloak with the names of one or more Teleport roles. 사전 요구 사항 # 시작하기 전에 다음이 필요합니다: realm과 관리 작업을 수행하기 위해 Keycloak Admin Console에 대한 관리자 계정. 마스터 realm이 아닌 다른 realm에 있어야 합니다. realm 디렉토리에 하나 이상의 사용자가 등록되어 있어야 합니다. realm 디렉토리에 최소 두 그룹을 만들고 각 그룹에 하나 이상의 사용자를 할당해야 합니다. saml 리소스를 유지 관리할 수 있는 접근 권한이 있는 Teleport 역할. 기본 editor 역할에서 사용 가능합니다. A running Teleport Enterp