Teleport Workload Identity에서 발급할 수 있는 자격 증명 유형 중 하나는 JWT SVID입니다. 이것은 작업의 신원을 포함하고 Teleport Workload Identity CA에 의해 서명된 짧은 수명의 JSON 웹 토큰(JWT)입니다.

JWT SVID를 발급할 수 있는 기능은 Teleport 16.4.3 버전부터 제공되었습니다.

Claims

JWT에는 다음과 같은 클레임이 포함됩니다:

• sub : 작업의 SPIFFE ID.
• aud : JWT의 수신자. 이는 의도된 수신자를 나타내며 토큰 재사용의 가능성을 제한합니다.
• exp : JWT의 만료 시간. 기본적으로 Teleport는 5분 만료 수명의 JWT-SVID를 발급합니다.
• iat : JWT가 발급된 시간.
• jti : 이 JWT에 대한 고유 식별자. 이는 발급 관련 감사 로그와 JWT-SVID를 연관짓는 데 사용됩니다.
• iss : JWT의 발급자. 이는 Teleport Proxy Service에 대해 구성된 공개 주소에서 추출된 호스트입니다.

JWT-SVID는 X509-SVID가 적합하지 않은 시나리오에서 유용할 수 있습니다. 예를 들어, 작업이 TLS 종료 로드 밸런서 뒤에 있는 다른 작업에 인증해야 할 때입니다.

OIDC 호환성

Teleport Workload Identity에서 발급한 JWT SVID는 OIDC ID 토큰에 대한 사양과 호환됩니다. 이는 작업이 OIDC ID 토큰을 인증 형식으로 수용하는 서비스에 인증하는 데 사용할 수 있음을 의미합니다.

OIDC 호환성은 Teleport Proxy Service에 의해 노출된 두 개의 엔드포인트에 의해 제공됩니다:

• /workload-identity/.well-known/openid-configuration : 이 엔드포인트는 Teleport Workload Identity CA의 OIDC 구성을 노출합니다. 여기에는 발급자 URL 및 지원하는 서명 알고리즘이 포함됩니다.
• /workload-identity/jwt-jwks.json : 이 엔드포인트는 Teleport Workload Identity CA의 공개 서명 키를 노출합니다.

OIDC 연합이 올바르게 작동하려면 이 두 엔드포인트가 JWT SVID로 인증하려는 서비스에서 접근 가능해야 합니다.

Teleport Workload Identity는 귀하의 Teleport Proxy 서비스에 대해 공개적으로 구성된 주소를 OIDC 구성의 발급자 URL로 사용합니다.

우리는 Teleport Workload Identity에서 발급한 JWT-SVID를 다음 플랫폼에서 테스트했습니다:

• AWS
• Google Cloud Platform
• Azure

다음 단계

• Workload Identity 개요: Teleport Workload Identity에 대한 개요.
• 모범 사례: 운영 환경에서 Workload Identity를 사용할 때의 모범 사례.
• 모든 사용 가능한 구성 옵션을 탐색하기 위해 구성 참조를 읽어보십시오.