InfoGrab Docs

Azure Portal 및 CLI 접근

요약

이 가이드에서는 Teleport SAML IdP를 Microsoft Entra External ID와 통합하여 사용자가 Teleport로 인증하여 Azure Portal 및 Azure CLI에 접근하는 방법을 설명합니다.

이 가이드에서는 Teleport SAML IdP를 Microsoft Entra External ID와 통합하여 사용자가 Teleport로 인증하여 Azure Portal 및 Azure CLI에 접근하는 방법을 설명합니다.

작동 방식#

관리자는 Teleport SAML IdP를 Microsoft Entra External ID의 외부 IdP로 설정하고, Azure 접근을 허용할 사용자를 외부 사용자로 설정합니다. 이러한 사용자의 계정이 Teleport SAML IdP에 할당된 도메인과 연결된 한, 이 사용자들은 Teleport로 인증하여 Azure Portal 및 CLI 도구에 접근할 수 있습니다.

인증은 대화형 로그인 프로세스를 기반으로 합니다. Azure의 사용자 감사 이벤트는 Teleport 사용자 계정을 대신하여 태그되어 더 나은 감사 가시성을 제공합니다.

또는 Teleport 애플리케이션 서비스를 배포하여 Azure API 및 CLI 접근을 관리할 수도 있습니다. 이 방식은 자동화된 접근에 적합할 수 있는 관리 ID 기반 접근을 지원합니다. 이 방식의 단점은 Azure Portal 접근을 프로비저닝하는 데 사용할 수 없으며, 감사 로그가 Teleport 사용자 계정과 연결되지 않아 감사 이벤트의 사용자 계정 가시성이 제한된다는 것입니다.

사전 요구사항#

  • v17.5.1 이상의 실행 중인 Teleport Enterprise 클러스터. Teleport를 시작하려면 무료 체험을 위해 가입하십시오.
  • SAML을 처음 사용하신다면 진행하기 전에 SAML ID 공급자(IdP) 레퍼런스를 먼저 확인하시기 바랍니다.
  • SAML 서비스 프로바이더 리소스를 생성할 권한이 있는 Teleport 사용자. 사전 설정된 editor 역할에 이 권한이 있습니다.
  • Microsoft Entra ID 테넌트 및 Azure 구독 접근 권한.
  • ID 공급자 생성, 사용자 생성 및 관리, 역할 할당, 청구 구독 관리 권한이 있는 Microsoft Entra ID 사용자. "Global Administrator" 역할은 이 가이드를 따르는 데 필요한 모든 권한을 부여합니다. 프로덕션에서는 관리 권한 범위를 축소하는 것을 권장합니다.

1/5단계. DNS 업데이트 필요 여부 확인#

Microsoft Entra External ID에서 ID 공급자를 생성할 때, ID 공급자에 도메인 이름을 연결해야 합니다.

예를 들어, 사용자 계정 alice@example.com의 경우, 이 사용자를 Teleport로 인증하려면 도메인 example.com이 Teleport SAML IdP와 연결되어야 합니다.

도메인은 두 곳에서 IdP와 연결할 수 있습니다:

  • Microsoft Entra External ID에 IdP를 추가할 때 도메인 이름을 IdP에 할당합니다.
  • IdP가 생성된 후 도메인 이름을 IdP에 할당합니다.

두 경우 모두, Teleport 클러스터와 사용자 계정이 다른 도메인에 속하는 경우 사용자 계정이 속한 도메인의 DNS TXT 레코드를 업데이트해야 합니다. 아래 표를 참조하십시오.

도메인 사용자 계정 Teleport 클러스터 도메인 연결
example.com alice@example.com https://example.com, https://teleport.example.com DNS 업데이트 없이 도메인 연결 가능.
example.com alice@example.com https://example.teleport.sh 도메인 연결 가능하지만 DNS 업데이트 필요.

두 번째 예시에서 DNS 업데이트가 필요한 경우, DirectFedAuthUrl 값이 Teleport 클러스터 example.teleport.sh의 SAML IdP SSO URL을 가리키도록 example.comTXT 레코드를 업데이트해야 합니다.

example.com.  IN   TXT   DirectFedAuthUrl=https://example.teleport.sh/enterprise/saml-idp/sso

자체 호스팅 Teleport 클러스터의 경우, 위에 표시된 참조 표를 기반으로 DNS 업데이트가 필요한지 확인하십시오.

Teleport Cloud 클러스터의 경우, 도메인의 DNS 레코드를 업데이트해야 합니다. Teleport 클러스터가 항상 example.teleport.sh 도메인에서 호스팅되고 사용자 계정은 teleport.sh 도메인에 속하지 않기 때문입니다.

2/5단계. Teleport를 ID 공급자로 설정#

이 단계에서는 Microsoft Entra External ID에서 Teleport SAML IdP를 ID 공급자로 설정하고, Microsoft Entra External ID를 Teleport의 서비스 프로바이더로 추가합니다. Teleport 웹 UI는 엔드투엔드 SAML 통합을 설정하는 가이드 플로우를 제공합니다.

Teleport 웹 UI에서 Add New > Resource 메뉴를 찾습니다. 리소스 카탈로그 목록에서 Microsoft Entra External ID 타일을 선택합니다.

새 리소스 추가

타일을 클릭하면, 웹 UI가 Microsoft Entra External ID에서 Teleport를 ID 공급자로 추가하는 단계를 안내합니다.

Azure 서비스에서 Microsoft Entra External ID를 찾아 선택할 수 있습니다.

Microsoft Entra External ID에 새 SAML IdP 추가

Teleport를 ID 공급자로 추가할 때, 이 가이드의 1단계에서 설명한 것처럼 도메인 이름을 제공해야 합니다.

Teleport를 Microsoft Entra External ID에서 SAML IdP로 추가한 후, Azure Portal에서 Entra ID Tenant ID를 복사하여 웹 UI에 값을 제공하고 SAML 서비스 프로바이더 설정의 다음 단계로 이동해야 합니다.

SAML 서비스 프로바이더 설정의 두 번째 단계로, 웹 UI가 이미 통합에 필요한 SAML 서비스 프로바이더 엔티티 ID, ACS URL 및 기본 속성 매핑 값을 설정한 것을 알 수 있습니다. 이 값들은 사전 설정된 값과 Entra ID Tenant ID를 기반으로 생성됩니다.

참고로, 자동 설정된 값이 아래에 나열됩니다:

  • 엔티티 ID: https://login.microsoftonline.com/<entra-id-tenant-id>/
  • ACS URL: https://login.microsoftonline.com/login.srf
  • 속성:
    • 이름: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • 값: uid
  • 시작 URL: https://portal.azure.com/<entra-id-tenant-id>. 시작 URL은 Teleport로 성공적으로 인증한 후 사용자가 이동하는 위치입니다.

이 통합을 위한 표시 이름(예: "azure-portal")을 제공하고 Finish 버튼을 클릭하여 서비스 프로바이더를 등록합니다.

3/5단계. 사용자 생성 및 초대#

이 단계에서는 Teleport SAML IdP로 인증하는 외부 사용자를 생성하고 초대합니다.

정보 - 사용자 계정 도메인 이름: 초대되는 사용자는 Teleport SAML IdP와 연결된 일치하는 도메인 이름을 가져야 합니다. 이 가이드의 1단계를 참조하십시오.

Azure 서비스에서 Users 메뉴를 찾아 선택합니다. Users 페이지에서 + New User 버튼을 클릭하고 "Invite external user" 옵션을 선택합니다.

외부 사용자 초대

필요에 따라 이 사용자의 세부 정보를 입력하여 계정을 설정합니다. 이 사용자에 대해 https://myapplications.microsoft.com/을 가리키는 "Invite redirect URL" 필드의 기본값이 설정되어 있는 것을 알 수 있습니다. 이 URL은 Microsoft가 첫 번째 인증 후 사용자를 리디렉션하는 위치입니다. 원하는 경우 이 URL을 업데이트하거나 그대로 유지할 수 있습니다.

기본 사용자 유형 "Guest"가 변경되지 않도록 하십시오. Review + invite 버튼을 클릭하여 이 사용자를 초대합니다.

이 가이드에서는 alice@example.com이라는 사용자를 생성했습니다.

초대된 사용자는 초대를 수락해야 합니다. 초대 이메일에 있는 초대 링크를 클릭하여 수락할 수 있습니다. 수락 과정의 일부로 Microsoft는 사용자에게 IdP와 사용자 세부 정보를 공유하는 데 동의를 확인하도록 요청합니다.

사용자 동의

Teleport를 통한 인증을 활성화하려면 사용자가 동의를 수락해야 합니다.

4/5단계. 사용자에게 Azure 역할 부여#

기본적으로 초대된 사용자에게는 아무런 권한도 부여되지 않습니다. 역할을 부여하는 일반적인 프로세스는 Azure 역할을 사용자 및 그룹과 매핑하는 Azure 리소스 그룹을 생성하는 것입니다.

아래 예제는 사용자 그룹에 대한 역할 할당을 보여줍니다. 사용자 alice@example.com에게 가상 머신을 관리하는 Azure 역할을 부여하려고 한다고 가정합니다.

먼저, Azure Portal에서 Azure 서비스 아래 Groups 메뉴를 선택합니다. 사용자 alice@example.com을 구성원으로 하는 teleport-dev-vm이라는 사용자 그룹을 생성합니다.

Entra ID 사용자 그룹 생성

Azure Portal에서 Resource Groups 메뉴를 선택하고 teleport-dev-vm-pool이라는 새 리소스 그룹을 생성합니다. 이 리소스 그룹에 대해 선택한 구독을 메모해 두십시오. 다음 단계에서 이 구독이 필요합니다.

Entra ID 리소스 그룹 생성

teleport-dev-vm-pool 리소스 그룹을 선택합니다. 그런 다음 Access control (IAM) 메뉴에서 + Add 버튼을 클릭하고 "Add role assignment"를 선택합니다.

Entra ID 리소스 그룹 IAM

역할 할당 UI에서 먼저 "Virtual Machine Contributor" 역할을 선택합니다. 이 역할을 통해 할당된 사용자 또는 그룹이 Azure에서 VM을 관리할 수 있습니다. 다음으로, 구성원으로 teleport-dev-vm 그룹을 선택합니다. 마지막으로, 역할 할당을 생성합니다.

검토 할당 UI는 아래 이미지와 같아야 합니다.

Entra ID 리소스 그룹 역할 할당

Review + assign 버튼을 클릭하여 역할 할당을 완료합니다.

이제 teleport-dev-vm 그룹의 구성원인 사용자가 "Virtual Machine Contributor" 역할이 부여하는 권한으로 teleport-dev-vm-pool 리소스 그룹 아래의 리소스에 접근할 수 있는 역할 및 리소스 할당을 생성했습니다.

5/5단계. Microsoft Entra External ID에 Azure 구독 연결#

Microsoft Entra External ID는 기존 청구 구독과 연결되어야 합니다.

이는 사용자가 연결된 구독에서 사용 가능한 Azure 리소스에 접근하고 청구를 받기 위해 필요합니다.

Microsoft Entra External ID 구독 연결

Azure Portal의 Microsoft Entra External ID 페이지에서 활성 구독을 External ID에 연결합니다. 4단계에서 리소스 그룹을 생성할 때 선택한 것과 동일한 구독을 선택해야 합니다.

구독이 연결되면, 사용자 alice@example.comteleport-dev-vm-pool 리소스 그룹에서 사용 가능한 VM 리소스에 접근할 수 있습니다.

Azure CLI 접근#

사용자는 테넌트 ID를 az login 명령에 제공하여 Teleport로 Azure CLI를 인증할 수 있습니다.

az login --tenant <tenant_id>

명령은 Teleport SAML IdP로 사용자를 인증하기 위해 웹 브라우저 창을 엽니다. 인증이 성공하면, Microsoft Entra ID는 CLI에 대한 자격 증명으로 응답합니다.

사용자 접근 감사 로그#

사용자 접근 로그는 Teleport 웹 UI와 Azure Portal 모두에서 찾을 수 있습니다.

Teleport에서 SAML IdP를 통한 각 사용자 인증은 로그에 기록되며 감사 로그에서 이벤트를 찾을 수 있습니다.

{
  "cluster_name": "example.teleport.sh",
  "code": "TSI000I",
  "ei": 0,
  "event": "saml.idp.auth",
  "service_provider_entity_id": "https://login.microsoftonline.com/<tenant_id>/",
  "sid": "",
  "success": true,
  "time": "2025-04-15T14:43:40.057Z",
  "uid": "d6fa48a4-8bfd-420c-992c-24bba11fb30a",
  "user": "alice@example.com"
}

동일한 로그인 이벤트는 Azure Portal의 User > Sign-in logs 페이지에서도 찾을 수 있습니다.

FAQ#

외부 사용자 초대를 자동화하려면 어떻게 해야 합니까?#

Microsoft Graph API를 사용하여 사용자를 일괄 초대할 수 있습니다.

여러 도메인 이름을 어떻게 연결할 수 있습니까?#

각 도메인 이름의 DNS가 업데이트되어 Microsoft Entra ID가 각 도메인이 Teleport SAML IdP와 연결되어 있음을 인식하는 한, 여러 도메인을 페더레이션할 수 있습니다.

먼저, 선택한 ID 공급자의 도메인 설정 메뉴를 엽니다. Entra ID IdP 도메인 업데이트

그런 다음 새 도메인 이름을 추가합니다. Entra ID IdP에 새 도메인 연결

여기서도 DNS 업데이트 규칙이 적용된다는 점에 유의하십시오.

문제 해결#

ID 공급자 설정 관련 문제#

일반적인 설정은 공식 Microsoft Entra External ID SAML 페더레이션 문서를 참조하십시오.

사용자 초대 및 사용자 유형 변환 관련 문제#

사용자 초대 또는 내부에서 외부 사용자 유형 변환 관련 문제는 Microsoft Entra B2B 협업 문제 해결 문서를 참조하십시오.

Azure Portal 및 CLI 접근

원문 보기
요약

이 가이드에서는 Teleport SAML IdP를 Microsoft Entra External ID와 통합하여 사용자가 Teleport로 인증하여 Azure Portal 및 Azure CLI에 접근하는 방법을 설명합니다.

이 가이드에서는 Teleport SAML IdP를 Microsoft Entra External ID와 통합하여 사용자가 Teleport로 인증하여 Azure Portal 및 Azure CLI에 접근하는 방법을 설명합니다.

작동 방식#

관리자는 Teleport SAML IdP를 Microsoft Entra External ID의 외부 IdP로 설정하고, Azure 접근을 허용할 사용자를 외부 사용자로 설정합니다. 이러한 사용자의 계정이 Teleport SAML IdP에 할당된 도메인과 연결된 한, 이 사용자들은 Teleport로 인증하여 Azure Portal 및 CLI 도구에 접근할 수 있습니다.

인증은 대화형 로그인 프로세스를 기반으로 합니다. Azure의 사용자 감사 이벤트는 Teleport 사용자 계정을 대신하여 태그되어 더 나은 감사 가시성을 제공합니다.

또는 Teleport 애플리케이션 서비스를 배포하여 Azure API 및 CLI 접근을 관리할 수도 있습니다. 이 방식은 자동화된 접근에 적합할 수 있는 관리 ID 기반 접근을 지원합니다. 이 방식의 단점은 Azure Portal 접근을 프로비저닝하는 데 사용할 수 없으며, 감사 로그가 Teleport 사용자 계정과 연결되지 않아 감사 이벤트의 사용자 계정 가시성이 제한된다는 것입니다.

사전 요구사항#

  • v17.5.1 이상의 실행 중인 Teleport Enterprise 클러스터. Teleport를 시작하려면 무료 체험을 위해 가입하십시오.
  • SAML을 처음 사용하신다면 진행하기 전에 SAML ID 공급자(IdP) 레퍼런스를 먼저 확인하시기 바랍니다.
  • SAML 서비스 프로바이더 리소스를 생성할 권한이 있는 Teleport 사용자. 사전 설정된 editor 역할에 이 권한이 있습니다.
  • Microsoft Entra ID 테넌트 및 Azure 구독 접근 권한.
  • ID 공급자 생성, 사용자 생성 및 관리, 역할 할당, 청구 구독 관리 권한이 있는 Microsoft Entra ID 사용자. "Global Administrator" 역할은 이 가이드를 따르는 데 필요한 모든 권한을 부여합니다. 프로덕션에서는 관리 권한 범위를 축소하는 것을 권장합니다.

1/5단계. DNS 업데이트 필요 여부 확인#

Microsoft Entra External ID에서 ID 공급자를 생성할 때, ID 공급자에 도메인 이름을 연결해야 합니다.

예를 들어, 사용자 계정 alice@example.com의 경우, 이 사용자를 Teleport로 인증하려면 도메인 example.com이 Teleport SAML IdP와 연결되어야 합니다.

도메인은 두 곳에서 IdP와 연결할 수 있습니다:

  • Microsoft Entra External ID에 IdP를 추가할 때 도메인 이름을 IdP에 할당합니다.
  • IdP가 생성된 후 도메인 이름을 IdP에 할당합니다.

두 경우 모두, Teleport 클러스터와 사용자 계정이 다른 도메인에 속하는 경우 사용자 계정이 속한 도메인의 DNS TXT 레코드를 업데이트해야 합니다. 아래 표를 참조하십시오.

도메인 사용자 계정 Teleport 클러스터 도메인 연결
example.com alice@example.com https://example.com, https://teleport.example.com DNS 업데이트 없이 도메인 연결 가능.
example.com alice@example.com https://example.teleport.sh 도메인 연결 가능하지만 DNS 업데이트 필요.

두 번째 예시에서 DNS 업데이트가 필요한 경우, DirectFedAuthUrl 값이 Teleport 클러스터 example.teleport.sh의 SAML IdP SSO URL을 가리키도록 example.comTXT 레코드를 업데이트해야 합니다.

example.com.  IN   TXT   DirectFedAuthUrl=https://example.teleport.sh/enterprise/saml-idp/sso

자체 호스팅 Teleport 클러스터의 경우, 위에 표시된 참조 표를 기반으로 DNS 업데이트가 필요한지 확인하십시오.

Teleport Cloud 클러스터의 경우, 도메인의 DNS 레코드를 업데이트해야 합니다. Teleport 클러스터가 항상 example.teleport.sh 도메인에서 호스팅되고 사용자 계정은 teleport.sh 도메인에 속하지 않기 때문입니다.

2/5단계. Teleport를 ID 공급자로 설정#

이 단계에서는 Microsoft Entra External ID에서 Teleport SAML IdP를 ID 공급자로 설정하고, Microsoft Entra External ID를 Teleport의 서비스 프로바이더로 추가합니다. Teleport 웹 UI는 엔드투엔드 SAML 통합을 설정하는 가이드 플로우를 제공합니다.

Teleport 웹 UI에서 Add New > Resource 메뉴를 찾습니다. 리소스 카탈로그 목록에서 Microsoft Entra External ID 타일을 선택합니다.

새 리소스 추가

타일을 클릭하면, 웹 UI가 Microsoft Entra External ID에서 Teleport를 ID 공급자로 추가하는 단계를 안내합니다.

Azure 서비스에서 Microsoft Entra External ID를 찾아 선택할 수 있습니다.

Microsoft Entra External ID에 새 SAML IdP 추가

Teleport를 ID 공급자로 추가할 때, 이 가이드의 1단계에서 설명한 것처럼 도메인 이름을 제공해야 합니다.

Teleport를 Microsoft Entra External ID에서 SAML IdP로 추가한 후, Azure Portal에서 Entra ID Tenant ID를 복사하여 웹 UI에 값을 제공하고 SAML 서비스 프로바이더 설정의 다음 단계로 이동해야 합니다.

SAML 서비스 프로바이더 설정의 두 번째 단계로, 웹 UI가 이미 통합에 필요한 SAML 서비스 프로바이더 엔티티 ID, ACS URL 및 기본 속성 매핑 값을 설정한 것을 알 수 있습니다. 이 값들은 사전 설정된 값과 Entra ID Tenant ID를 기반으로 생성됩니다.

참고로, 자동 설정된 값이 아래에 나열됩니다:

  • 엔티티 ID: https://login.microsoftonline.com/<entra-id-tenant-id>/
  • ACS URL: https://login.microsoftonline.com/login.srf
  • 속성:
    • 이름: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • 값: uid
  • 시작 URL: https://portal.azure.com/<entra-id-tenant-id>. 시작 URL은 Teleport로 성공적으로 인증한 후 사용자가 이동하는 위치입니다.

이 통합을 위한 표시 이름(예: "azure-portal")을 제공하고 Finish 버튼을 클릭하여 서비스 프로바이더를 등록합니다.

3/5단계. 사용자 생성 및 초대#

이 단계에서는 Teleport SAML IdP로 인증하는 외부 사용자를 생성하고 초대합니다.

정보 - 사용자 계정 도메인 이름: 초대되는 사용자는 Teleport SAML IdP와 연결된 일치하는 도메인 이름을 가져야 합니다. 이 가이드의 1단계를 참조하십시오.

Azure 서비스에서 Users 메뉴를 찾아 선택합니다. Users 페이지에서 + New User 버튼을 클릭하고 "Invite external user" 옵션을 선택합니다.

외부 사용자 초대

필요에 따라 이 사용자의 세부 정보를 입력하여 계정을 설정합니다. 이 사용자에 대해 https://myapplications.microsoft.com/을 가리키는 "Invite redirect URL" 필드의 기본값이 설정되어 있는 것을 알 수 있습니다. 이 URL은 Microsoft가 첫 번째 인증 후 사용자를 리디렉션하는 위치입니다. 원하는 경우 이 URL을 업데이트하거나 그대로 유지할 수 있습니다.

기본 사용자 유형 "Guest"가 변경되지 않도록 하십시오. Review + invite 버튼을 클릭하여 이 사용자를 초대합니다.

이 가이드에서는 alice@example.com이라는 사용자를 생성했습니다.

초대된 사용자는 초대를 수락해야 합니다. 초대 이메일에 있는 초대 링크를 클릭하여 수락할 수 있습니다. 수락 과정의 일부로 Microsoft는 사용자에게 IdP와 사용자 세부 정보를 공유하는 데 동의를 확인하도록 요청합니다.

사용자 동의

Teleport를 통한 인증을 활성화하려면 사용자가 동의를 수락해야 합니다.

4/5단계. 사용자에게 Azure 역할 부여#

기본적으로 초대된 사용자에게는 아무런 권한도 부여되지 않습니다. 역할을 부여하는 일반적인 프로세스는 Azure 역할을 사용자 및 그룹과 매핑하는 Azure 리소스 그룹을 생성하는 것입니다.

아래 예제는 사용자 그룹에 대한 역할 할당을 보여줍니다. 사용자 alice@example.com에게 가상 머신을 관리하는 Azure 역할을 부여하려고 한다고 가정합니다.

먼저, Azure Portal에서 Azure 서비스 아래 Groups 메뉴를 선택합니다. 사용자 alice@example.com을 구성원으로 하는 teleport-dev-vm이라는 사용자 그룹을 생성합니다.

Entra ID 사용자 그룹 생성

Azure Portal에서 Resource Groups 메뉴를 선택하고 teleport-dev-vm-pool이라는 새 리소스 그룹을 생성합니다. 이 리소스 그룹에 대해 선택한 구독을 메모해 두십시오. 다음 단계에서 이 구독이 필요합니다.

Entra ID 리소스 그룹 생성

teleport-dev-vm-pool 리소스 그룹을 선택합니다. 그런 다음 Access control (IAM) 메뉴에서 + Add 버튼을 클릭하고 "Add role assignment"를 선택합니다.

Entra ID 리소스 그룹 IAM

역할 할당 UI에서 먼저 "Virtual Machine Contributor" 역할을 선택합니다. 이 역할을 통해 할당된 사용자 또는 그룹이 Azure에서 VM을 관리할 수 있습니다. 다음으로, 구성원으로 teleport-dev-vm 그룹을 선택합니다. 마지막으로, 역할 할당을 생성합니다.

검토 할당 UI는 아래 이미지와 같아야 합니다.

Entra ID 리소스 그룹 역할 할당

Review + assign 버튼을 클릭하여 역할 할당을 완료합니다.

이제 teleport-dev-vm 그룹의 구성원인 사용자가 "Virtual Machine Contributor" 역할이 부여하는 권한으로 teleport-dev-vm-pool 리소스 그룹 아래의 리소스에 접근할 수 있는 역할 및 리소스 할당을 생성했습니다.

5/5단계. Microsoft Entra External ID에 Azure 구독 연결#

Microsoft Entra External ID는 기존 청구 구독과 연결되어야 합니다.

이는 사용자가 연결된 구독에서 사용 가능한 Azure 리소스에 접근하고 청구를 받기 위해 필요합니다.

Microsoft Entra External ID 구독 연결

Azure Portal의 Microsoft Entra External ID 페이지에서 활성 구독을 External ID에 연결합니다. 4단계에서 리소스 그룹을 생성할 때 선택한 것과 동일한 구독을 선택해야 합니다.

구독이 연결되면, 사용자 alice@example.comteleport-dev-vm-pool 리소스 그룹에서 사용 가능한 VM 리소스에 접근할 수 있습니다.

Azure CLI 접근#

사용자는 테넌트 ID를 az login 명령에 제공하여 Teleport로 Azure CLI를 인증할 수 있습니다.

az login --tenant <tenant_id>

명령은 Teleport SAML IdP로 사용자를 인증하기 위해 웹 브라우저 창을 엽니다. 인증이 성공하면, Microsoft Entra ID는 CLI에 대한 자격 증명으로 응답합니다.

사용자 접근 감사 로그#

사용자 접근 로그는 Teleport 웹 UI와 Azure Portal 모두에서 찾을 수 있습니다.

Teleport에서 SAML IdP를 통한 각 사용자 인증은 로그에 기록되며 감사 로그에서 이벤트를 찾을 수 있습니다.

{
  "cluster_name": "example.teleport.sh",
  "code": "TSI000I",
  "ei": 0,
  "event": "saml.idp.auth",
  "service_provider_entity_id": "https://login.microsoftonline.com/<tenant_id>/",
  "sid": "",
  "success": true,
  "time": "2025-04-15T14:43:40.057Z",
  "uid": "d6fa48a4-8bfd-420c-992c-24bba11fb30a",
  "user": "alice@example.com"
}

동일한 로그인 이벤트는 Azure Portal의 User > Sign-in logs 페이지에서도 찾을 수 있습니다.

FAQ#

외부 사용자 초대를 자동화하려면 어떻게 해야 합니까?#

Microsoft Graph API를 사용하여 사용자를 일괄 초대할 수 있습니다.

여러 도메인 이름을 어떻게 연결할 수 있습니까?#

각 도메인 이름의 DNS가 업데이트되어 Microsoft Entra ID가 각 도메인이 Teleport SAML IdP와 연결되어 있음을 인식하는 한, 여러 도메인을 페더레이션할 수 있습니다.

먼저, 선택한 ID 공급자의 도메인 설정 메뉴를 엽니다. Entra ID IdP 도메인 업데이트

그런 다음 새 도메인 이름을 추가합니다. Entra ID IdP에 새 도메인 연결

여기서도 DNS 업데이트 규칙이 적용된다는 점에 유의하십시오.

문제 해결#

ID 공급자 설정 관련 문제#

일반적인 설정은 공식 Microsoft Entra External ID SAML 페더레이션 문서를 참조하십시오.

사용자 초대 및 사용자 유형 변환 관련 문제#

사용자 초대 또는 내부에서 외부 사용자 유형 변환 관련 문제는 Microsoft Entra B2B 협업 문제 해결 문서를 참조하십시오.