Tailscale VPN

Tailscale 공식 문서

Ⅰ. Okta-Tailscale VPN 연동

OIDC를 사용하면 사용자는 Okta의 인증을 통해서 Tailscale VPN에 접속할 수 있으며 별도로 사용자가 자격 증명을 제공할 필요가 없습니다.

OIDC가 구성되면 Okta에서 아래 기능을 제공합니다.

Tailscale에 직접 로그인(SP initiated SSO)

해당 기능은 Okta의 Lifecycle Management License가 필요합니다.

◎ Okta를 통해 생성된 새 사용자는 Tailscale에서도 생성됩니다.

◎ Okta를 통해 업데이트한 사용자 프로필을 Tailscale에도 업데이트 됩니다.

◎ Okta를 통해 사용자를 비활성화하면 Tailscale에서도 사용자가 비활성화됩니다.

경로: Application ➡ Browse App Catalog ➡ Tailscale ➡ Tailscale Add Integration

Sign on 탭에서 Advanced Sign-on Settings에 Application username format은 Tailscale VPN와 Okta 계정을 어떤 정보를 통해서 매핑시킬 것인지를 설정하는 부분입니다.
Tailscale은 로그인 계정이 도메인을 포함한 이메일 형태의 포멧으로 Application user format에 Email로 설정이 필요합니다.

Okta에 구성한 Tailscale 앱의 sign-on 탭에서 'View Setup Instructions'을 클릭하면 Tailscale-Okta 연동 방법에 대한 Tailscale 공식문서로 연결됩니다.
IDP 구성 설정은 Management에서 설정을 할 수 없으며, Tailscale Support 지원이 필요하며 구성 설정이 완료되는데 약 2일이 소요됩니다.
Tailscale 로그인 페이지를 통해 로그인 이후, Tailscale 서포트 페이지 연결하여 아래 정보를 입력 후 요청 접수합니다.
Tailscale를 통해 로그인하는 사용하는 도메인 이름이 Okta에서 Tailscale에 할당된 사용자 이메일 주소와 일치해야합니다.
Tailscale에서 IDP를 구성할 때, @gmail.com이나 @outlook.com 과 같은 공유 도메인을 사용하는 계정으로 구성할 수 없습니다.

경로: Tailnet 관리자 홈페이지 ➡ Settings ➡ User management

경로: Setting ➡ User Management ➡ User&group Provisioning에서 Enable provisioning 클릭

경로: Application ➡ Tailscale ➡ Provisoning ➡ Configure API Integration 클릭

1. Create Users: Okta에 생성된 새로운 사용자가 Tailscale에도 생성됩니다.

2. Update User Attributes: Okta에서 사용자 속성을 업데이트하면 Tailscale에도 사용자와 연결된 계정의 속성이 업데이트 됩니다.

3. Deactivate Users: Okta에서 Tailscale을 할당 받았던 사용자가 앱 할당이 제거되거나 Okta 계정이 Deactivate되면, Tailscale 계정이 Suspend됩니다.

경로: Tailscale 앱 ➡ Push Groups ➡ Find groups by name

Okta 그룹을 검색하여 선택합니다.
- Create Group: Tailscale에 신규 그룹으로 생성
- Link Group: Tailscale 기존 그룹을 변동없이 Okta의 그룹과 매핑하여 구성 할 수 있습니다. 단, Name이 다를 수 있어 관리가 어려울 수 있습니다.