InfoGrab Docs

Okta SCIM 통합

요약

SCIM(도메인 간 ID 관리 시스템) 통합은 자동화된 사용자 관리를 활성화하여 Teleport의 사용자 계정이 해당 Okta 사용자 프로필과 동기화되도록 합니다. Teleport SCIM 통합을 통해 관리자는 Okta에서 사용자가 프로비저닝 해제될 때 Teleport에서 즉시 사용자를 잠글 수 있어 보안 및 규정 준수를 유지하기 위해 모든 진행 중인 사용자 Teleport 세션을 중지합니다.

SCIM(도메인 간 ID 관리 시스템) 통합은 자동화된 사용자 관리를 활성화하여 Teleport의 사용자 계정이 해당 Okta 사용자 프로필과 동기화되도록 합니다. 이 통합은 Okta 조직 내의 변경 사항에 응하여 Teleport 사용자 계정을 자동으로 생성, 업데이트 및 삭제함으로써 온보딩 및 오프보딩 프로세스를 간소화합니다.

Teleport SCIM 통합을 통해 관리자는 Okta에서 사용자가 프로비저닝 해제될 때 Teleport에서 즉시 사용자를 잠글 수 있어 보안 및 규정 준수를 유지하기 위해 모든 진행 중인 사용자 Teleport 세션을 중지합니다.

작동 방식#

SCIM을 사용한 사용자 프로비저닝(및 프로비저닝 해제)에는 두 가지 Teleport 구성 요소가 함께 작동해야 합니다:

  • 업스트림 Okta 사용자를 위한 Teleport SSO 로그인을 제공하는 SAML 커넥터
  • 업스트림 Okta 조직의 변경 사항에 응하여 Teleport 사용자 계정을 프로비저닝하고 프로비저닝 해제하는 Teleport SCIM 플러그인 통합

이 두 Teleport 구성 요소 모두 Teleport와 Okta 간의 인터페이스 역할을 하는 Okta SAML 애플리케이션에 의존합니다. 일관성을 위해 두 Teleport 구성 요소 모두 동일한 Okta 애플리케이션을 사용해야 합니다.

사용자가 직접 또는 그룹 구성원을 통해 Okta 앱에 할당되면 해당 Teleport 사용자 계정이 생성됩니다. Okta 사용자가 이미 유효한 임시 Teleport SAML 사용자 계정(즉, SCIM 프로비저닝이 활성화되기 전에 SAML SSO를 통해 클러스터에 로그인한 경우)이 있는 경우, 임시 계정은 SAML 통합에 의해 자동으로 채택되어 장기 SCIM 관리 계정으로 승격됩니다.

Note

현재 SCIM 사용자 프로필 특성은 Teleport 사용자에 저장되지 않지만, 향후 변경될 수 있습니다.

사용자가 Okta 앱에서 할당 해제되거나 Okta 관리자에 의해 비활성화되면, Teleport는 해당 사용자를 즉시 삭제하고 기존 세션을 즉시 종료하고 이미 발급된 자격 증명을 재사용하지 못하도록 하는 잠금을 생성합니다. 이 잠금은 사용자가 이후에 SCIM을 통해 다시 프로비저닝되면 자동으로 취소되며, 그렇지 않으면 잠금이 영구적으로 유지되어 제거하려면 명시적으로 삭제해야 합니다.

Warning

Okta는 사용자가 일시 중단될 때 Teleport에 SCIM 업데이트를 보내지 않습니다. Okta가 일시 중단된 사용자가 클러스터에 다시 로그인하는 것을 방지하더라도 기존 세션은 종료되지 않으며 사전 발급된 자격 증명은 정상 수명 동안 유효합니다.

사전 요구사항#

  • A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

  • 계정에 Teleport Identity Governance가 활성화되어 있어야 합니다.

  • Okta 인증 커넥터.

    Warning

가이드 SCIM 통합 흐름을 따르기 전에 가이드 Okta 싱글 사인온 흐름을 완료해야 합니다.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

Note

SCIM 없이 가이드 사용자 동기화 통합을 설정하려면 가이드 SCIM 통합 흐름을 건너뛸 수 있습니다. 나중에 통합 상태 페이지에서 SCIM을 활성화할 수 있습니다.

1/3단계. Okta에서 SCIM 활성화#

  1. Teleport 웹 UI의 Okta 관리 콘솔에서 SCIM 설정 보기에서 1단계의 지침을 따릅니다. Okta에서 애플리케이션에 SCIM이 활성화된 것을 볼 수 있습니다:

    SCIM 활성화

  2. Okta에서 SAML 애플리케이션 설정 메뉴를 보고 저장을 클릭합니다.

2/3단계. Okta에서 SCIM 세부 정보 설정#

  1. Okta에서 SAML 애플리케이션 설정 메뉴를 보고 프로비저닝 탭으로 이동합니다.

  2. Teleport 웹 UI로 이동합니다. Okta 관리 콘솔에서 SCIM 설정 보기에서 2단계에 제공된 값을 Okta의 SCIM 연결 메뉴에 복사합니다:

    Okta 등록: SCIM - 설정

  3. Teleport 웹 UI로 이동합니다. Okta 관리 콘솔에서 SCIM 설정 보기에서 SCIM 설정 저장을 클릭합니다.

  4. Okta에서 커넥터 설정 테스트를 클릭하여 모든 세부 정보가 올바르게 설정되었는지 확인한 다음 저장을 클릭합니다.

3/3단계. Okta에서 SCIM 프로비저닝 권한 설정#

  1. Okta에서 SAML 애플리케이션 설정 메뉴를 보고 프로비저닝 탭을 보고 있는지 확인합니다. 왼쪽 사이드바에서 앱으로를 탐색합니다.

  2. 다음 항목에 활성화가 체크되어 있는지 확인합니다:

    • 사용자 생성
    • 사용자 속성 업데이트
    • 사용자 비활성화

    Okta에서 다음 설정이 선택된 것이 보여야 합니다:

    SCIM 프로비저닝 설정

  3. Teleport 웹 UI로 돌아갑니다. Okta 관리 콘솔에서 SCIM 설정 보기가 표시되어야 합니다. 계속을 클릭하여 SCIM 통합 설정을 완료합니다.

소급 사용자 프로비저닝#

SCIM 프로비저닝이 활성화되기 전에 Okta 앱에 Teleport에 할당된 사용자가 있는 경우 명시적으로 프로비저닝을 트리거해야 합니다. Okta 앱 할당 페이지의 사용자 프로비저닝 버튼을 선택하여 이 작업을 수행할 수 있습니다.

기존 사용자 프로비저닝

Okta 인스턴스에 사용자 프로비저닝 버튼이 없는 경우 앱에서 사용자를 제거하고 다시 추가하여 사용자 프로비저닝을 강제 실행할 수 있습니다.

Teleport에서 프로필 데이터 숨기기#

Teleport 클러스터와 공유하고 싶지 않은 Okta 사용자 프로필 데이터가 있는 경우 Okta 애플리케이션 사용자 프로필을 편집하여 Teleport에 전체 사용자 프로필의 하위 집합 및/또는 매핑된 버전을 제공할 수 있습니다.

다음 단계#

Okta SCIM 통합의 가이드 등록 흐름을 완료한 후 Okta 사용자 동기화 통합으로 진행할 수 있습니다.

Okta SCIM 통합

원문 보기
요약

SCIM(도메인 간 ID 관리 시스템) 통합은 자동화된 사용자 관리를 활성화하여 Teleport의 사용자 계정이 해당 Okta 사용자 프로필과 동기화되도록 합니다. Teleport SCIM 통합을 통해 관리자는 Okta에서 사용자가 프로비저닝 해제될 때 Teleport에서 즉시 사용자를 잠글 수 있어 보안 및 규정 준수를 유지하기 위해 모든 진행 중인 사용자 Teleport 세션을 중지합니다.

SCIM(도메인 간 ID 관리 시스템) 통합은 자동화된 사용자 관리를 활성화하여 Teleport의 사용자 계정이 해당 Okta 사용자 프로필과 동기화되도록 합니다. 이 통합은 Okta 조직 내의 변경 사항에 응하여 Teleport 사용자 계정을 자동으로 생성, 업데이트 및 삭제함으로써 온보딩 및 오프보딩 프로세스를 간소화합니다.

Teleport SCIM 통합을 통해 관리자는 Okta에서 사용자가 프로비저닝 해제될 때 Teleport에서 즉시 사용자를 잠글 수 있어 보안 및 규정 준수를 유지하기 위해 모든 진행 중인 사용자 Teleport 세션을 중지합니다.

작동 방식#

SCIM을 사용한 사용자 프로비저닝(및 프로비저닝 해제)에는 두 가지 Teleport 구성 요소가 함께 작동해야 합니다:

  • 업스트림 Okta 사용자를 위한 Teleport SSO 로그인을 제공하는 SAML 커넥터
  • 업스트림 Okta 조직의 변경 사항에 응하여 Teleport 사용자 계정을 프로비저닝하고 프로비저닝 해제하는 Teleport SCIM 플러그인 통합

이 두 Teleport 구성 요소 모두 Teleport와 Okta 간의 인터페이스 역할을 하는 Okta SAML 애플리케이션에 의존합니다. 일관성을 위해 두 Teleport 구성 요소 모두 동일한 Okta 애플리케이션을 사용해야 합니다.

사용자가 직접 또는 그룹 구성원을 통해 Okta 앱에 할당되면 해당 Teleport 사용자 계정이 생성됩니다. Okta 사용자가 이미 유효한 임시 Teleport SAML 사용자 계정(즉, SCIM 프로비저닝이 활성화되기 전에 SAML SSO를 통해 클러스터에 로그인한 경우)이 있는 경우, 임시 계정은 SAML 통합에 의해 자동으로 채택되어 장기 SCIM 관리 계정으로 승격됩니다.

Note

현재 SCIM 사용자 프로필 특성은 Teleport 사용자에 저장되지 않지만, 향후 변경될 수 있습니다.

사용자가 Okta 앱에서 할당 해제되거나 Okta 관리자에 의해 비활성화되면, Teleport는 해당 사용자를 즉시 삭제하고 기존 세션을 즉시 종료하고 이미 발급된 자격 증명을 재사용하지 못하도록 하는 잠금을 생성합니다. 이 잠금은 사용자가 이후에 SCIM을 통해 다시 프로비저닝되면 자동으로 취소되며, 그렇지 않으면 잠금이 영구적으로 유지되어 제거하려면 명시적으로 삭제해야 합니다.

Warning

Okta는 사용자가 일시 중단될 때 Teleport에 SCIM 업데이트를 보내지 않습니다. Okta가 일시 중단된 사용자가 클러스터에 다시 로그인하는 것을 방지하더라도 기존 세션은 종료되지 않으며 사전 발급된 자격 증명은 정상 수명 동안 유효합니다.

사전 요구사항#

  • A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

  • 계정에 Teleport Identity Governance가 활성화되어 있어야 합니다.

  • Okta 인증 커넥터.

    Warning

가이드 SCIM 통합 흐름을 따르기 전에 가이드 Okta 싱글 사인온 흐름을 완료해야 합니다.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

Note

SCIM 없이 가이드 사용자 동기화 통합을 설정하려면 가이드 SCIM 통합 흐름을 건너뛸 수 있습니다. 나중에 통합 상태 페이지에서 SCIM을 활성화할 수 있습니다.

1/3단계. Okta에서 SCIM 활성화#

  1. Teleport 웹 UI의 Okta 관리 콘솔에서 SCIM 설정 보기에서 1단계의 지침을 따릅니다. Okta에서 애플리케이션에 SCIM이 활성화된 것을 볼 수 있습니다:

    SCIM 활성화

  2. Okta에서 SAML 애플리케이션 설정 메뉴를 보고 저장을 클릭합니다.

2/3단계. Okta에서 SCIM 세부 정보 설정#

  1. Okta에서 SAML 애플리케이션 설정 메뉴를 보고 프로비저닝 탭으로 이동합니다.

  2. Teleport 웹 UI로 이동합니다. Okta 관리 콘솔에서 SCIM 설정 보기에서 2단계에 제공된 값을 Okta의 SCIM 연결 메뉴에 복사합니다:

    Okta 등록: SCIM - 설정

  3. Teleport 웹 UI로 이동합니다. Okta 관리 콘솔에서 SCIM 설정 보기에서 SCIM 설정 저장을 클릭합니다.

  4. Okta에서 커넥터 설정 테스트를 클릭하여 모든 세부 정보가 올바르게 설정되었는지 확인한 다음 저장을 클릭합니다.

3/3단계. Okta에서 SCIM 프로비저닝 권한 설정#

  1. Okta에서 SAML 애플리케이션 설정 메뉴를 보고 프로비저닝 탭을 보고 있는지 확인합니다. 왼쪽 사이드바에서 앱으로를 탐색합니다.

  2. 다음 항목에 활성화가 체크되어 있는지 확인합니다:

    • 사용자 생성
    • 사용자 속성 업데이트
    • 사용자 비활성화

    Okta에서 다음 설정이 선택된 것이 보여야 합니다:

    SCIM 프로비저닝 설정

  3. Teleport 웹 UI로 돌아갑니다. Okta 관리 콘솔에서 SCIM 설정 보기가 표시되어야 합니다. 계속을 클릭하여 SCIM 통합 설정을 완료합니다.

소급 사용자 프로비저닝#

SCIM 프로비저닝이 활성화되기 전에 Okta 앱에 Teleport에 할당된 사용자가 있는 경우 명시적으로 프로비저닝을 트리거해야 합니다. Okta 앱 할당 페이지의 사용자 프로비저닝 버튼을 선택하여 이 작업을 수행할 수 있습니다.

기존 사용자 프로비저닝

Okta 인스턴스에 사용자 프로비저닝 버튼이 없는 경우 앱에서 사용자를 제거하고 다시 추가하여 사용자 프로비저닝을 강제 실행할 수 있습니다.

Teleport에서 프로필 데이터 숨기기#

Teleport 클러스터와 공유하고 싶지 않은 Okta 사용자 프로필 데이터가 있는 경우 Okta 애플리케이션 사용자 프로필을 편집하여 Teleport에 전체 사용자 프로필의 하위 집합 및/또는 매핑된 버전을 제공할 수 있습니다.

다음 단계#

Okta SCIM 통합의 가이드 등록 흐름을 완료한 후 Okta 사용자 동기화 통합으로 진행할 수 있습니다.