Teleport Identity Security로 Okta 접근 패턴 탐색

요약

Teleport Identity Security를 사용하여 Okta 조직 내 접근 패턴을 이해하세요. Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

Teleport Identity Security를 사용하여 Okta 조직 내 접근 패턴을 이해하세요. 사용자, 그룹, 애플리케이션, 역할, 역할 할당, API 토큰을 스캔하여 Teleport는 Okta 환경 내 권한 모델을 이해하고 강화하는 데 도움이 되는 시각적 표현을 제공합니다. 또한 Teleport Identity Security는 감사 및 조사를 위해 Identity Activity Center를 통해 Okta 시스템 로그를 스트리밍합니다. 이 기능을 통해 다음과 같은 질문에 답할 수 있습니다:

특정 사용자가 접근할 수 있는 애플리케이션은 무엇인가?
Okta 조직에서 관리자 역할을 가진 사람은 누구인가?
어떤 API 토큰이 존재하며 누가 소유하고 있는가?
최근에 어떤 관리 작업이 수행되었는가?
업스트림 IDP가 침해되고 있는가, 의심스러운 로그인 패턴이 있는가?

Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

To verify that Access Graph is set up correctly for your cluster, sign in to the Teleport Web UI, click the Identity Security sidebar button, and then the Browse menu item. Identities, resources, etc. should be listed.

작동 방식#

Access Graph는 Okta 리소스를 Teleport 리소스와 동기화하고 Identity Security 사용 페이지에서 자세히 설명된 그래프 표현을 사용하여 그 관계를 시각화합니다. Teleport Identity Activity Center는 Okta 시스템 로그를 캡처하여 Okta 조직 내 사용자 활동 및 관리 작업을 조사할 수 있습니다.

가져오기 과정은 세 가지 구성 요소로 이루어집니다:

Okta API 폴링#

Access Graph와 Identity Activity Center는 구성된 Okta 조직을 주기적으로 스캔하고 다음 리소스를 검색합니다:

사용자
그룹
애플리케이션
역할
역할 할당
API 토큰

기본 폴링 간격은 30분(구성 가능)입니다. 모든 리소스가 가져와지면 Teleport는 이를 Access Graph에 푸시하여 Okta 조직의 최신 정보로 업데이트된 상태를 유지합니다.

리소스 가져오기#

Access Graph는 가져온 리소스 간의 관계를 매핑합니다. 여기에는 다음이 포함됩니다:

사용자-그룹 멤버십
사용자-애플리케이션 할당
사용자를 관리자 및 사용자 지정 역할에 연결하는 역할 할당

이러한 관계는 탐색 가능한 그래프로 렌더링되어 모든 아이덴티티에서 접근할 수 있는 리소스까지의 접근 경로를 추적할 수 있습니다.

Okta 감사 로그 스트리밍#

Identity Activity Center는 분 단위로 Okta 시스템 로그 API를 폴링하여 감사 이벤트를 검색합니다.

캡처되는 이벤트 유형에는 다음이 포함됩니다:

인증 이벤트 (로그인, MFA 챌린지, 세션 시작)
관리 작업 (사용자 라이프사이클 변경, 역할 할당, 정책 수정)
애플리케이션 접근 이벤트
보안 이벤트 (의심스러운 활동, 잠긴 계정, 비밀번호 재설정)

사전 조건#

실행 중인 Teleport Enterprise 클러스터 v16.0.0 이상.
계정에 Identity Security가 활성화되어 있어야 합니다.
다음 중 하나를 사용하는 Okta 조직:
- 사용자, 그룹, 애플리케이션, 역할, 시스템 로그에 대한 읽기 접근 권한이 있는 API 토큰 (SSWS).
- 필요한 범위를 가진 OAuth 2.0 애플리케이션 (1단계 참조).
셀프 호스팅 클러스터의 경우:
- Auth Service 구성에 최신 license.pem이 사용되고 있는지 확인합니다.
- 실행 중인 Access Graph 노드 v1.24.0 이상. Access Graph 설정 방법은 Identity Security 페이지를 참조하세요.
- Access Graph 서비스를 실행하는 노드는 Teleport Auth Service에서 접근할 수 있어야 합니다.

Tip

이미 Identity Governance를 통해 Okta 통합이 구성된 경우 새로운 통합을 만들지 않고도 기존 통합에서 Identity Security 기능을 활성화할 수 있습니다. 자세한 내용은 2단계를 참조하세요.

1단계/4단계. Okta API 자격 증명 구성#

Teleport는 Okta API에 연결하기 위한 두 가지 인증 방법을 지원합니다. SSWS 베어러 토큰 또는 OAuth 2.0 클라이언트 자격 증명을 사용할 수 있습니다.

옵션 A: SSWS 베어러 토큰#

Okta 관리 콘솔에서 Security > API > Tokens로 이동합니다.
Create Token을 클릭하고 설명적인 이름을 지정합니다(예: Teleport Identity Security).
생성된 토큰 값을 복사합니다. 2단계에서 필요합니다.

Warning

토큰은 토큰을 만드는 관리자의 권한을 상속합니다. 관리자 계정에 사용자, 그룹, 애플리케이션, 역할, 시스템 로그에 대한 읽기 접근 권한이 있는지 확인합니다. Read-Only Administrator 역할 또는 동등한 읽기 권한이 있는 사용자 지정 관리자 역할을 가진 서비스 계정을 사용합니다.

옵션 B: OAuth 2.0 클라이언트 자격 증명#

Okta 관리 콘솔에서 Applications > Applications로 이동합니다.
Create App Integration을 클릭하고 API Services를 선택합니다.
애플리케이션에 필요한 OAuth 범위를 할당합니다:
- okta.users.read
- okta.groups.read
- okta.apps.read
- okta.roles.read
- okta.logs.read
Client ID를 기록합니다. 2단계에서 필요합니다.

2단계/4단계. Okta 통합 설정#

이 단계에서는 Teleport에서 통합을 설정합니다. Teleport는 포괄적인 Okta 통합을 제공하며 이 온보딩 마법사의 일부로 팀은 Identity Security 기능을 활성화하도록 선택할 수 있습니다.

새 통합#

Identity Security로 새 Okta 통합을 만들려면:

Teleport Web UI에서 Identity Security 사이드바 버튼을 클릭한 다음 Integrations를 클릭합니다.
Setup new integration을 클릭하고 Okta를 선택합니다.
설정 마법사를 따릅니다:
- Okta 조직 URL을 입력합니다(예: https://your-org.okta.com).
- 1단계에서 구성한 API 자격 증명을 제공합니다(SSWS 토큰 또는 OAuth 클라이언트 ID).
- 원하는 Identity Security 기능을 활성화합니다: 리소스 스캔 및/또는 시스템 로그 내보내기.
자격 증명이 검증되면 통합이 리소스 동기화를 시작합니다.

Okta Integration Overview showing Identity Security Sync enabled

기존 통합#

Identity Governance를 통해 이미 Okta 통합이 구성된 경우:

Okta 통합 상태 페이지로 이동합니다(Identity Governance > Integrations > Okta 행 클릭).
상태 페이지에서 Identity Security 옵션(리소스 스캔 및 시스템 로그 내보내기)을 활성화합니다.

SSO, SCIM, 사용자 동기화, 애플리케이션/그룹 동기화 설정에 대한 자세한 내용은 Identity Governance Okta 통합 가이드를 참조하세요.

3단계/4단계. Access Graph에서 Okta 리소스 보기#

초기 동기화가 완료되면 Okta 리소스가 Access Graph의 노드로 나타납니다. Teleport Web UI에서 Identity Security > Browse로 이동하여 탐색할 수 있습니다.

그래프 탐색#

그래프 상단의 검색 바를 사용하여 이름으로 특정 Okta 그룹, 사용자 또는 애플리케이션을 찾습니다. 노드를 클릭하면 세부 정보를 보여주는 사이드 패널이 열립니다:

Okta 그룹 노드는 그룹의 멤버, 소유자, 감사 일정을 표시합니다. Permissions & Eligibility 탭을 선택하여 그룹이 부여하는 Teleport 역할을 확인합니다.
Okta 사용자 노드는 사용자의 그룹 멤버십 및 애플리케이션 할당을 표시합니다. View Access를 클릭하여 사용자에서 그룹과 역할을 통해 접근할 수 있는 리소스까지의 전체 접근 경로를 추적합니다.
Browse Connections는 선택된 노드 주변의 그래프를 확장하여 관련 아이덴티티와 리소스를 보여줍니다.

SQL 쿼리#

Graph Explorer 쿼리 바에서 SQL 쿼리를 실행하여 특정 정보를 가져올 수 있습니다. Okta 리소스에는 teleport.dev/origin: okta 태그가 지정되어 있어 결과를 필터링하는 데 사용할 수 있습니다.

다음 쿼리에서 자리 표시자 값을 직접 값으로 교체합니다:

자리 표시자	설명
	Okta 조직 서브도메인 (예: `acme.okta.com`의 경우 `acme`)
	조회할 Okta 사용자 이름
	Okta 애플리케이션 이름
	Okta 그룹 이름

모든 Okta 리소스 표시#

SELECT * FROM nodes WHERE labels @> '{"teleport.dev/origin": "okta"}';

특정 조직의 모든 Okta 리소스 표시#

SELECT * FROM nodes WHERE labels @> '{"okta/org": "https://.okta.com"}';

Okta 사용자의 모든 접근 경로 가져오기#

SELECT * FROM access_path WHERE identity = '' AND kind = 'ALLOWED';

Okta 애플리케이션에 접근할 수 있는 모든 사용자 가져오기#

SELECT * FROM access_path WHERE resource = '' AND resource_labels @> '{"teleport.dev/origin": "okta"}';

Okta 그룹의 모든 멤버 가져오기#

SELECT * FROM access_path WHERE resource = '' AND resource_labels @> '{"teleport.dev/origin": "okta"}';

상시 권한이 있는 Okta 사용자 찾기#

SELECT * FROM access_path WHERE standing_privileges >= 1 AND resource_labels @> '{"teleport.dev/origin": "okta"}';

Running an Okta query in the SQL Editor

4단계/4단계. Identity Activity Center에서 Okta 활동 보기#

시스템 로그 내보내기를 활성화하면 Okta 감사 이벤트가 Identity Activity Center에 표시됩니다. Teleport Web UI에서 Identity Security > Activity Center로 이동하여 다른 연결된 플랫폼의 활동과 함께 Okta 시스템 로그 이벤트를 검색하고 조사합니다.

Identity Activity Center는 AWS, GitHub, Teleport의 감사 데이터와 함께 Okta 시스템 로그를 정규화하여 조직 전반의 아이덴티티 활동에 대한 단일 뷰를 제공합니다. Investigate 뷰를 사용하여 관련 이벤트를 탐색하고 특정 아이덴티티에 대한 플랫폼 전반의 활동을 추적합니다.

Investigating Okta audit logs in the Identity Activity Center

알림#

Teleport Identity Security에는 의심스러운 Okta 활동에 대해 자동으로 알림을 만드는 사전 구축된 보안 탐지가 포함되어 있습니다. 이러한 탐지는 Okta 시스템 로그 이벤트를 모니터링하고 추가 구성 없이 알림을 트리거합니다.

Okta alerts in Identity Security

문제 해결#

Okta 통합을 설정한 후 Identity Security Integrations 페이지에서 동기화 상태를 모니터링할 수 있습니다. 가져오기가 실패하면 오류 메시지가 문제를 식별하는 데 도움이 됩니다.

인증 오류#

Unauthorized 또는 403 Forbidden 오류가 표시되는 경우:

SSWS 토큰: 토큰이 만료되지 않았는지 확인하고 생성 관리자에게 충분한 권한이 있는지 확인합니다. 필요한 경우 새 토큰을 만들고 통합 설정을 업데이트합니다.
OAuth 앱: 클라이언트 ID가 올바른지 확인하고 애플리케이션에 필요한 범위가 할당되어 있는지 확인합니다.

시스템 로그 내보내기 문제#

Identity Activity Center에 시스템 로그 이벤트가 표시되지 않는 경우:

통합에서 시스템 로그 내보내기 토글이 활성화되어 있는지 확인합니다.
API 자격 증명에 시스템 로그에 대한 읽기 접근 권한이 있는지 확인합니다(okta.logs.read 범위 또는 동등한 관리자 권한).
Okta 조직에서 시스템 로그 API가 활성화되어 있는지 확인합니다.

연결 문제#

Teleport 클러스터가 HTTPS를 통해 Okta 조직 URL에 접근할 수 있는지 확인합니다. 셀프 호스팅 클러스터의 경우 네트워크 정책과 방화벽이 *.okta.com 또는 사용자 지정 Okta 도메인으로의 아웃바운드 연결을 허용하는지 확인합니다.

일반 문제 해결#

Identity Security Integrations 페이지에서 오류 로그를 검사하여 자세한 오류 메시지를 확인합니다. 문제가 지속되면 추가 컨텍스트를 위해 Teleport Auth Service 로그를 확인합니다.

Teleport Identity Security로 Okta 접근 패턴 탐색

원문 보기

번역일: 2026-03-14

요약

특정 사용자가 접근할 수 있는 애플리케이션은 무엇인가?
Okta 조직에서 관리자 역할을 가진 사람은 누구인가?
어떤 API 토큰이 존재하며 누가 소유하고 있는가?
최근에 어떤 관리 작업이 수행되었는가?
업스트림 IDP가 침해되고 있는가, 의심스러운 로그인 패턴이 있는가?

Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

작동 방식#

가져오기 과정은 세 가지 구성 요소로 이루어집니다:

Okta API 폴링#

Access Graph와 Identity Activity Center는 구성된 Okta 조직을 주기적으로 스캔하고 다음 리소스를 검색합니다:

사용자
그룹
애플리케이션
역할
역할 할당
API 토큰

리소스 가져오기#

Access Graph는 가져온 리소스 간의 관계를 매핑합니다. 여기에는 다음이 포함됩니다:

사용자-그룹 멤버십
사용자-애플리케이션 할당
사용자를 관리자 및 사용자 지정 역할에 연결하는 역할 할당

이러한 관계는 탐색 가능한 그래프로 렌더링되어 모든 아이덴티티에서 접근할 수 있는 리소스까지의 접근 경로를 추적할 수 있습니다.

Okta 감사 로그 스트리밍#

Identity Activity Center는 분 단위로 Okta 시스템 로그 API를 폴링하여 감사 이벤트를 검색합니다.

캡처되는 이벤트 유형에는 다음이 포함됩니다:

인증 이벤트 (로그인, MFA 챌린지, 세션 시작)
관리 작업 (사용자 라이프사이클 변경, 역할 할당, 정책 수정)
애플리케이션 접근 이벤트
보안 이벤트 (의심스러운 활동, 잠긴 계정, 비밀번호 재설정)

사전 조건#

실행 중인 Teleport Enterprise 클러스터 v16.0.0 이상.
계정에 Identity Security가 활성화되어 있어야 합니다.
다음 중 하나를 사용하는 Okta 조직:
- 사용자, 그룹, 애플리케이션, 역할, 시스템 로그에 대한 읽기 접근 권한이 있는 API 토큰 (SSWS).
- 필요한 범위를 가진 OAuth 2.0 애플리케이션 (1단계 참조).
셀프 호스팅 클러스터의 경우:
- Auth Service 구성에 최신 license.pem이 사용되고 있는지 확인합니다.
- 실행 중인 Access Graph 노드 v1.24.0 이상. Access Graph 설정 방법은 Identity Security 페이지를 참조하세요.
- Access Graph 서비스를 실행하는 노드는 Teleport Auth Service에서 접근할 수 있어야 합니다.

Tip

1단계/4단계. Okta API 자격 증명 구성#

Teleport는 Okta API에 연결하기 위한 두 가지 인증 방법을 지원합니다. SSWS 베어러 토큰 또는 OAuth 2.0 클라이언트 자격 증명을 사용할 수 있습니다.

옵션 A: SSWS 베어러 토큰#

Okta 관리 콘솔에서 Security > API > Tokens로 이동합니다.
Create Token을 클릭하고 설명적인 이름을 지정합니다(예: Teleport Identity Security).
생성된 토큰 값을 복사합니다. 2단계에서 필요합니다.

Warning

옵션 B: OAuth 2.0 클라이언트 자격 증명#

Okta 관리 콘솔에서 Applications > Applications로 이동합니다.
Create App Integration을 클릭하고 API Services를 선택합니다.
애플리케이션에 필요한 OAuth 범위를 할당합니다:
- okta.users.read
- okta.groups.read
- okta.apps.read
- okta.roles.read
- okta.logs.read
Client ID를 기록합니다. 2단계에서 필요합니다.

2단계/4단계. Okta 통합 설정#

새 통합#

Identity Security로 새 Okta 통합을 만들려면:

Teleport Web UI에서 Identity Security 사이드바 버튼을 클릭한 다음 Integrations를 클릭합니다.
Setup new integration을 클릭하고 Okta를 선택합니다.
설정 마법사를 따릅니다:
- Okta 조직 URL을 입력합니다(예: https://your-org.okta.com).
- 1단계에서 구성한 API 자격 증명을 제공합니다(SSWS 토큰 또는 OAuth 클라이언트 ID).
- 원하는 Identity Security 기능을 활성화합니다: 리소스 스캔 및/또는 시스템 로그 내보내기.
자격 증명이 검증되면 통합이 리소스 동기화를 시작합니다.

Okta Integration Overview showing Identity Security Sync enabled

기존 통합#

Identity Governance를 통해 이미 Okta 통합이 구성된 경우:

Okta 통합 상태 페이지로 이동합니다(Identity Governance > Integrations > Okta 행 클릭).
상태 페이지에서 Identity Security 옵션(리소스 스캔 및 시스템 로그 내보내기)을 활성화합니다.

SSO, SCIM, 사용자 동기화, 애플리케이션/그룹 동기화 설정에 대한 자세한 내용은 Identity Governance Okta 통합 가이드를 참조하세요.

3단계/4단계. Access Graph에서 Okta 리소스 보기#

초기 동기화가 완료되면 Okta 리소스가 Access Graph의 노드로 나타납니다. Teleport Web UI에서 Identity Security > Browse로 이동하여 탐색할 수 있습니다.

그래프 탐색#

Okta 그룹 노드는 그룹의 멤버, 소유자, 감사 일정을 표시합니다. Permissions & Eligibility 탭을 선택하여 그룹이 부여하는 Teleport 역할을 확인합니다.
Okta 사용자 노드는 사용자의 그룹 멤버십 및 애플리케이션 할당을 표시합니다. View Access를 클릭하여 사용자에서 그룹과 역할을 통해 접근할 수 있는 리소스까지의 전체 접근 경로를 추적합니다.
Browse Connections는 선택된 노드 주변의 그래프를 확장하여 관련 아이덴티티와 리소스를 보여줍니다.

SQL 쿼리#

다음 쿼리에서 자리 표시자 값을 직접 값으로 교체합니다:

자리 표시자	설명
	Okta 조직 서브도메인 (예: `acme.okta.com`의 경우 `acme`)
	조회할 Okta 사용자 이름
	Okta 애플리케이션 이름
	Okta 그룹 이름

모든 Okta 리소스 표시#

SELECT * FROM nodes WHERE labels @> '{"teleport.dev/origin": "okta"}';

특정 조직의 모든 Okta 리소스 표시#

SELECT * FROM nodes WHERE labels @> '{"okta/org": "https://.okta.com"}';

Okta 사용자의 모든 접근 경로 가져오기#

SELECT * FROM access_path WHERE identity = '' AND kind = 'ALLOWED';

Okta 애플리케이션에 접근할 수 있는 모든 사용자 가져오기#

SELECT * FROM access_path WHERE resource = '' AND resource_labels @> '{"teleport.dev/origin": "okta"}';

Okta 그룹의 모든 멤버 가져오기#

SELECT * FROM access_path WHERE resource = '' AND resource_labels @> '{"teleport.dev/origin": "okta"}';

상시 권한이 있는 Okta 사용자 찾기#

SELECT * FROM access_path WHERE standing_privileges >= 1 AND resource_labels @> '{"teleport.dev/origin": "okta"}';

Running an Okta query in the SQL Editor

4단계/4단계. Identity Activity Center에서 Okta 활동 보기#

Investigating Okta audit logs in the Identity Activity Center

알림#

Okta alerts in Identity Security

문제 해결#

인증 오류#

Unauthorized 또는 403 Forbidden 오류가 표시되는 경우:

SSWS 토큰: 토큰이 만료되지 않았는지 확인하고 생성 관리자에게 충분한 권한이 있는지 확인합니다. 필요한 경우 새 토큰을 만들고 통합 설정을 업데이트합니다.
OAuth 앱: 클라이언트 ID가 올바른지 확인하고 애플리케이션에 필요한 범위가 할당되어 있는지 확인합니다.

시스템 로그 내보내기 문제#

Identity Activity Center에 시스템 로그 이벤트가 표시되지 않는 경우:

통합에서 시스템 로그 내보내기 토글이 활성화되어 있는지 확인합니다.
API 자격 증명에 시스템 로그에 대한 읽기 접근 권한이 있는지 확인합니다(okta.logs.read 범위 또는 동등한 관리자 권한).
Okta 조직에서 시스템 로그 API가 활성화되어 있는지 확인합니다.