MFA 검사를 위한 SSO 구성

요약

Teleport 관리자는 Teleport 클러스터에 MFA 장치를 직접 등록하는 대신 싱글 사인온 프로바이더에 다단계 인증 검사를 위임하도록 Teleport를 구성할 수 있습니다. MFA 검사용 SSO를 통해 Teleport 사용자는 SSO 프로바이더에 구성된 MFA 장치와 사용자 정의 플로우를 사용하여 다음과 같은 Teleport의 권한 있는 작업을 수행할 수 있습니다:

Teleport 관리자는 Teleport 클러스터에 MFA 장치를 직접 등록하는 대신 싱글 사인온 프로바이더에 다단계 인증 검사를 위임하도록 Teleport를 구성할 수 있습니다. 이 가이드는 MFA 검사를 위한 SSO 구성 방법을 설명합니다.

MFA 검사용 SSO를 통해 Teleport 사용자는 SSO 프로바이더에 구성된 MFA 장치와 사용자 정의 플로우를 사용하여 다음과 같은 Teleport의 권한 있는 작업을 수행할 수 있습니다:

관리자는 다음과 같은 이유로 이 기능을 활성화하는 것을 고려할 수 있습니다:

모든 인증(로그인 및 MFA)이 IdP를 통과하도록 하여 관리 부담을 줄입니다.
단일 MFA 검사에 2개의 별도 장치를 요청하는 것과 같은 사용자 정의 MFA 플로우를 만듭니다.
IdP에서 직접 지원하는 비-WebAuthn 장치와 통합합니다.

Note

SSO MFA는 엔터프라이즈 기능입니다. OIDC 및 SAML 인증 커넥터만 지원됩니다.

사전 요구 사항#

A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

이 가이드는 아이덴티티 프로바이더와 Teleport를 통합하는 방법에 익숙하다고 가정합니다. 프로바이더에 대한 IdP 통합 가이드를 먼저 이해해야 합니다. 이미 인증 커넥터가 구성되어 있어야 합니다.

1/3단계. IdP 애플리케이션 또는 클라이언트 구성#

SAML/OIDC 로그인과 달리 표준화된 MFA 플로우가 없으므로 각 IDP는 MFA 검사를 제공하는 방법을 0개, 1개 또는 여러 개 제공할 수 있습니다.

일반적으로 이러한 제공 방식은 다음 경우 중 하나에 해당합니다:

MFA에 별도의 IDP 앱을 사용하는 경우:

MFA에 사용자 정의 플로우가 있는 별도의 IDP 앱을 만들 수 있습니다. 예를 들어 Auth0(OIDC)에서는 활성 OIDC 세션에 대해 MFA를 요청하는 사용자 정의 Auth0 Action을 포함하는 별도의 앱을 만들 수 있습니다.

MFA에 동일한 IDP 앱을 사용하는 경우:

일부 IDP는 동일한 IDP 앱을 사용하여 다른 플로우로 분기하는 방법을 제공합니다. 예를 들어 Okta(OIDC)에서는 acr_values: ["phr"]을 제공하여 피싱 방지 인증을 적용할 수 있습니다.

더 간단한 방법으로 조정 없이 로그인과 MFA 모두에 동일한 IDP 앱을 사용할 수 있습니다. Teleport MFA 검사의 경우 사용자는 사용자 이름, 비밀번호, 그리고 필요한 경우 MFA로 IDP를 통해 다시 로그인해야 합니다.

Warning

SSO MFA의 맞춤화 기능은 관리자에게 이전에는 사용할 수 없었던 여러 가지 보안 옵션을 제공하지만, 동시에 안전하지 않은 잘못된 구성의 가능성도 있습니다. 따라서 관리자는 WebAuthn, Device Trust 또는 유사한 보안 기능을 사용하는 엄격한 피싱 방지 검사를 사용자 정의 SSO MFA 플로우에 통합하도록 강력히 권고합니다.

2/3단계. 인증 커넥터 업데이트#

다음 예제와 같이 인증 커넥터에 MFA 설정을 추가합니다:

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>oidc-connector-mfa.yaml</code>)</p></div>

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>saml-connector-mfa.yaml</code>)</p></div>

entity_descriptor 대신 entity_descriptor_url을 사용하여 IDP에서 엔티티 디스크립터를 가져올 수 있습니다.

URL에서 가져오는 대신 XML을 포함하여 엔티티 디스크립터를 "고정"하는 것을 권장합니다.

커넥터를 업데이트합니다:

$ tctl create -f connector.yaml

3/3단계. 클러스터에서 SSO를 MFA 방법으로 허용#

위에서 만든 SSO MFA 플로우를 사용하려면 먼저 클러스터 설정에서 다단계 인증을 위한 SSO를 활성화해야 합니다. 다음 명령을 사용하여 동적 구성 리소스를 수정합니다:

$ tctl edit cluster_auth_preference

다음 변경을 수행합니다:

kind: cluster_auth_preference
version: v2
metadata:
  name: cluster-auth-preference
spec:
  # ...
  second_factors:
   - webauthn
+  - sso

MFA 검사를 위한 SSO 구성

원문 보기

번역일: 2026-05-14

요약

관리자는 다음과 같은 이유로 이 기능을 활성화하는 것을 고려할 수 있습니다:

모든 인증(로그인 및 MFA)이 IdP를 통과하도록 하여 관리 부담을 줄입니다.
단일 MFA 검사에 2개의 별도 장치를 요청하는 것과 같은 사용자 정의 MFA 플로우를 만듭니다.
IdP에서 직접 지원하는 비-WebAuthn 장치와 통합합니다.

Note

SSO MFA는 엔터프라이즈 기능입니다. OIDC 및 SAML 인증 커넥터만 지원됩니다.

사전 요구 사항#

A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

이 가이드는 아이덴티티 프로바이더와 Teleport를 통합하는 방법에 익숙하다고 가정합니다. 프로바이더에 대한 IdP 통합 가이드를 먼저 이해해야 합니다. 이미 인증 커넥터가 구성되어 있어야 합니다.

1/3단계. IdP 애플리케이션 또는 클라이언트 구성#

SAML/OIDC 로그인과 달리 표준화된 MFA 플로우가 없으므로 각 IDP는 MFA 검사를 제공하는 방법을 0개, 1개 또는 여러 개 제공할 수 있습니다.

일반적으로 이러한 제공 방식은 다음 경우 중 하나에 해당합니다:

MFA에 별도의 IDP 앱을 사용하는 경우:

MFA에 동일한 IDP 앱을 사용하는 경우:

Warning

2/3단계. 인증 커넥터 업데이트#

다음 예제와 같이 인증 커넥터에 MFA 설정을 추가합니다:

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>oidc-connector-mfa.yaml</code>)</p></div>

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>saml-connector-mfa.yaml</code>)</p></div>

entity_descriptor 대신 entity_descriptor_url을 사용하여 IDP에서 엔티티 디스크립터를 가져올 수 있습니다.

URL에서 가져오는 대신 XML을 포함하여 엔티티 디스크립터를 "고정"하는 것을 권장합니다.

커넥터를 업데이트합니다:

$ tctl create -f connector.yaml

3/3단계. 클러스터에서 SSO를 MFA 방법으로 허용#

$ tctl edit cluster_auth_preference

다음 변경을 수행합니다:

kind: cluster_auth_preference
version: v2
metadata:
  name: cluster-auth-preference
spec:
  # ...
  second_factors:
   - webauthn
+  - sso