InfoGrab Docs

Entra ID 사용자를 위한 Teleport 접근 설정

요약

이 가이드는 Teleport의 중첩 접근 목록(Nested Access List)을 사용하여 Entra 그룹 구성원을 기반으로 Entra ID에서 가져온 사용자의 접근을 설정하는 방법을 보여줍니다. 중첩 접근 목록 설정에서, 자식 접근 목록은 부모 접근 목록에서 부여된 역할과 트레잇을 상속합니다.

이 가이드는 Teleport의 중첩 접근 목록(Nested Access List)을 사용하여 Entra 그룹 구성원을 기반으로 Entra ID에서 가져온 사용자의 접근을 설정하는 방법을 보여줍니다.

작동 방식#

중첩 접근 목록 설정에서, 자식 접근 목록은 부모 접근 목록에서 부여된 역할과 트레잇을 상속합니다.

이 기능을 활용하면 Entra ID에서 가져온 접근 목록을 다른 접근 목록의 구성원으로 추가하여 Teleport 역할을 해당 구성원에게 부여할 수 있습니다.

이 가이드에서는 Entra ID 사용자에 대한 접근을 설정하려는 참조 애플리케이션으로 Grafana를 사용합니다. 이 애플리케이션은 리소스 레이블 env: monitor로 Teleport에 등록됩니다. Teleport에 등록된 Grafana 앱

Entra ID에 두 사용자 그룹을 생성합니다: ad-app-adminad-app-support. 이 그룹의 구성원들이 각각 영구적인 접근 권한과 Grafana에 대한 접근 요청 능력을 갖기를 원합니다. 기존 Entra ID 그룹을 사용할 수도 있습니다.

그런 다음 Teleport에서 두 가지 역할을 생성합니다. 하나는 Grafana 애플리케이션 접근을 허용하고, 다른 하나는 Grafana 애플리케이션 접근을 부여하는 역할을 요청할 수 있도록 허용합니다.

이 역할들은 접근 목록에 할당되어 Entra ID에서 가져온 그룹에 역할과 트레잇을 부여합니다.

Entra ID에서 Teleport 역할 매핑

사전 요구사항#

  • Auth Connector, 플러그인, 역할 및 접근 목록을 읽고 쓸 수 있는 사전 설정 editor 또는 동등한 역할을 가진 Teleport 사용자.
  • Entra ID에서 그룹을 생성할 권한.
  • Teleport 클러스터에 설정된 Entra ID 통합.
  • 이 가이드에서는 Grafana 애플리케이션을 참조합니다. 시작하려면 다른 리소스 유형을 사용할 수 있습니다.

1/3단계. Entra ID에서 그룹 생성#

정보 - 새 그룹: 이미 기존 Entra ID 그룹을 사용하는 경우 이 단계를 건너뛸 수 있습니다.

Azure Portal에서 "Azure services" 아래 "Groups" 메뉴를 선택합니다.

"Groups" 페이지에서 "New group" 버튼을 클릭하여 ad-app-support라는 새 사용자 그룹을 생성합니다. 원하는 사용자를 이 그룹에 추가할 수 있습니다.

Entra ID 그룹 생성

단계를 반복하여 ad-app-admin이라는 다른 사용자 그룹을 생성합니다.

Teleport는 5분마다 Entra ID에서 그룹을 가져오고 가져온 각 그룹에 대해 접근 목록을 생성합니다. Teleport는 또한 해당 그룹 구성원을 접근 목록 구성원으로 보존합니다.

2/3단계. Teleport에서 역할 생성#

먼저 Grafana 접근을 부여하는 역할 템플릿을 생성합니다.

Teleport 웹 UI의 사이드 탐색 메뉴에서 "Zero Trust Access > Roles"를 선택합니다. "Roles" UI에서 "Create New Role" 버튼을 클릭합니다. YAML 편집기로 전환합니다. Teleport 역할 편집기 YAML 모드

아래 역할 스펙을 복사하여 역할 편집기에 붙여넣어 새 역할을 생성합니다.

kind: role
version: v8
metadata:
  name: app-monitor
spec:
  allow:
    app_labels:
      env: '{{external.apps}}'

역할은 레이블 키 env와 사용자의 apps 트레잇에서 파생될 레이블 값 '{{external.apps}}'와 일치하는 허용 app_labels로 설정됩니다. 애플리케이션 리소스 레이블에 설정된 레이블 값과 사용자 apps 트레잇에 설정된 값이 일치하는 한, 이 역할은 해당 애플리케이션에 대한 접근 권한을 부여합니다.

트레잇 템플릿을 사용하여 레이블을 정의하면 사용자 트레잇이 동적으로 설정 가능하므로 이 역할이 확장 가능해집니다. 트레잇 및 역할 템플릿에 대한 자세한 내용은 이 가이드에서 확인할 수 있습니다.

사용자가 Entra ID로 인증하면 사용자 SSO 응답에서 사용 가능한 SAML 속성(또는 OIDC를 사용하는 경우 클레임)이 사용자 트레잇으로 보존됩니다. 또한 접근 목록을 사용하여 사용자에게 트레잇을 부여할 수도 있습니다. 아래 다음 단계에서 볼 수 있듯이, 이 가이드는 접근 목록을 사용하여 사용자에게 트레잇을 부여합니다.

UI의 역할 생성 단계를 반복하여 app-monitor 역할에 대한 접근을 요청할 수 있도록 허용하는 다른 역할을 생성합니다.

이 역할의 이름은 support-team으로 지정합니다.

kind: role
version: v8
metadata:
  name: support-team
spec:
  allow:
    request:
      roles:
        - app-monitor

팁 - 역할 리소스 레이블: 예제 역할 app-monitor에서 정의한 허용 app_labels 규칙은 애플리케이션 리소스에 적용됩니다. 이 가이드를 다른 종류의 리소스로 따르는 경우 다른 리소스 레이블 규칙을 참조해야 할 수 있습니다.

3/3단계. 중첩 접근 목록 생성#

Teleport가 Entra ID에서 생성한 새 그룹을 이미 가져왔다고 가정하면, 이제 단기(적시) 및 장기 접근 관리를 위한 새 접근 목록을 생성합니다. Entra ID에서 가져온 그룹은 이 새 접근 목록의 구성원으로 추가됩니다.

Teleport 웹 UI의 사이드 탐색 메뉴에서 "Identity Governance > Access List"를 선택합니다.

다음으로, "Create New Access List" 버튼을 클릭하고 다음과 같이 접근 목록 세부 정보를 입력합니다.

  • 제목: 단기 접근
  • 첫 번째 검토 마감일: 미래 날짜 선택.
  • 구성원 역할 부여: support-team
  • 구성원 트레잇 부여: apps: monitor
  • 소유자: 자신 또는 적절한 사용자를 소유자로 추가합니다.
  • 구성원: ad-app-support. 이는 같은 이름의 Entra ID 그룹에 대해 생성된 접근 목록입니다.

Teleport 단기 접근 목록

이 접근 목록은 구성원에게 support-team 역할과 트레잇 apps: monitor를 부여합니다. 효과적으로 구성원이 app-monitor 역할에 대한 접근을 요청할 수 있도록 합니다.

직접 할당된 app-monitor 역할을 기반으로 구성원에게 Grafana에 대한 장기 접근 권한을 부여하는 다른 접근 목록을 생성합니다.

  • 제목: 장기 접근
  • 첫 번째 검토 마감일: 미래 날짜 선택.
  • 구성원 역할 부여: app-monitor
  • 구성원 트레잇 부여: apps: monitor
  • 소유자: 자신 또는 적절한 사용자를 소유자로 추가합니다.
  • 구성원: ad-app-admin. 이는 같은 이름의 Entra ID 그룹에 대해 생성된 접근 목록입니다.

Teleport 장기 접근 목록

이 접근 목록은 구성원에게 app-monitor 역할과 트레잇 apps: monitor를 부여합니다. 효과적으로 구성원이 app-monitor 역할을 통해 애플리케이션 리소스에 접근할 수 있도록 합니다.

다음 단계#

Entra ID 사용자를 위한 Teleport 접근 설정

원문 보기
요약

이 가이드는 Teleport의 중첩 접근 목록(Nested Access List)을 사용하여 Entra 그룹 구성원을 기반으로 Entra ID에서 가져온 사용자의 접근을 설정하는 방법을 보여줍니다. 중첩 접근 목록 설정에서, 자식 접근 목록은 부모 접근 목록에서 부여된 역할과 트레잇을 상속합니다.

이 가이드는 Teleport의 중첩 접근 목록(Nested Access List)을 사용하여 Entra 그룹 구성원을 기반으로 Entra ID에서 가져온 사용자의 접근을 설정하는 방법을 보여줍니다.

작동 방식#

중첩 접근 목록 설정에서, 자식 접근 목록은 부모 접근 목록에서 부여된 역할과 트레잇을 상속합니다.

이 기능을 활용하면 Entra ID에서 가져온 접근 목록을 다른 접근 목록의 구성원으로 추가하여 Teleport 역할을 해당 구성원에게 부여할 수 있습니다.

이 가이드에서는 Entra ID 사용자에 대한 접근을 설정하려는 참조 애플리케이션으로 Grafana를 사용합니다. 이 애플리케이션은 리소스 레이블 env: monitor로 Teleport에 등록됩니다. Teleport에 등록된 Grafana 앱

Entra ID에 두 사용자 그룹을 생성합니다: ad-app-adminad-app-support. 이 그룹의 구성원들이 각각 영구적인 접근 권한과 Grafana에 대한 접근 요청 능력을 갖기를 원합니다. 기존 Entra ID 그룹을 사용할 수도 있습니다.

그런 다음 Teleport에서 두 가지 역할을 생성합니다. 하나는 Grafana 애플리케이션 접근을 허용하고, 다른 하나는 Grafana 애플리케이션 접근을 부여하는 역할을 요청할 수 있도록 허용합니다.

이 역할들은 접근 목록에 할당되어 Entra ID에서 가져온 그룹에 역할과 트레잇을 부여합니다.

Entra ID에서 Teleport 역할 매핑

사전 요구사항#

  • Auth Connector, 플러그인, 역할 및 접근 목록을 읽고 쓸 수 있는 사전 설정 editor 또는 동등한 역할을 가진 Teleport 사용자.
  • Entra ID에서 그룹을 생성할 권한.
  • Teleport 클러스터에 설정된 Entra ID 통합.
  • 이 가이드에서는 Grafana 애플리케이션을 참조합니다. 시작하려면 다른 리소스 유형을 사용할 수 있습니다.

1/3단계. Entra ID에서 그룹 생성#

정보 - 새 그룹: 이미 기존 Entra ID 그룹을 사용하는 경우 이 단계를 건너뛸 수 있습니다.

Azure Portal에서 "Azure services" 아래 "Groups" 메뉴를 선택합니다.

"Groups" 페이지에서 "New group" 버튼을 클릭하여 ad-app-support라는 새 사용자 그룹을 생성합니다. 원하는 사용자를 이 그룹에 추가할 수 있습니다.

Entra ID 그룹 생성

단계를 반복하여 ad-app-admin이라는 다른 사용자 그룹을 생성합니다.

Teleport는 5분마다 Entra ID에서 그룹을 가져오고 가져온 각 그룹에 대해 접근 목록을 생성합니다. Teleport는 또한 해당 그룹 구성원을 접근 목록 구성원으로 보존합니다.

2/3단계. Teleport에서 역할 생성#

먼저 Grafana 접근을 부여하는 역할 템플릿을 생성합니다.

Teleport 웹 UI의 사이드 탐색 메뉴에서 "Zero Trust Access > Roles"를 선택합니다. "Roles" UI에서 "Create New Role" 버튼을 클릭합니다. YAML 편집기로 전환합니다. Teleport 역할 편집기 YAML 모드

아래 역할 스펙을 복사하여 역할 편집기에 붙여넣어 새 역할을 생성합니다.

kind: role
version: v8
metadata:
  name: app-monitor
spec:
  allow:
    app_labels:
      env: '{{external.apps}}'

역할은 레이블 키 env와 사용자의 apps 트레잇에서 파생될 레이블 값 '{{external.apps}}'와 일치하는 허용 app_labels로 설정됩니다. 애플리케이션 리소스 레이블에 설정된 레이블 값과 사용자 apps 트레잇에 설정된 값이 일치하는 한, 이 역할은 해당 애플리케이션에 대한 접근 권한을 부여합니다.

트레잇 템플릿을 사용하여 레이블을 정의하면 사용자 트레잇이 동적으로 설정 가능하므로 이 역할이 확장 가능해집니다. 트레잇 및 역할 템플릿에 대한 자세한 내용은 이 가이드에서 확인할 수 있습니다.

사용자가 Entra ID로 인증하면 사용자 SSO 응답에서 사용 가능한 SAML 속성(또는 OIDC를 사용하는 경우 클레임)이 사용자 트레잇으로 보존됩니다. 또한 접근 목록을 사용하여 사용자에게 트레잇을 부여할 수도 있습니다. 아래 다음 단계에서 볼 수 있듯이, 이 가이드는 접근 목록을 사용하여 사용자에게 트레잇을 부여합니다.

UI의 역할 생성 단계를 반복하여 app-monitor 역할에 대한 접근을 요청할 수 있도록 허용하는 다른 역할을 생성합니다.

이 역할의 이름은 support-team으로 지정합니다.

kind: role
version: v8
metadata:
  name: support-team
spec:
  allow:
    request:
      roles:
        - app-monitor

팁 - 역할 리소스 레이블: 예제 역할 app-monitor에서 정의한 허용 app_labels 규칙은 애플리케이션 리소스에 적용됩니다. 이 가이드를 다른 종류의 리소스로 따르는 경우 다른 리소스 레이블 규칙을 참조해야 할 수 있습니다.

3/3단계. 중첩 접근 목록 생성#

Teleport가 Entra ID에서 생성한 새 그룹을 이미 가져왔다고 가정하면, 이제 단기(적시) 및 장기 접근 관리를 위한 새 접근 목록을 생성합니다. Entra ID에서 가져온 그룹은 이 새 접근 목록의 구성원으로 추가됩니다.

Teleport 웹 UI의 사이드 탐색 메뉴에서 "Identity Governance > Access List"를 선택합니다.

다음으로, "Create New Access List" 버튼을 클릭하고 다음과 같이 접근 목록 세부 정보를 입력합니다.

  • 제목: 단기 접근
  • 첫 번째 검토 마감일: 미래 날짜 선택.
  • 구성원 역할 부여: support-team
  • 구성원 트레잇 부여: apps: monitor
  • 소유자: 자신 또는 적절한 사용자를 소유자로 추가합니다.
  • 구성원: ad-app-support. 이는 같은 이름의 Entra ID 그룹에 대해 생성된 접근 목록입니다.

Teleport 단기 접근 목록

이 접근 목록은 구성원에게 support-team 역할과 트레잇 apps: monitor를 부여합니다. 효과적으로 구성원이 app-monitor 역할에 대한 접근을 요청할 수 있도록 합니다.

직접 할당된 app-monitor 역할을 기반으로 구성원에게 Grafana에 대한 장기 접근 권한을 부여하는 다른 접근 목록을 생성합니다.

  • 제목: 장기 접근
  • 첫 번째 검토 마감일: 미래 날짜 선택.
  • 구성원 역할 부여: app-monitor
  • 구성원 트레잇 부여: apps: monitor
  • 소유자: 자신 또는 적절한 사용자를 소유자로 추가합니다.
  • 구성원: ad-app-admin. 이는 같은 이름의 Entra ID 그룹에 대해 생성된 접근 목록입니다.

Teleport 장기 접근 목록

이 접근 목록은 구성원에게 app-monitor 역할과 트레잇 apps: monitor를 부여합니다. 효과적으로 구성원이 app-monitor 역할을 통해 애플리케이션 리소스에 접근할 수 있도록 합니다.

다음 단계#