Infograb logo
Teleport 정책으로 Entra ID 정책 분석

Teleport Identity의 Microsoft Entra ID 통합은 귀하의 Entra ID 디렉토리를 Teleport 클러스터에 동기화하고, 귀하의 Entra ID 디렉토리 내 관계에 대한 통찰력을 제공합니다. 또한 Entra ID가 SSO ID 공급자로 사용될 때, Teleport Policy는 서비스 전반에 걸친 SSO 부여를 시각화합니다.

SSO 부여 분석은 현재 Entra ID가 ID 공급자로 작동하고, AWS 계정이 AWS IAM 역할 연합을 사용하는 의존하는 당사자로 설정된 경우에만 지원됩니다.

추가 의존하는 당사자에 대한 지원은 향후 추가될 예정입니다.

작동 원리

Teleport는 연결된 Entra ID 디렉토리를 지속적으로 스캔합니다. 5분 간격으로, 다음 리소스를 Entra ID 디렉토리에서 가져옵니다:

  • 사용자
  • 그룹
  • 그룹 내 사용자 회원 자격
  • 엔터프라이즈 애플리케이션

Entra ID 사용자와 그룹은 각각 사용자 및 액세스 목록으로 Teleport에 가져옵니다. 필요한 모든 리소스가 가져와지면, Teleport는 이를 액세스 그래프에 푸시하여 최신 정보를 반영하도록 합니다. 이러한 리소스는 Teleport Policy 사용 페이지에 자세히 설명된 그래프 표현을 사용하여 시각화됩니다.

전제 조건

  • 실행 중인 Teleport Enterprise 클러스터 v15.4.2/v16.0.0 이상.
  • 귀하의 계정에 대해 Teleport Identity 및 Teleport Policy가 활성화되어 있어야 합니다.
    • 자가 호스팅 클러스터의 경우, Auth Service 구성에서 최신 license.pem이 사용되는지 확인하십시오.
  • 자가 호스팅 클러스터의 경우, 실행 중인 액세스 그래프 노드 v1.21.3 이상. 액세스 그래프 설정 방법에 대한 자세한 내용은 Teleport Policy 페이지를 참조하세요.
  • 액세스 그래프 서비스가 실행 중인 노드는 Teleport Auth Service에서 도달 가능해야 합니다.
  • 귀하의 사용자는 Azure 계정에서 특권 관리자 권한을 가져야 합니다.

액세스 그래프가 클러스터에 제대로 설정되었는지 확인하려면, Teleport 웹 UI에 로그인하고 관리 탭으로 이동하세요. 활성화되어 있으면, 권한 관리 섹션에 액세스 그래프 메뉴 항목이 나타납니다.

단계 1/3. 통합 온보딩 시작하기

온보딩 프로세스를 시작하려면 Teleport 웹 UI에 접근하고, "액세스 관리" 탭으로 이동한 후 "새 통합 등록"을 선택하고 "Microsoft Entra ID"를 선택하세요.

온보딩 마법사에서 Entra 그룹에 대해 생성된 액세스 목록의 기본 소유자로 지정할 Teleport 사용자를 선택하고 "다음"을 클릭합니다.

Entra ID 통합 온보딩의 첫 번째 단계

단계 2/3. Azure에서 권한 부여 및 온보딩 완료

마법사는 이제 Azure에서 필요한 권한을 설정하는 스크립트를 제공할 것입니다.

Entra ID 통합 온보딩의 두 번째 단계

shell.azure.com로 이동하여 Azure Cloud Shell을 엽니다. 또는 Azure 포털에서 클라우드 셸 아이콘을 클릭합니다.

Azure 포털에서 클라우드 셸 버튼 위치

Bash 버전의 클라우드 셸을 사용하고 있는지 확인하세요. Cloud Shell 인스턴스가 열리면, 생성된 명령을 붙여넣기 합니다. 이 명령은 Teleport 클러스터를 Entra ID 디렉토리의 엔터프라이즈 애플리케이션으로 설정하고, Teleport가 디렉토리의 데이터(사용자 및 그룹 등)를 읽을 수 있는 읽기 전용 권한을 부여합니다.

스크립트가 필요한 권한을 설정하면, 통합 온보딩을 완료하는 데 필요한 데이터를 출력합니다.

Teleport 웹 UI로 돌아가서, 필요한 데이터를 입력하고 "완료"를 클릭합니다.

필요한 필드가 채워진 Entra ID 통합 온보딩의 두 번째 단계

단계 3/3. Teleport 액세스 그래프에서 Entra ID 디렉토리 분석

온보딩이 완료된 후 곧 귀하의 Entra ID 디렉토리가 Teleport 클러스터와 액세스 그래프에 가져와집니다.

액세스 그래프 UI에서 Entra ID 사용자 및 그룹을 찾을 수 있습니다. 만약 귀하가 Entra ID SSO를 AWS 계정에 설정했으며, AWS 계정이 Teleport에 연결되어 있다면, 액세스 그래프는 또한 Entra ID ID에 부여된 AWS 리소스에 대한 액세스를 표시합니다.

다음 예에서 Bob은 Entra ID의 그룹 AWS-Engineers에 할당되어 있습니다. 이것은 그가 SSO를 사용하여 AWS IAM 역할 Engineers를 맡을 수 있게 하며, 이를 통해 Bob은 두 개의 S3 버킷에 접근할 수 있게 됩니다.

Teleport 원문 보기