AWS IAM Identity Center를 Okta에서 Teleport로 마이그레이션
이 가이드는 기존 Okta 관리 AWS IAM Identity Center 설정에 Teleport를 도입하는 방법을 설명합니다. 기존 Okta 관리 AWS IAM Identity Center 인스턴스에 Teleport를 도입하는 두 가지 방법이 있습니다:
이 가이드는 기존 Okta 관리 AWS IAM Identity Center 설정에 Teleport를 도입하는 방법을 설명합니다. 특히 두 가지 시나리오를 설명합니다: Teleport가 Okta와 함께 Identity Center 관리 리소스를 공유하는 경우와, Teleport가 Identity Center SSO 공급자 및 사용자 프로비저너로 Okta를 대체하는 경우입니다.
작동 방식#
기존 Okta 관리 AWS IAM Identity Center 인스턴스에 Teleport를 도입하는 두 가지 방법이 있습니다:
- 부분 이관 (_하이브리드 모드_라고도 함): Okta를 AWS IAM Identity Center 인스턴스의 사용자 프로비저너 및 SSO 공급자로 유지하되, 계정 할당 및 (일부) Identity Center 그룹 프로비저닝을 Teleport에 위임하거나,
- 전체 이관: 사용자 프로비저닝, 그룹 프로비저닝, 계정 할당 프로비저닝 및 SAML SSO를 포함하여 AWS IAM Identity Center의 제어를 Okta에서 Teleport로 완전히 이전합니다.
간소화를 위해 전체 이관을 권장합니다.
두 경우 모두, Teleport는 부분 이관 모드에서도 Identity Center 그룹을 프로비저닝하고 그룹 구성원을 관리하기 위해 SCIM을 사용하므로 AWS IAM Identity Center SCIM 베어러 토큰을 Teleport와 공유해야 합니다.
사전 요구사항#
-
A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
-
The
tctlandtshclients.Installing `tctl` and `tsh` clients
-
Determine the version of your Teleport cluster. The
tctlandtshclients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at/v1/webapi/findand use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:$ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" -
Follow the instructions for your platform to install
tctlandtshclients:
-
- 통합이 사용하도록 AWS IAM Identity Center 가이드에 따라 설정된 AWS 역할.
- Teleport Auth 서비스가 선택하고 사용할 AWS 자격 증명(예: 환경 변수, 시스템 프로필 등).
- 다음 권한이 있는 Okta API 토큰:
- 사용자 및 세부 정보 보기.
- 그룹 및 세부 정보 보기.
- 애플리케이션 및 세부 정보 보기.
- AWS IAM Identity Center ARN, AWS 리전, SCIM 기본 주소 및 SCIM 베어러 토큰.
To check that you can connect to your Teleport cluster, sign in with tsh login, then
verify that you can run tctl commands using your current credentials.
For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:
$ tsh login --proxy= --user=
$ tctl status
# Cluster (=teleport.url=)
# Version (=teleport.version=)
# CA pin (=presets.ca_pin=)
If you can connect to the cluster and run the tctl status command, you can use your
current credentials to run subsequent tctl commands from your workstation.
If you host your own Teleport cluster, you can also run tctl commands on the computer that
hosts the Teleport Auth Service for full permissions.
부분 이관 (하이브리드 설정)#
먼저 부분 이관 설정에서 Teleport, Okta 및 Identity Center를 설정하는 방법부터 시작합니다:
- Okta와 Teleport를 통합하여 Identity Center에 프로비저닝된 모든 Okta 사용자가 Teleport에도 프로비저닝되도록 합니다.
- Identity Center의 그룹 및 계정 할당을 관리하도록 Teleport를 설정합니다.
- Identity Center 그룹 가져오기 규칙을 설정하여 Okta가 관리하는 Identity Center 그룹이 Teleport에 의해 재정의되지 않도록 합니다.
이 초기 설정이 완료되면 부분 이관 모드에서 무기한 실행하거나 부분 이관 설정을 전체 이관 통합으로의 발판으로 사용할 수 있습니다.
부분 이관 설정의 특성상 외부 IdP(이 경우 Okta)가 Teleport가 인식하지 못한 채 Teleport에 의해 비활성화된 AWS 사용자를 재활성화하는 것이 쉽습니다.
혼란을 방지하기 위해, 부분 이관 설정에서 Teleport는 필요에 따라 사용자 비활성화 및 재활성화를 포함하여 모든 사용자 관련 프로비저닝이 외부 IdP에 의해 관리된다고 가정합니다. Teleport는 Teleport 사용자 잠금을 Identity Center 사용자에게 전파하거나 Teleport 잠금에 대한 응답으로 Identity Center 사용자의 계정 할당 또는 그룹 구성원을 제거하지 않습니다.
비활성화된 사용자가 AWS 리소스에 접근하는 것을 방지하려면 외부 IdP SSO 공급자를 통해 AWS에 로그인하는 것을 금지해야 합니다.
Teleport에 이미 Okta 통합이 설정되어 있고, AWS IAM Identity Center에 존재하는 사용자 및 그룹이 이미 Teleport에 동기화되어 있으며, Teleport가 AWS IAM Identity Center를 완전히 제어하길 원한다면, 마이그레이션 없이 즉시 Teleport로 전환할 수 있습니다.
AWS IAM Identity Center 통합 시작하기를 참조하십시오.
시작 지점#
이것이 우리의 시작 설정입니다: Identity Center의 유일한 ID 소스로 Okta.
목적지#
이 시점에서 Okta는 사용자 프로비저닝과 SSO를 제어하는 반면, Teleport는 Identity Center 그룹 및 계정 할당을 제어합니다.
구체적으로:
- Okta는 Identity Center에 SSO 로그인을 제공합니다.
- Okta는 Identity Center 그룹 구성원의 일부를 관리합니다(Okta에서 Push Groups를 통해 선택됨).
- Okta는 SCIM을 통해 사용자 프로비저닝을 제어합니다.
- Teleport는 Identity Center 그룹의 두 번째 하위 집합을 관리합니다(플러그인 설치 중 그룹 필터를 통해 선택됨).
- Teleport는 자신의 제어 하에 있는 Identity Center 그룹의 Identity Center 그룹 계정 할당을 제어합니다.
- Teleport는 자신의 제어 하에 있는 Identity Center 사용자의 직접 Identity Center 사용자 계정 할당을 제어합니다.
1/6단계. Okta SAML 커넥터 설치#
Teleport Okta를 SSO 공급자로 사용 가이드에 따라 Okta SAML 커넥터를 Teleport에 설치합니다.
통합이 제대로 작동하려면, AWS IAM Identity Center와 Teleport 모두 동일한 사용자 집합을 보아야 합니다. 이는 Identity Center와 Teleport SAML 커넥터 모두에 대해 동일한 Okta SAML 애플리케이션을 사용하여 달성할 수 있습니다.
이것이 불가능한 경우, 가장 유연한 접근 방식은 Identity Center 접근 권한이 있는 사용자를 위한 Okta 그룹을 갖고, Identity Center 앱과 Teleport SAML 커넥터에 사용되는 Okta SAML 앱 모두를 해당 그룹에 할당하는 것입니다. 이렇게 하면 두 애플리케이션에서 동일한 사용자 집합이 보이게 됩니다.
다음 단계에서는 Teleport SAML 커넥터 이름과 Okta SAML 앱 ID가 필요합니다.
2/6단계. Teleport Okta 통합 설치#
이 배포에서는 Teleport Okta 통합의 매우 제한된 하위 집합을 사용하며, 주기적인 사용자 동기화를 제외한 모든 기능을 비활성화합니다. 이 설정은 현재 일반 설치 UI에서 지원되지 않으므로 tctl을 사용하여 설치해야 합니다:
$ tctl plugins install okta \
--org ${OKTA_ORG_URL} \
--saml-connector ${TELEPORT_SAML_CONNECTOR_NAME} \
--app-id ${OKTA_SAML_APP_ID} \
--api-token ${OKTA_API_TOKEN} \
--no-scim \
--no-accesslist-sync \
--no-appgroup-sync
이렇게 하면 Okta 통합이 설치되고 다음 설정으로 사용자 동기화 서비스가 시작됩니다:
- Okta 앱
${OKTA_SAML_APP_ID}에 할당된 Okta 사용자를 가져와 상위 Okta 조직과 동기화를 유지합니다. - SCIM 서비스를 노출하지 않습니다.
- Okta에서 다른 리소스를 동기화하거나 관리하려 하지 않습니다.
Teleport 통합 UI에서 Okta 통합 상태를 모니터링할 수 있습니다.
3/6단계. 사용자 동기화 대기#
모든 것이 작동하는지 확인하려면, 첫 번째 Okta에서 Teleport로의 사용자 동기화가 완료될 때까지 기다립니다. 다음을 통해 확인할 수 있습니다:
- 사용자 페이지를 새로 고치고 Okta 사용자를 찾거나,
- Okta 통합 상태 페이지를 확인합니다.
Okta 사용자가 Teleport로 가져와지면 다음 단계로 진행할 수 있습니다.
4/6단계. Teleport AWS IAM Identity Center 통합 설치#
다시, tctl을 사용하여 플러그인을 설치해야 합니다.
Teleport 배포 환경에 맞는 설치 명령을 선택합니다:
Teleport Cloud 클러스터는 AWS OIDC 통합을 통해 AWS와 인증합니다. 먼저 AWS OIDC 통합을 생성한 다음 이 명령을 사용합니다.
$ tctl plugins install awsic \
--instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
--instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
--no-use-system-credentials \
--oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
--scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
--scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
--access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
--user-origin okta \
--account-name ${ACCOUNT_NAME_ALLOW_FILTER} \
--group-name ${GROUP_NAME_ALLOW_FILTER}
자체 호스팅 클러스터는 앰비언트 시스템 자격 증명 또는 AWS OIDC를 사용할 수 있습니다. 자격 증명 소스 선택 지침은 AWS 인증 방법을 참조하십시오.
앰비언트 시스템 자격 증명
이 명령은 Auth Service에서 사용할 수 있는 AWS 자격 증명 공급자 체인을 사용합니다. 자격 증명은 --assume-role-arn에 전달된 IAM 역할을 수임할 수 있어야 합니다.
$ tctl plugins install awsic \
--instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
--instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
--use-system-credentials \
--assume-role-arn ${AWS_IAM_ROLE_ARN} \
--scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
--scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
--access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
--user-origin okta \
--account-name ${ACCOUNT_NAME_ALLOW_FILTER} \
--group-name ${GROUP_NAME_ALLOW_FILTER}
AWS OIDC 통합
이 명령은 앰비언트 AWS 자격 증명 대신 --oidc-integration으로 지정된 AWS OIDC 통합을 사용합니다. 설치 프로그램을 실행하기 전에 AWS OIDC 통합을 먼저 생성하십시오.
$ tctl plugins install awsic \
--instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
--instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
--no-use-system-credentials \
--oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
--scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
--scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
--access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
--user-origin okta \
--account-name ${ACCOUNT_NAME_ALLOW_FILTER} \
--group-name ${GROUP_NAME_ALLOW_FILTER}
이렇게 하면 다음 Teleport 설정으로 Teleport AWS IAM Identity Center 통합이 설치됩니다:
--instance-arn으로 표시된 AWS IAM Identity Center 인스턴스를 제어합니다.- 설치 명령에서 선택한 자격 증명 소스를 사용하여 AWS와 인증합니다: Teleport Cloud 또는 자체 호스팅 클러스터의 경우 AWS OIDC 통합, 또는 자체 호스팅 클러스터에서 시스템 AWS 자격 증명과
--assume-role-arn으로 표시된 IAM 역할. ${ACCOUNT_NAME_ALLOW_FILTER}와 일치하는 모든 AWS 계정의 계정 할당을 관리합니다.- Okta에서 가져온 모든 사용자를 AWS IAM Identity Center에 프로비저닝합니다(
--user-origin okta플래그). ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER}를 소유자로 하여${GROUP_NAME_ALLOW_FILTER}와 일치하는 모든 그룹만 Teleport에 접근 목록으로 가져옵니다.
나중에 아래의 통합 확장 섹션의 지침을 따라 AWS 계정, 그룹 및 사용자 필터를 변경할 수 있습니다.
설치 과정에서 Teleport는 허용 목록과 일치하는 모든 Identity Center 그룹(또는 허용 목록이 정의되지 않은 경우 모두)을 가져오고 그룹 구성원 및 계정 할당을 보존하는 일치하는 접근 목록을 생성합니다.
계정 할당에 대한 Teleport 역할 생성 비활성화 등 더 많은 설치 옵션은 고급 옵션 가이드를 참조하십시오.
개별 사용자 계정 할당은 가져오기 중에 보존되지 않습니다. 설치 전에 이를 수동으로 보존하거나 그룹 할당으로 변환해야 합니다.
그룹 가져오기 제어#
그룹 가져오기 허용 목록은 --group-name 옵션으로 제어됩니다. 여러 필터를 지정할 수 있으며, 그룹이 제공된 필터 중 하나라도 일치하면 가져와집니다. 필터는 리터럴 이름, 글로브 이름 또는 Go 호환 정규식일 수 있습니다. 필터를 정규식으로 처리하려면, 앞에 ^와 뒤에 $를 붙이십시오.
필터 예시:
administrators: 리터럴 "administrators" 그룹site-*: 접두사site-가 있는 모든 그룹^(?:[^a]|a[^w]|aw[^s]|aws[^\-]).*$: 접두사aws-가 없는 모든 그룹
Teleport로 가져오는 그룹과 Okta가 제어를 유지하려는 그룹 간에 겹침이 없는지 확인하십시오.
Okta에서 관리하는 Push Group과 동일한 이름으로 접근 목록을 생성하지 마십시오. Teleport가 그룹을 채택하려고 시도하여 그룹 구성원을 변경할 수 있습니다. Teleport 접근 목록을 삭제하고 Okta에서 강제로 다시 푸시하면 접근이 복원되어야 합니다.
사용자 프로비저닝 제어#
Teleport 클러스터에는 로컬 Teleport 사용자(예: 로컬 Admin 사용자)와 Okta에서 가져온 사용자가 혼합되어 있을 수 있습니다. 기본적으로 Teleport는 모든 Teleport 사용자를 Identity Center에 프로비저닝하려고 합니다. --user-origin 및 --user-filter 인수를 사용하여 Identity Center 통합으로 프로비저닝할 사용자를 제어할 수 있습니다. 위의 예에서 --user-origin okta는 Teleport를 Okta에서 동기화된 사용자만 프로비저닝하도록 제한하고 모든 로컬 Teleport 사용자를 제외합니다.
AWS 계정 가져오기 제어#
기본적으로 Teleport는 Identity Center가 관리하는 모든 AWS 계정의 계정 할당을 제어합니다. --account-name 및 --account-id 설치 옵션을 사용하여 가져올 AWS 계정의 허용 목록을 만들 수 있습니다.
--account-name 필터는 위의 --group-name 필터와 동일하게 작동합니다. --account-id 필터는 리터럴 AWS 계정 ID를 지정합니다.
Teleport는 허용 목록 외부의 AWS 계정에 대해서는 계정 할당을 생성하거나 삭제하지 않습니다.
5/6단계. AWS 계정 마이그레이션#
이제 Teleport Identity Center 통합을 부분 이관 모드로 설정했으며, Okta 관리 그룹에서 새 Teleport 관리 접근 목록으로 계정 할당을 마이그레이션할 준비가 되었습니다. 그룹을 마이그레이션하려면, 기존 Okta 관리 그룹과 같은 이름을 사용하지 않도록 주의하면서 Teleport에서 새 접근 목록을 생성하고 적절한 구성원 및 계정 할당을 생성합니다.
계정 할당은 Identity Center 통합에서 생성된 계정 할당 역할을 접근 목록에 할당하거나, 특정 접근 조합을 지정하는 사용자 정의 Teleport 역할을 할당하거나, 두 가지 조합을 통해 접근 목록에 생성할 수 있습니다.
자세한 내용은 Identity Center 통합 가이드를 참조하십시오.
6/6단계. Okta 그룹 프로비저닝 종료#
AWS IAM Identity Center 그룹이 Teleport 제어로 마이그레이션되었다고 확신하면, Okta Identity Center 통합에서 해당 Push Group을 제거할 수 있습니다.
전체 이관#
Teleport, Okta 및 Identity Center가 이제 부분 이관 모드로 실행되고 있습니다. 이 방식으로 무기한 계속 실행하는 것도 완전히 괜찮지만, 부분 이관 설정을 전체 이관 통합으로의 발판으로 사용할 수도 있습니다.
부분에서 전체 이관으로 이동하면 SSO 로그인을 포함하여 AWS 사용자 및 그룹의 제어가 Teleport로 완전히 이전됩니다.
Teleport는 일반적으로 Okta보다 사용자에 대한 정보가 훨씬 적으므로, Teleport가 Okta에서 사용자 프로비저닝을 인수하면 Identity Center 사용자에서 사용자 속성이 제거될 수 있습니다.
AWS 보안 정책이 사용자 이름과 ID 이외의 사용자 속성에 의존하지 않는지 확인하십시오.
1/4단계. Teleport SAML IdP 서비스 프로바이더 생성#
전체 이관 모드에서 작동하려면 Teleport가 사용자의 SAML 인증을 제공하여 AWS Identity Center 인스턴스의 ID 소스가 되어야 합니다. 이를 위해서는 Identity Center 인스턴스에 설정된 Teleport SAML 서비스 프로바이더를 생성해야 합니다.
Identity Center SAML 메타데이터 가져오기#
AWS 외부 ID 공급자 연결 방법 가이드를 따라 AWS에서 Identity Center SAML 메타데이터 파일을 얻을 수 있습니다. 메타데이터 파일이 있으면 AWS 설정을 일시 중지하고 Teleport로 전환해야 합니다.
Teleport SAML 서비스 프로바이더 생성#
Teleport를 SAML Identity Provider로 사용 가이드를 따라 Teleport에서 SAML 서비스 프로바이더를 생성합니다. 이전 단계의 Identity Center SAML 메타데이터 파일을 사용하여 Identity Center 메타데이터를 Teleport에 제공합니다.
Teleport SAML 서비스 프로바이더를 생성하는 동안 제공될 때 Teleport IdP 메타데이터를 다운로드합니다. Identity Center에서 ID 소스 설정을 완료하는 데 필요합니다.
2/4단계. Teleport를 Identity Source로 사용하도록 Identity Center 설정#
Teleport SAML 서비스 프로바이더를 생성했으면 새 Identity Center ID 소스 설정을 완료할 수 있습니다. 메시지가 표시되면 Teleport IdP 메타데이터 파일을 업로드하면서 AWS 외부 ID 공급자 연결 방법 가이드를 계속 따릅니다.
3/4단계. Teleport를 전체 이관 모드로 전환#
Teleport는 Identity Center 설정에 SAML 서비스 프로바이더 이름이 없으면 부분 이관 모드로 실행하도록 합니다. Teleport를 전체 이관 모드로 전환하려면 Identity Center 통합과 이전 단계에서 생성된 SAML 서비스 프로바이더를 연결해야 합니다.
현재 이 작업은 tctl을 사용하여 통합 설정을 수동으로 편집해야만 수행할 수 있습니다.
tctl을 사용하여 Identity Center의 플러그인 리소스를 수동으로 편집하는 것은 위험한 작업입니다. 필요한 경우 롤백할 수 있도록 플러그인 리소스의 백업을 취하십시오.
가이드 편집 워크플로가 현재 개발 중입니다.
플러그인 리소스는 Identity Center 통합 설정을 설명하는 YAML 문서입니다. tctl edit를 실행하면 리소스를 가져와 설정된 편집기에서 열립니다:
$ tctl edit plugins/aws-identity-center
전체 이관 모드를 활성화하려면 aws_ic 블록의 saml_idp_service_provider_name 필드를 1단계에서 생성된 SAML 서비스 프로바이더 이름으로 설정합니다.
kind: plugin
version: v1
metadata:
labels:
teleport.dev/hosted-plugin: "true"
name: aws-identity-center
spec:
Settings:
aws_ic:
arn: arn:aws:sso:::instance/ssoins-722326ecc902a06a
access_list_default_owners:
- admin
credentials:
system:
assumeRoleArn: arn:aws:iam::637423191929:role/idc-integration
provisioning_spec:
base_url: https://scim.us-east-1.amazonaws.com/f3v9c6bc2ca-b104-4571-b669-f2eba522efe8/scim/v2
region: us-east-1
# 이 필드를 SAML 서비스 프로바이더 이름과 일치하도록 추가하거나 편집합니다
saml_idp_service_provider_name: aws-identity-center-sso
리소스 편집기를 저장하고 닫으면 Identity Center 설정이 업데이트되고 전체 이관 모드에서 Identity Center 통합이 다시 시작됩니다.
4/4단계. Okta Identity Center 통합 종료#
Teleport가 Identity Center로의 프로비저닝을 완전히 제어하면 Okta의 Identity Center 통합을 비활성화할 수 있습니다. Okta Identity Center 통합을 그대로 두면 Teleport와 Okta 모두 사용자 정보를 제어하려고 시도하게 됩니다.
통합 확장#
tctl edit로 다양한 필터 세트에 필터를 추가하거나 제거할 수 있습니다.
현재 이 작업에는 tctl을 사용하여 Identity Center 통합의 플러그인 리소스를 수동으로 편집해야 하며, 이는 위험한 작업입니다. 필요한 경우 롤백할 수 있도록 플러그인 리소스의 백업을 취하십시오.
가이드 편집 워크플로가 현재 개발 중입니다.
$ tctl edit plugins/aws-identity-center
편집기를 저장하고 종료하면 tctl이 기존 리소스를 업데이트된 버전으로 교체합니다. 이렇게 하면 새 필터를 사용하여 Identity Center 통합이 자동으로 다시 시작됩니다.
kind: plugin
version: v1
metadata:
labels:
teleport.dev/hosted-plugin: "true"
name: aws-identity-center
spec:
Settings:
aws_ic:
arn: arn:aws:sso:::instance/ssoins-722326ecc902a06a
access_list_default_owners:
- admin
credentials:
system:
assumeRoleArn: arn:aws:iam::637423191929:role/idc-integration
provisioning_spec:
base_url: https://scim.us-east-1.amazonaws.com/f3v9c6bc2ca-b104-4571-b669-f2eba522efe8/scim/v2
region: us-east-1
# 계정 가져오기 필터. 비어 있거나 필터 목록이 없으면
# "모든 AWS 계정 관리"를 의미합니다.
aws_accounts_filters:
- id: "058264527036"
- nameRegex: ^Staging-.*$
- excludeId: "123456789012"
- excludeNameRegex: "^Production-.*$"
# 사용자 프로비저닝 필터. 비어 있거나 필터 목록이 없으면
# "모든 사용자를 AWS에 프로비저닝"을 의미합니다.
user_sync_filters:
- labels:
teleport.dev/origin: okta
# 그룹 가져오기 필터, 위의 "그룹 가져오기 제어" 섹션 참조
group_sync_filters:
- nameRegex: '^Group #00\d+$'
업데이트된 리소스를 저장하고 편집기를 종료하면 원격 설정이 업데이트되고 Identity Center 통합이 새 설정으로 다시 시작됩니다.
group_sync_filters 필드에 대한 모든 변경 사항은 새 그룹 가져오기 사이클을 트리거하며, 사용자 및 그룹이 많은 Identity Center 인스턴스의 경우 시간이 많이 걸릴 수 있습니다.
AWS IAM Identity Center 통합 삭제#
통합을 삭제하면 상태 관리에 사용된 모든 Teleport 리소스가 자동으로 제거됩니다.
플러그인 삭제의 영향과 일반적인 고려 사항은 AWS IAM Identity Center 가이드에 설명되어 있습니다.
tctl로 AWS IAM Identity Center 플러그인을 삭제합니다.
$ tctl plugins delete aws-identity-center
다음 단계#
- RBAC, JIT 접근 요청 및 접근 목록 등 Identity Center 통합에 사용되는 기본 Teleport 개념을 더 깊이 알아봅니다.
- AWS 명령줄 도구로 Teleport 관리 계정 할당을 사용하는 방법을 참조하십시오.