Tailscale VPN
Ⅰ. Okta-Tailscale VPN 연동
1. SSO 통합 기능
OIDC를 사용하면 사용자는 Okta의 인증을 통해서 Tailscale VPN에 접속할 수 있으며 별도로 사용자가 자격 증명을 제공할 필요가 없습니다.
OIDC가 구성되면 Okta에서 아래 기능을 제공합니다.
Tailscale에 직접 로그인(SP initiated SSO)
2. 프로비저닝 기능
해당 기능은 Okta의 Lifecycle Management License가 필요합니다.
◎ Okta를 통해 생성된 새 사용자는 Tailscale에서도 생성됩니다.
◎ Okta를 통해 업데이트한 사용자 프로필을 Tailscale에도 업데이트 됩니다.
◎ Okta를 통해 사용자를 비활성화하면 Tailscale에서도 사용자가 비활성화됩니다.
Ⅱ. Okta-Tailscale VPN 연동 구성
1. [Okta] Tailscale 앱 생성
경로: Application ➡ Browse App Catalog ➡ Tailscale ➡ Tailscale Add Integration
Sign On 탭에서 Client ID와 Client Secret을 복사합니다.
Sign on 탭에서 Advanced Sign-on Settings에 Application username format은 Tailscale VPN와 Okta 계정을 어떤 정보를 통해서 매핑시킬 것인지를 설정하는 부분입니다.
Tailscale은 로그인 계정이 도메인을 포함한 이메일 형태의 포멧으로 Application user format에 Email로 설정이 필요합니다.
2. [Tailscale] IDP 등록
Okta에 구성한 Tailscale 앱의 sign-on 탭에서 'View Setup Instructions'을 클릭하면 Tailscale-Okta 연동 방법에 대한 Tailscale 공식문서로 연결됩니다.
IDP 구성 설정은 Management에서 설정을 할 수 없으며, Tailscale Support 지원이 필요하며 구성 설정이 완료되는데 약 2일이 소요됩니다.
Tailscale 로그인 페이지를 통해 로그인 이후, Tailscale 서포트 페이지 연결하여 아래 정보를 입력 후 요청 접수합니다.
Tailscale를 통해 로그인하는 사용하는 도메인 이름이 Okta에서 Tailscale에 할당된 사용자 이메일 주소와 일치해야합니다.
Tailscale에서 IDP를 구성할 때, @gmail.com이나 @outlook.com 과 같은 공유 도메인을 사용하는 계정으로 구성할 수 없습니다.
아래 이미지는 Tailscale Support팀에 IDP 등록을 위한 페이지입니다.
IDP 등록이 완료되면 Tailscale Support팀에서 결과를 메일로 회신합니다.
해당 경로에서 IDP가 Okta로 등록된 것을 확인할 수 있습니다.
경로: Tailnet 관리자 홈페이지 ➡ Settings ➡ User management
III. 프로비저닝 설정
1. [Tailscale] 프로비저닝 설정
경로: Setting ➡ User Management ➡ User&group Provisioning에서 Enable provisioning 클릭
Key 값을 복사합니다.
2. [Okta] 프로비저닝 설정
경로: Application ➡ Tailscale ➡ Provisoning ➡ Configure API Integration 클릭
Tailscale에서 복사한 Key 값을 입력합니다.
"Test API Credentials" 을 통해 Key 연결 확인합니다.
"Tailscale was verified successfully!" 메시지가 확인되면 API 연결이 성공적으로 완료된 것입니다.
1. Create Users: Okta에 생성된 새로운 사용자가 Tailscale에도 생성됩니다.
2. Update User Attributes: Okta에서 사용자 속성을 업데이트하면 Tailscale에도 사용자와 연결된 계정의 속성이 업데이트 됩니다.
3. Deactivate Users: Okta에서 Tailscale을 할당 받았던 사용자가 앱 할당이 제거되거나 Okta 계정이 Deactivate되면, Tailscale 계정이 Suspend됩니다.
3. [Okta] Push Group 설정(옵션)
경로: Tailscale 앱 ➡ Push Groups ➡ Find groups by name
Okta 그룹을 검색하여 선택합니다.
Create Group: Tailscale에 신규 그룹으로 생성
Link Group: Tailscale 기존 그룹을 변동없이 Okta의 그룹과 매핑하여 구성 할 수 있습니다. 단, Name이 다를 수 있어 관리가 어려울 수 있습니다.
생성한 Push group에 대한 설정을 'Active'로 해야 해당 설정이 활성화됩니다.
Push group에 대한 결과내역은 Tailscale ACL에서 아래와 같이 확인할 수 있습니다.
IV. 앱 할당
Tailscale 사용자에 한하여 Okta에서 Tailscale 앱을 할당합니다.
개별 사용자 또는 그룹에 앱을 할당할 수 있습니다.
V. 최종 사용자 경험(Tailscale에 직접 로그인)
Tailscale 로그인 화면에서 사용자 계정을 입력하면 Okta 인증 페이지로 리다이렉션됩니다.
사용자 인증이 완료되면 VPN 연결 페이지로 리다이렉션이되며 계정과 기기에 대해 연결해주면 최종 연결이 완료됩니다.
Last updated