Okta 앱 및 그룹 동기화

요약

Okta는 Teleport에 직접 매핑되지 않는 자체 권한 시스템을 가지고 있습니다. Okta 통합의 Teleport 접근 목록 기능으로 Okta 앱과 그룹을 동기화하면 이 작업이 자동으로 수행됩니다. Teleport에서 Okta 접근 목록 동기화기는 구성원이 있는 Okta 그룹 또는 Okta 통합 등록 시 선택적으로 제공할 수 있는 필터와 일치하는 개별 할당이 있는 Okta 애플리케이션을 찾습니다.

Okta는 Teleport에 직접 매핑되지 않는 자체 권한 시스템을 가지고 있습니다. 여기에는 Okta 그룹이 부여한 권한과 Okta 내 개별 애플리케이션에 대한 사용자 할당이 포함됩니다. Teleport에서 이를 모델링하려면 관리자가 일반적으로 다양한 Okta 앱과 그룹에 첨부할 레이블링 시스템과 그에 맞는 역할 세트를 신중하게 설계해야 합니다.

Okta 통합의 Teleport 접근 목록 기능으로 Okta 앱과 그룹을 동기화하면 이 작업이 자동으로 수행됩니다. 이 가이드는 Okta 앱 및 동기화를 설정하는 방법을 설명합니다.

작동 방식#

Teleport에서 Okta 접근 목록 동기화기는 구성원이 있는 Okta 그룹 또는 Okta 통합 등록 시 선택적으로 제공할 수 있는 필터와 일치하는 개별 할당이 있는 Okta 애플리케이션을 찾습니다. 동기화기는 일치하는 각 Okta 그룹 또는 애플리케이션에 대해 다음 리소스를 생성합니다:

그룹/애플리케이션에 대한 접근을 부여하는 구성원용 역할.
그룹/애플리케이션에 대한 접근 검토 권한을 부여하는 소유자용 역할.
그룹/애플리케이션 구성원을 나타내는 접근 목록.
접근 목록의 구성원.

동기화된 모든 Okta 사용자에게는 동기화된 리소스에 대한 접근을 요청할 수 있는 내장 okta-requester 역할이 할당됩니다. 이 역할 할당은 tctl로 통합을 생성할 때 --no-assign-default-roles 플래그를 사용하거나 tctl edit plugins/okta에서 okta.sync_settings.disable_assign_default_roles: true를 설정하여 비활성화할 수 있습니다. 커넥터가 수동으로 생성되지 않은 경우, 이 역할은 Auth 커넥터 역할 매핑에서도 기본적으로 할당되므로 변경 사항이 적용되려면 해당 부분도 업데이트해야 합니다.

접근 목록 동기화는 Okta 그룹 및 Okta 애플리케이션이 Teleport 리소스로 동기화를 완료할 때까지 기다리므로 시작 시 즉시 동기화가 시작되지 않을 수 있습니다.

할당이 있는 Okta 사용자 그룹만 Teleport 접근 목록으로 가져옵니다. Okta 사용자 그룹에 할당이 없으면 할당이 생길 때까지 가져오지 않습니다. 접근 목록에서 마지막 사용자가 제거되면 다음 동기화 시 Teleport에서 접근 목록이 제거됩니다.

사전 요구사항#

A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

계정에 Teleport Identity Governance가 활성화되어 있어야 합니다.
Okta 인증 커넥터.

Warning

가이드 앱 및 그룹 동기화 통합 흐름을 따르기 전에 다음을 완료해야 합니다:

(선택 사항) Okta SCIM 통합. 가이드 통합 흐름을 따를 수 있습니다.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

관리자 접근 권한이 있는 Okta 조직.

양방향 동기화가 활성화된 Okta 통합을 활성화하면 Teleport가 Okta에서 앱 및 그룹 할당의 소유권을 갖게 되며 Teleport RBAC 구성에 따라 Okta 내에서 변경을 수행할 수 있습니다. 통합 범위를 제한하려면 다음을 확인하십시오:

(선택 사항) Okta 접근 토큰의 범위를 제한할 수 있는 Okta 리소스 세트로 Okta 애플리케이션과 그룹을 구성합니다.

1/2단계. 기본 목록 소유자 설정#

Okta 접근 목록 동기화 설정의 첫 번째 단계는 기본 접근 목록 소유자를 정의하는 것입니다. 원하는 수의 기본 소유자를 선택하거나 시스템에 아직 존재하지 않는 경우 소유자를 수동으로 입력할 수 있습니다. 이 소유자는 나중에 변경할 수 있으며 Okta 접근 목록 동기화 프로세스에 의해 덮어쓰이지 않습니다.

사용자 그룹 및 앱 할당 동기화 페이지에 있는지 확인합니다. 그렇지 않으면 접근 -> 통합으로 이동하여 Okta 통합 행의 아무 곳이나 클릭하여 통합 상태 페이지를 방문합니다. 그런 다음 사용자 그룹 및 앱 할당 동기화 페이지를 방문합니다.
기본 목록 소유자 추가 아래에서 드롭다운 메뉴에 Teleport 사용자의 이름을 입력합니다.

2/2단계. 사용자 그룹 및 애플리케이션 가져오기 설정#

기본 소유자를 설정한 후 어떤 Okta 사용자 그룹 및 애플리케이션을 가져올지 사용자 지정할 수 있습니다. 기본적으로 모든 사용자 그룹 및 애플리케이션이 가져와집니다. 이 섹션에서는 특정 사용자 그룹 및 애플리케이션을 접근 목록으로 가져오도록 Okta 통합을 설정하는 방법을 보여줍니다.

모든 사용자 그룹 및 애플리케이션을 가져오려면 메뉴 하단에서 설정 제출을 클릭합니다.

사용자 그룹 및 애플리케이션 가져오기를 설정하려면:

Teleport 웹 UI에서 사용자 그룹 및 앱 할당 동기화 페이지에 있는지 확인합니다.
2단계에서 모든 사용자 그룹 동기화 스위치를 선택 해제합니다.
그룹 이름으로 필터링 상자에 가져올 Okta 사용자 그룹 이름을 입력합니다.

사용자 그룹을 지정할 때 글로브(* 문자) 또는 정규 표현식을 사용할 수 있습니다. 글로브는 임의의 값을 나타냅니다. 정규 표현식은 ^로 시작하고 $로 끝나야 하며 Google RE2 정규 표현식 구문을 사용합니다.

필터가 추가되면 사용자 그룹 목록이 필터를 적용한 결과로 업데이트됩니다. 필터가 제공되지 않으면 모든 사용자 그룹 동기화 스위치가 선택 해제되어 있더라도 Teleport는 값을 와일드카드 *로 처리합니다.
3단계에서 애플리케이션에 대해 이 단계를 반복합니다. 사용자 그룹과 마찬가지로 선택적으로 모든 애플리케이션 동기화를 선택 해제하고 글로브 및 정규 표현식을 포함한 애플리케이션 이름을 입력할 수 있습니다.

할당이 있는 Okta 사용자 그룹 및 애플리케이션만 접근 목록으로 가져옵니다. Okta 사용자 그룹 또는 애플리케이션에 할당이 없으면 할당이 생길 때까지 가져오지 않습니다. 접근 목록에서 마지막 사용자가 제거되면 다음 동기화 시 Teleport에서 접근 목록이 제거됩니다.

Note

Okta 리소스 세트를 사용하여 Okta 앱과 사용자 그룹을 필터링할 수도 있지만, 이는 글로빙과 정규 표현식을 지원하지 않습니다.

중첩된 접근 목록 처리#

Teleport는 중첩된 접근 목록을 지원하며, 접근 목록은 다른 접근 목록을 구성원으로 포함하여 계층적 구조를 만들 수 있습니다. 그러나 Okta는 중첩된 그룹을 지원하지 않습니다. 이 섹션에서는 Teleport Okta 통합이 접근 목록을 지원하는 로직을 설명합니다.

Teleport에서 Okta로의 동기화#

Teleport에서 Okta로 중첩된 접근 목록을 동기화할 때 동기화기는 중첩된 접근 목록을 평탄화합니다.

모든 중첩 수준의 접근 목록에 있는 구성원은 Okta에 동기화될 때 단일 평탄화된 구성원 목록으로 집계됩니다. 이를 통해 Teleport 계층에 따라 접근 권한을 가져야 하는 모든 사용자가 해당 Okta 그룹 또는 애플리케이션에 포함되도록 합니다.

예를 들어, 다음 Teleport 접근 목록 구조를 고려합니다:

접근 목록 A:
- 구성원: User1
- 중첩 구성원: 접근 목록 B
접근 목록 B:
- 구성원: User2, User3

이 구조는 Okta에서 다음과 같이 표현됩니다:

접근 목록 A에 대한 그룹/애플리케이션:
- 구성원: User1, User2, User3

Teleport 계층을 평탄화함으로써 모든 사용자는 Okta에서 루트 수준 접근 목록과 연관된 권한을 받습니다.

Okta에서 Teleport로의 동기화#

Okta에서 Teleport로 동기화할 때 동기화기는 Okta의 평탄화된 구조를 Teleport 계층으로 다시 매핑하려고 시도합니다. Okta의 평탄화된 구성원 목록을 Teleport의 기존 접근 목록 계층과 비교합니다.

Okta에서 Teleport 접근 목록 계층에 없는 새 사용자가 추가된 경우, 이 사용자는 Teleport의 루트 수준 접근 목록에 구성원으로 추가됩니다. 이 접근 방식은 Okta에서 수행된 접근 변경 사항이 적절히 반영되도록 하면서 Teleport 내의 계층적 구조를 유지합니다.

예를 들어, 이전 섹션의 접근 목록 A에 대한 다음 Okta 그룹/애플리케이션을 고려합니다:

접근 목록 A에 대한 Okta 그룹/애플리케이션:
- 구성원: User1, User2, User3, User4 (User4는 Okta에서 추가된 새 구성원)

동기화기는 다음 업데이트를 적용합니다:

접근 목록 A:
- 구성원: User1, User4
- 중첩 구성원: 접근 목록 B
접근 목록 B:
- 구성원: User2, User3

접근 목록 삭제#

Okta에서 동기화된 접근 목록은 Okta에서 할당된 구성원이 없거나 Okta에서 삭제될 때 자동으로 삭제됩니다.

Warning

관리자가 접근 목록을 삭제할 수 있지만, 이는 Okta 통합이 제거되거나 접근 목록 동기화가 비활성화된 후에만 수행해야 합니다. 대상 Okta 그룹 또는 애플리케이션에서 모든 사용자가 제거될 수 있습니다!

동기화된 접근 목록 사용#

접근 목록을 처음 동기화할 때 접근 목록의 소유자는 초기 Okta 통합 등록 중에 설정된 기본 소유자로 설정되며, 초기 검토 날짜는 설정된 날짜로부터 6개월 후로 설정됩니다. 이 필드는 소유자 및 구성원 요구사항과 마찬가지로 수정 가능합니다. 그러나 부여 항목은 Okta 접근 목록 동기화기에 속하므로 변경할 수 없습니다.

Okta 동기화된 접근 목록의 소유자는 실행 간에 유지됩니다.

Warning

Okta 동기화된 접근 목록에서 구성원을 제거하면 다른 할당이 해당 사용자에게 할당을 전달하지 않는 한 Okta에서 해당 사용자가 Okta 그룹 또는 Okta 애플리케이션에서 제거됩니다. 이런 방식으로 Teleport가 Okta 구성원의 진실 소스가 됩니다. Okta 환경에 다른 자동화된 워크플로 또는 통합을 추가할 때 이를 염두에 두십시오.

Okta 앱 및 그룹 동기화

원문 보기

번역일: 2026-05-14

요약

작동 방식#

그룹/애플리케이션에 대한 접근을 부여하는 구성원용 역할.
그룹/애플리케이션에 대한 접근 검토 권한을 부여하는 소유자용 역할.
그룹/애플리케이션 구성원을 나타내는 접근 목록.
접근 목록의 구성원.

사전 요구사항#

A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

계정에 Teleport Identity Governance가 활성화되어 있어야 합니다.
Okta 인증 커넥터.

Warning

가이드 앱 및 그룹 동기화 통합 흐름을 따르기 전에 다음을 완료해야 합니다:

(선택 사항) Okta SCIM 통합. 가이드 통합 흐름을 따를 수 있습니다.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

관리자 접근 권한이 있는 Okta 조직.

(선택 사항) Okta 접근 토큰의 범위를 제한할 수 있는 Okta 리소스 세트로 Okta 애플리케이션과 그룹을 구성합니다.

1/2단계. 기본 목록 소유자 설정#

사용자 그룹 및 앱 할당 동기화 페이지에 있는지 확인합니다. 그렇지 않으면 접근 -> 통합으로 이동하여 Okta 통합 행의 아무 곳이나 클릭하여 통합 상태 페이지를 방문합니다. 그런 다음 사용자 그룹 및 앱 할당 동기화 페이지를 방문합니다.
기본 목록 소유자 추가 아래에서 드롭다운 메뉴에 Teleport 사용자의 이름을 입력합니다.

2/2단계. 사용자 그룹 및 애플리케이션 가져오기 설정#

모든 사용자 그룹 및 애플리케이션을 가져오려면 메뉴 하단에서 설정 제출을 클릭합니다.

사용자 그룹 및 애플리케이션 가져오기를 설정하려면:

Teleport 웹 UI에서 사용자 그룹 및 앱 할당 동기화 페이지에 있는지 확인합니다.
2단계에서 모든 사용자 그룹 동기화 스위치를 선택 해제합니다.
그룹 이름으로 필터링 상자에 가져올 Okta 사용자 그룹 이름을 입력합니다.

사용자 그룹을 지정할 때 글로브(* 문자) 또는 정규 표현식을 사용할 수 있습니다. 글로브는 임의의 값을 나타냅니다. 정규 표현식은 ^로 시작하고 $로 끝나야 하며 Google RE2 정규 표현식 구문을 사용합니다.

필터가 추가되면 사용자 그룹 목록이 필터를 적용한 결과로 업데이트됩니다. 필터가 제공되지 않으면 모든 사용자 그룹 동기화 스위치가 선택 해제되어 있더라도 Teleport는 값을 와일드카드 *로 처리합니다.
3단계에서 애플리케이션에 대해 이 단계를 반복합니다. 사용자 그룹과 마찬가지로 선택적으로 모든 애플리케이션 동기화를 선택 해제하고 글로브 및 정규 표현식을 포함한 애플리케이션 이름을 입력할 수 있습니다.

Note

Okta 리소스 세트를 사용하여 Okta 앱과 사용자 그룹을 필터링할 수도 있지만, 이는 글로빙과 정규 표현식을 지원하지 않습니다.

중첩된 접근 목록 처리#

Teleport에서 Okta로의 동기화#

Teleport에서 Okta로 중첩된 접근 목록을 동기화할 때 동기화기는 중첩된 접근 목록을 평탄화합니다.

예를 들어, 다음 Teleport 접근 목록 구조를 고려합니다:

접근 목록 A:
- 구성원: User1
- 중첩 구성원: 접근 목록 B
접근 목록 B:
- 구성원: User2, User3

이 구조는 Okta에서 다음과 같이 표현됩니다:

접근 목록 A에 대한 그룹/애플리케이션:
- 구성원: User1, User2, User3

Teleport 계층을 평탄화함으로써 모든 사용자는 Okta에서 루트 수준 접근 목록과 연관된 권한을 받습니다.

Okta에서 Teleport로의 동기화#

예를 들어, 이전 섹션의 접근 목록 A에 대한 다음 Okta 그룹/애플리케이션을 고려합니다:

접근 목록 A에 대한 Okta 그룹/애플리케이션:
- 구성원: User1, User2, User3, User4 (User4는 Okta에서 추가된 새 구성원)

동기화기는 다음 업데이트를 적용합니다:

접근 목록 A:
- 구성원: User1, User4
- 중첩 구성원: 접근 목록 B
접근 목록 B:
- 구성원: User2, User3

접근 목록 삭제#

Okta에서 동기화된 접근 목록은 Okta에서 할당된 구성원이 없거나 Okta에서 삭제될 때 자동으로 삭제됩니다.

Warning

동기화된 접근 목록 사용#

Okta 동기화된 접근 목록의 소유자는 실행 간에 유지됩니다.

Warning