여러 아이덴티티 프로바이더와 작업하기

Teleport와 여러 아이덴티티 프로바이더를 통합하는 방법에 대한 안내를 제공합니다.

Teleport에서는 여러 인증 커넥터를 생성하고 관리할 수 있으므로, 조직이 여러 아이덴티티 프로바이더를 사용하는 경우에도 인프라에서 인증 및 접근 제어를 중앙화할 수 있습니다. 이 가이드는 Teleport에서 여러 아이덴티티 프로바이더로 작업하는 방법을 설명합니다. 인증 커넥터 리소스 관리 # 아이덴티티 프로바이더와 Teleport 간의 통합을 구성하는 인증 커넥터는 동적 리소스입니다. 즉, 다른 동적 리소스와 마찬가지로 tctl 및 기타 Teleport Auth Service 클라이언트로 관리할 수 있습니다. 구성된 모든 커넥터를 확인하려면 다음 명령을 실행하세요: $ tctl get connectors 커넥터를 삭제하거나 업데이트하려면 리소스 참조 에 설명된 일반적인 tctl rm 및 tctl create 명령을 사용하세요. 커넥터 지정 # 여러 인증 커넥터가 있는 경우 클라이언트는 --auth 인수를 통해 tsh login 에 커넥터 이름을 제공해야 합니다: # "okta" SAML 커넥터 사용: $ tsh --proxy=proxy.example.com login --auth=okta # 로컬 Teleport 사용자 DB 사용: $ tsh --proxy=proxy.example.com login --auth=local --user=admin Teleport의 영구적인 백엔드 데이터는 사용자 계정을 인증에 사용한 SSO 프로바이더와 연결하지 않습니다. 즉, 하나의 SSO 프로바이더를 사용할 수 없게 되면 최종 사용자는 Teleport에 로그인할 때 다른 SSO 프로바이더를 선택하기만 하면 됩니다. 사용자가 첫 번째 SSO 프로바이더의 계정에서 잠길 수 있지만 두 번째 프로바이더를 통해 로그인하면 Teleport가 새 인증서를 발급하고 인프라에 대한 접근을 허용하기에 충분합니다. 로컬로 Auth Service에 등록된 사용자(즉, tctl users add 를 통해 생성된 사용자)에게 이미 SSO 사용자의 사용자 이름이 속해 있는 경우 SSO 로그인이 실패합니다. 식별자 우선 로그인 # 식별자 우선 로그인은 여러 인증 커넥터가 있는 클러스터에서 로그인 경험을 간소화하는 기능입니다. 식별자 우선 로그인이 활성화되면 초기 로그인 화면에서 사용자에게 사용자 이름만 묻습니다. Teleport는 지정된 사용자와 관련된 인증 커넥터만 표시합니다. 구성 # 하나 이상의 SAML, OIDC 또는 GitHub 인증 커넥터에서 사용자 이름에 대한 하나 이상의 사용자 매처 세트를 취하는 spec.user_matchers 필드를 구성하여 클러스터에서 식별자 우선 로그인을 활성화할 수 있습니다. 사용자 매처는 특정 사용자 이름을 매칭하거나 와일드카드 문자( * )를 사용하는 글로브 패턴이 될 수 있는 문자열 매처입니다. 인증 커넥터는 하나 이상의 user_matchers 가 사용자 이름과 일치하는 경우 사용자에게 매핑됩니다. kind: saml version: v2 metadata: name: okta spec: user_matchers: [ 'joe'