가이드 Okta SSO 통합

요약

Teleport Okta SSO 통합을 사용하면 Teleport 사용자가 Okta를 ID 공급자로 사용하여 인증할 수 있습니다. 가이드 Okta 통합의 추가 구성 요소를 등록할 계획이 없는 경우 SSO 공급자로 Okta를 사용한 인증을 따라 Okta SSO 통합(인증 커넥터)만 설정할 수 있습니다.

Teleport Okta SSO 통합을 사용하면 Teleport 사용자가 Okta를 ID 공급자로 사용하여 인증할 수 있습니다. Okta SSO 통합의 가이드 등록 흐름은 가이드 Okta 통합의 일부입니다. 이 가이드는 가이드 Okta SSO 통합의 보조 가이드로, Okta 내에서 필요한 작업을 수행하는 방법을 보여줍니다.

가이드 Okta 통합의 추가 구성 요소를 등록할 계획이 없는 경우 SSO 공급자로 Okta를 사용한 인증을 따라 Okta SSO 통합(인증 커넥터)만 설정할 수 있습니다.

사전 요구사항#

A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

관리자 접근 권한이 있는 Okta 조직.

1/4단계. 인증 커넥터 선택#

Teleport 웹 UI를 방문하여 왼쪽 사이드바에서 Add New -> Integration으로 이동합니다.
Okta 타일을 선택합니다.
인증 커넥터 선택 보기에서 드롭다운 메뉴에서 기존 커넥터를 선택하거나 새 커넥터를 만드는 옵션을 선택합니다.

tctl 명령으로 기존 커넥터를 검사할 수 있습니다. 를 커넥터 이름으로 교체합니다.

$ tctl get saml/

기존 커넥터 중 하나의 이름이 okta인 경우 새 커넥터를 만드는 옵션이 없습니다. 통합으로 생성된 커넥터의 이름이 okta로 하드코딩되어 있기 때문입니다. okta라는 커넥터가 있고 다른 커넥터를 사용하려면 SSO 공급자로 Okta를 사용한 인증에 따라 수동으로 커넥터를 만들어야 합니다.

Note

이미 설정된 Okta 커넥터를 사용하는 경우 Okta 앱 설정을 건너뛰고 이 가이드의 다음 단계 섹션으로 이동할 수 있습니다.

2/4단계. Okta 앱 만들기 및 설정#

Okta 통합 네트워크 지원은 아직 베타 상태입니다. 확실하지 않은 경우 Custom SAML 2.0 앱으로 진행하십시오.

Okta 콘솔에서 애플리케이션으로 이동합니다.
앱 통합 만들기를 클릭합니다.
"SAML 2.0"을 선택하고 다음을 클릭합니다.
앱에 이름(예: "Teleport")을 지정하고 선택적으로 로고를 업로드한 다음 다음을 클릭합니다.
이렇게 하면 여러 값을 제공해야 하는 "SAML 설정" 단계로 이동합니다:
- 싱글 사인온 URL:
```
https:///v1/webapi/saml/acs/okta
```
- Audience URI (SP 엔티티 ID):
```
https:///v1/webapi/saml/acs/okta
```
- Name ID 형식 EmailAddress
- 애플리케이션 사용자 이름 Okta username
다음을 클릭합니다. 이렇게 하면 완료를 클릭하면 되는 "피드백" 단계로 이동합니다.
이제 새로 만든 SAML 앱 설정 화면의 로그인 탭에 있어야 합니다. 속성 명세까지 스크롤하고 표현식 추가를 클릭합니다. 아래와 같이 값을 입력하고 저장을 클릭합니다.
- 이름: groups
- 표현식: user.getGroups({'group.type': {'OKTA_GROUP', 'APP_GROUP', 'BUILT_IN'}}).![profile.name]
- 이름: username
- 표현식: user.profile.login

3/4단계. 사용자 그룹 할당#

같은 Okta Teleport 앱에서 할당 탭으로 이동하여 할당 드롭다운을 클릭합니다.
"그룹에 할당"을 선택하고 Teleport에 접근할 수 있는 구성원의 Okta 그룹을 검색합니다.
선택한 각 그룹 옆의 할당을 클릭하고 완료를 클릭합니다.

4/4단계. Okta 앱 메타데이터를 Teleport에 제공#

로그인 탭으로 이동하여 "메타데이터 URL"까지 스크롤합니다.
아래의 복사 버튼을 사용하여 메타데이터 URL을 복사합니다.
Teleport 웹 UI로 돌아가서 Okta SSO 커넥터 등록 흐름의 2단계 보기에 있는지 확인하고, 메타데이터 URL을 붙여넣은 다음 계속을 클릭합니다.

이 시점에서 Okta SSO 통합의 가이드 흐름을 완료했습니다. Okta 앱에 할당된 모든 사용자가 이제 Teleport에 로그인할 수 있습니다.

지원되는 기능#

기본적으로 Okta SSO 통합은 SP 시작 흐름을 지원합니다. IdP 시작 흐름을 활성화하려면 다음을 수행해야 합니다:

다음 명령으로 Okta SAML 커넥터를 편집합니다:
```
$ tctl edit saml/
```
편집기에서 spec.allow_idp_initiated를 true로 설정합니다.

SAML 속성 매핑#

SAML 어설션으로 전송된 모든 속성은 사용자의 외부 트레이트로 저장되며, RBAC 규칙을 구성하는 데 사용할 수 있습니다.

Teleport 역할 할당#

이 섹션에서는 Okta SSO 사용자에게 Teleport 역할을 할당하는 방법을 설명합니다.

접근 목록#

Okta SSO 사용자에게 Teleport 역할을 할당하는 기본 방법은 원하는 역할을 부여하는 접근 목록의 구성원으로 추가하는 것입니다. 접근 목록 구성원은 SSO 사용자가 생성되기 전(즉, 처음 로그인하기 전)에 만들 수 있습니다.

SAML 커넥터 속성-역할 매핑#

대안은 SAML 커넥터 속성-역할 매핑을 사용하는 것입니다. 매핑은 SAML 커넥터 리소스에 정의되며 웹 UI 또는 tctl로 편집할 수 있습니다.

웹 UI에서:

왼쪽 사이드바로 이동하여 Zero Trust Access 위에 커서를 올린 다음 Auth Connectors를 클릭합니다.
Okta SAML 커넥터 타일을 찾아 타일 오른쪽 상단의 세 점을 클릭하고 편집을 클릭합니다.

tctl 사용:

tctl edit saml/

아래 예제에는 2개의 매핑이 있습니다:

Everyone 값을 포함하는 groups 속성이 Teleport okta-requester 역할에 매핑됩니다.
okta-admin 값을 포함하는 groups 속성이 Teleport editor 역할에 매핑됩니다.

속성-역할 매핑이 최소 1개 필요하지만, 접근 관리에는 접근 목록을 사용하는 것을 권장합니다.

kind: saml
metadata:
  name: okta
spec:
  acs: https://teleport.example.com:443/v1/webapi/saml/acs/okta
  attributes_to_roles:
  - name: groups
    roles:
    - editor
    value: okta-admin
  - name: groups
    roles:
    - okta-requester
    value: Everyone
  audience: https://teleport.example.com:443/v1/webapi/saml/acs/okta
  cert: ""
  display: "Okta"
  entity_descriptor: ""
  entity_descriptor_url: https://example.okta.com/app/000000/sso/saml/metadata
  issuer: ""
  service_provider_issuer: https://teleport.example.com:443/v1/webapi/saml/acs/okta
  sso: ""
version: v2

다음 단계#

Okta SSO 통합의 가이드 등록 흐름을 완료한 후 두 가지 가이드 등록 흐름 중 하나로 진행할 수 있습니다:

Okta 통합 및 관리 방법에 대한 자세한 내용은 Teleport Okta 통합 개요 페이지를 참조하십시오.

가이드 Okta SSO 통합

원문 보기

번역일: 2026-05-14

요약

가이드 Okta 통합의 추가 구성 요소를 등록할 계획이 없는 경우 SSO 공급자로 Okta를 사용한 인증을 따라 Okta SSO 통합(인증 커넥터)만 설정할 수 있습니다.

사전 요구사항#

A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

관리자 접근 권한이 있는 Okta 조직.

1/4단계. 인증 커넥터 선택#

Teleport 웹 UI를 방문하여 왼쪽 사이드바에서 Add New -> Integration으로 이동합니다.
Okta 타일을 선택합니다.
인증 커넥터 선택 보기에서 드롭다운 메뉴에서 기존 커넥터를 선택하거나 새 커넥터를 만드는 옵션을 선택합니다.

tctl 명령으로 기존 커넥터를 검사할 수 있습니다. 를 커넥터 이름으로 교체합니다.

$ tctl get saml/

Note

이미 설정된 Okta 커넥터를 사용하는 경우 Okta 앱 설정을 건너뛰고 이 가이드의 다음 단계 섹션으로 이동할 수 있습니다.

2/4단계. Okta 앱 만들기 및 설정#

Okta 통합 네트워크 지원은 아직 베타 상태입니다. 확실하지 않은 경우 Custom SAML 2.0 앱으로 진행하십시오.

Okta 콘솔에서 애플리케이션으로 이동합니다.
앱 통합 만들기를 클릭합니다.
"SAML 2.0"을 선택하고 다음을 클릭합니다.
앱에 이름(예: "Teleport")을 지정하고 선택적으로 로고를 업로드한 다음 다음을 클릭합니다.
이렇게 하면 여러 값을 제공해야 하는 "SAML 설정" 단계로 이동합니다:
- 싱글 사인온 URL:
```
https:///v1/webapi/saml/acs/okta
```
- Audience URI (SP 엔티티 ID):
```
https:///v1/webapi/saml/acs/okta
```
- Name ID 형식 EmailAddress
- 애플리케이션 사용자 이름 Okta username
다음을 클릭합니다. 이렇게 하면 완료를 클릭하면 되는 "피드백" 단계로 이동합니다.
이제 새로 만든 SAML 앱 설정 화면의 로그인 탭에 있어야 합니다. 속성 명세까지 스크롤하고 표현식 추가를 클릭합니다. 아래와 같이 값을 입력하고 저장을 클릭합니다.
- 이름: groups
- 표현식: user.getGroups({'group.type': {'OKTA_GROUP', 'APP_GROUP', 'BUILT_IN'}}).![profile.name]
- 이름: username
- 표현식: user.profile.login

3/4단계. 사용자 그룹 할당#

같은 Okta Teleport 앱에서 할당 탭으로 이동하여 할당 드롭다운을 클릭합니다.
"그룹에 할당"을 선택하고 Teleport에 접근할 수 있는 구성원의 Okta 그룹을 검색합니다.
선택한 각 그룹 옆의 할당을 클릭하고 완료를 클릭합니다.

4/4단계. Okta 앱 메타데이터를 Teleport에 제공#

로그인 탭으로 이동하여 "메타데이터 URL"까지 스크롤합니다.
아래의 복사 버튼을 사용하여 메타데이터 URL을 복사합니다.
Teleport 웹 UI로 돌아가서 Okta SSO 커넥터 등록 흐름의 2단계 보기에 있는지 확인하고, 메타데이터 URL을 붙여넣은 다음 계속을 클릭합니다.

이 시점에서 Okta SSO 통합의 가이드 흐름을 완료했습니다. Okta 앱에 할당된 모든 사용자가 이제 Teleport에 로그인할 수 있습니다.

지원되는 기능#

기본적으로 Okta SSO 통합은 SP 시작 흐름을 지원합니다. IdP 시작 흐름을 활성화하려면 다음을 수행해야 합니다:

다음 명령으로 Okta SAML 커넥터를 편집합니다:
```
$ tctl edit saml/
```
편집기에서 spec.allow_idp_initiated를 true로 설정합니다.

SAML 속성 매핑#

SAML 어설션으로 전송된 모든 속성은 사용자의 외부 트레이트로 저장되며, RBAC 규칙을 구성하는 데 사용할 수 있습니다.

Teleport 역할 할당#

이 섹션에서는 Okta SSO 사용자에게 Teleport 역할을 할당하는 방법을 설명합니다.

접근 목록#

SAML 커넥터 속성-역할 매핑#

대안은 SAML 커넥터 속성-역할 매핑을 사용하는 것입니다. 매핑은 SAML 커넥터 리소스에 정의되며 웹 UI 또는 tctl로 편집할 수 있습니다.

웹 UI에서:

왼쪽 사이드바로 이동하여 Zero Trust Access 위에 커서를 올린 다음 Auth Connectors를 클릭합니다.
Okta SAML 커넥터 타일을 찾아 타일 오른쪽 상단의 세 점을 클릭하고 편집을 클릭합니다.

tctl 사용:

tctl edit saml/

아래 예제에는 2개의 매핑이 있습니다:

Everyone 값을 포함하는 groups 속성이 Teleport okta-requester 역할에 매핑됩니다.
okta-admin 값을 포함하는 groups 속성이 Teleport editor 역할에 매핑됩니다.

속성-역할 매핑이 최소 1개 필요하지만, 접근 관리에는 접근 목록을 사용하는 것을 권장합니다.

kind: saml
metadata:
  name: okta
spec:
  acs: https://teleport.example.com:443/v1/webapi/saml/acs/okta
  attributes_to_roles:
  - name: groups
    roles:
    - editor
    value: okta-admin
  - name: groups
    roles:
    - okta-requester
    value: Everyone
  audience: https://teleport.example.com:443/v1/webapi/saml/acs/okta
  cert: ""
  display: "Okta"
  entity_descriptor: ""
  entity_descriptor_url: https://example.okta.com/app/000000/sso/saml/metadata
  issuer: ""
  service_provider_issuer: https://teleport.example.com:443/v1/webapi/saml/acs/okta
  sso: ""
version: v2

다음 단계#

Okta SSO 통합의 가이드 등록 흐름을 완료한 후 두 가지 가이드 등록 흐름 중 하나로 진행할 수 있습니다:

Okta 통합 및 관리 방법에 대한 자세한 내용은 Teleport Okta 통합 개요 페이지를 참조하십시오.