인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
Okta 서비스 참조 문서
이 가이드는 Teleport Okta 서비스의 구성 인터페이스와 옵션, Okta 가져오기 규칙, Okta 할당 및 tctl
명령어를 설명합니다. 또한 문제 해결 지침을 포함합니다.
Okta 가져오기 규칙 리소스
tctl
리소스 명령어로 관리되는 Okta 가져오기 규칙 리소스의 전체 YAML 사양:
kind: okta_import_rule
version: v1
metadata:
name: test-rule
description: "관리자를 위한 Okta 가져오기 규칙"
spec:
# Okta 가져오기 규칙은 나열된 우선 순위의 순서로 적용됩니다. 숫자가 낮은 규칙이 먼저 적용됩니다. 충돌이 발생할 경우,
# 낮은 우선 순위의 규칙으로 적용된 레이블은 높은 우선 순위와 연결된 레이블로 덮어쓰게 됩니다.
priority: 10
# 매핑은 Teleport로 동기화될 특정 Okta 그룹 및 애플리케이션에 적용할 레이블을 설명하는 매치 지시문의 목록을 설명합니다.
mappings:
- match:
# 개별 애플리케이션 ID를 사용하여 매치를 생성할 수 있습니다. 가져온 Okta 애플리케이션은 여기 나열된 앱 ID를 기반으로 일치합니다.
- app_ids: ["app1", "app2"]
# 이러한 레이블은 일치하는 애플리케이션에 추가됩니다.
add_labels:
app_label: app_label_value
- match:
# 유사하게, 그룹 ID를 사용하여 매치를 생성할 수 있습니다.
- group_ids: ["group1", "group2"]
# 이러한 레이블은 그룹에 추가됩니다.
add_labels:
label1: value1
- match:
# 앱 이름을 기반으로 한 정규 표현식을 사용하여 매치를 생성할 수 있습니다.
- app_name_regexes: ["^okta.*$", "app*"]
# 이러한 레이블은 일치하는 애플리케이션에 추가됩니다.
add_labels:
app_label: app_label_value
- match:
# 유사하게, 그룹 이름을 기반으로 한 정규 표현식도 사용할 수 있습니다.
- group_name_regexes: ["^okta.*$", "app*"]
# 이러한 레이블은 그룹에 추가됩니다.
add_labels:
label1: value1
구성 파일인 okta-import-rule.yaml
이라는 YAML 파일을 만들어야 한다고 가정하고 다음 명령어를 실행하여 새 okta_import_rule
리소스를 생성할 수 있습니다:
tctl을 로컬 머신에서 사용할 수 있도록 tsh로 클러스터에 로그인합니다.
"tsh login"을 먼저 실행하지 않고도 Auth Service 호스트에서 tctl을 실행할 수 있습니다.
tsh login --proxy=teleport.example.com --user=myuser리소스 생성
tctl create -f okta-import-rule.yaml
Okta 할당 리소스
이 객체들은 내부적으로 사용되며 사용자에 의해 수정되도록 설계되지 않았습니다. 그러나 정보 제공 또는 디버깅 목적으로 쿼리할 수 있습니다.
tctl
리소스 명령어로 쿼리된 Okta 할당 리소스의 전체 YAML 사양:
kind: okta_assignment
version: v1
metadata:
name: test-assignment
spec:
# Okta 할당이 접근을 부여하는 사용자.
user: test-user@test.user
# 접근을 부여할 대상의 목록.
targets:
# 애플리케이션 대상.
- type: application
id: "123456"
# 그룹 대상.
- type: group
id: "234567"
# Okta 할당의 현재 상태.
status: pending
CLI
이 섹션에서는 Okta 서비스 동작을 관리하는 데 관련된 CLI 명령어를 보여줍니다.
tctl get okta_import_rules
사용 가능한 Okta 가져오기 규칙 목록.
tctl get okta_import_rules
tctl get okta_import_rules/NAME
개별 Okta 가져오기 규칙 가져오기.
tctl get okta_import_rules/my-import-rule
tctl rm okta_import_rules/NAME
개별 Okta 가져오기 규칙 제거.
tctl rm okta_import_rules/my-import-rule
tctl get okta_assignments
사용 가능한 Okta 할당 목록.
tctl get okta_assignments
tctl get okta_assignments/NAME
개별 Okta 할당 가져오기.
tctl get okta_assignments/my-assignment
문제 해결
Teleport UI에서 Okta 그룹 또는 애플리케이션이 보이지 않음
Teleport 애플리케이션 UI에 Okta 애플리케이션이 표시되지 않는 경우, Okta 서비스에서 Okta API 토큰과 엔드포인트가 올바른지 확인하십시오.
올바르다면, 사용자 권한을 재확인하고 사용자가 그룹 및 애플리케이션에 적절한 리소스와 레이블 수준 접근 권한이 있는지 확인하십시오. 이러한 리소스를 보기 위해 역할의 app_labels
및 group_labels
섹션을 조정해야 할 수도 있습니다.