인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
TeleportOIDCConnector
이 가이드는 Teleport Kubernetes 운영자를 설치한 후 적용할 수 있는 TeleportOIDCConnector 리소스의 필드에 대한 포괄적인 참조입니다.
resources.teleport.dev/v3
apiVersion: resources.teleport.dev/v3
| Field | Type | Description |
|---|---|---|
| apiVersion | string | APIVersion은 객체의 이 표현에 대한 버전이 있는 스키마를 정의합니다. 서버는 인식된 스키마를 최신 내부 값으로 변환해야 하며, 인식되지 않은 값은 거부할 수 있습니다. 자세한 정보: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
| kind | string | Kind는 이 객체가 나타내는 REST 리소스를 나타내는 문자열 값입니다. 서버는 클라이언트가 요청을 제출하는 엔드포인트에서 이를 추론할 수 있습니다. 업데이트할 수 없습니다. CamelCase로 작성됩니다. 자세한 정보: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| metadata | object | |
| spec | object | OIDCConnector 리소스 정의 v3 from Teleport |
spec
| Field | Type | Description |
|---|---|---|
| acr_values | string | ACR은 Authentication Context Class Reference 값입니다. ACR 값의 의미는 상황에 따라 다르며, 아이덴티티 공급자에 따라 다릅니다. |
| allow_unverified_email | boolean | AllowUnverifiedEmail은 커넥터가 인증되지 않은 이메일을 가진 OIDC 사용자를 허용하도록 지시합니다. |
| claims_to_roles | []object | ClaimsToRoles는 클레임에서 역할로의 동적 매핑을 지정합니다. |
| client_id | string | ClientID는 인증 클라이언트 (Teleport Auth Service)의 ID입니다. |
| client_redirect_settings | object | ClientRedirectSettings는 표준 localhost 외의 비 브라우저 SSO 로그인을 위해 허용된 클라이언트 리디렉션 URL을 정의합니다. |
| client_secret | string | ClientSecret는 클라이언트를 인증하는 데 사용됩니다. 이 필드는 비밀 조회를 지원합니다. 자세한 내용은 운영자 문서를 참조하십시오. |
| display | string | Display는 이 공급자의 친숙한 이름입니다. |
| google_admin_email | string | GoogleAdminEmail은 impersonate할 google 관리자의 이메일입니다. |
| google_service_account | string | GoogleServiceAccount는 google 서비스 계정 자격 증명을 포함하는 문자열입니다. |
| google_service_account_uri | string | GoogleServiceAccountURI는 google 서비스 계정 URI에 대한 경로입니다. |
| issuer_url | string | IssuerURL은 공급자의 엔드포인트입니다. 예: https://accounts.google.com. |
| max_age | string | MaxAge는 사용자 로그인이 유효한 시간입니다. 사용자가 로그인하지만 이 시간 내에 다시 로그인하지 않으면 다시 인증되어야 합니다. |
| mfa | object | MFASettings는 이 인증 커넥터를 통해 SSO MFA 검사를 활성화하기 위한 설정을 포함합니다. |
| prompt | string | Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 호환성을 위해 select_account로 기본값이 설정됩니다. |
| provider | string | Provider는 외부 아이덴티티 공급자입니다. |
| redirect_url | []string | RedirectURLs는 아이덴티티 공급자가 클라이언트를 Teleport Proxy로 리디렉션하기 위해 사용할 수 있는 콜백 URL 목록입니다. 이 목록은 공급자의 측면과 일치해야 합니다. 특정 인증 요청에 사용되는 URL은 요청하는 Proxy의 공개 주소와 일치하도록 선택됩니다. 일치하는 항목이 없으면 목록의 첫 번째 URL이 사용됩니다. |
| scope | []string | Scope는 공급자가 설정한 추가 범위를 지정합니다. |
| username_claim | string | UsernameClaim은 사용자의 사용자 이름으로 사용될 OIDC 커넥터에서 클레임의 이름을 지정합니다. |
spec.claims_to_roles 항목
| 필드 | 유형 | 설명 |
|---|---|---|
| claim | string | Claim은 클레임 이름입니다. |
| roles | []string | Roles는 일치하는 정적 텔레포트 역할의 목록입니다. |
| value | string | Value는 일치하는 클레임 값입니다. |
spec.client_redirect_settings
| 필드 | 유형 | 설명 |
|---|---|---|
| allowed_https_hostnames | []string | HTTPS 클라이언트 리디렉션 URL에 허용된 호스트 이름 목록입니다. |
| insecure_allowed_cidr_ranges | []string | HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용된 CIDR 목록입니다. |
spec.mfa
| 필드 | 유형 | 설명 |
|---|---|---|
| acr_values | string | AcrValues는 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며, ID 제공자에 따라 다릅니다. 일부 ID 제공자는 Okta의 "phr" (피싱 저항) ACR과 같은 MFA 특정 컨텍스트를 지원합니다. |
| client_id | string | ClientID는 OIDC OAuth 앱 클라이언트 ID입니다. |
| client_secret | string | ClientSecret은 OIDC OAuth 앱 클라이언트 비밀입니다. |
| enabled | boolean | Enabled는 이 OIDC 커넥터가 MFA 검사를 지원하는지를 나타냅니다. 기본값은 false입니다. |
| max_age | string | MaxAge는 IdP 세션의 유효 기간을 나노초 단위로 나타냅니다. 기본값은 MFA 검사를 위해 항상 재인증을 강제하는 0입니다. 이 값은 IdP가 활성 사용자 세션 위에서 MFA 검사를 수행하도록 설정된 경우에만 0이 아닌 값으로 설정되어야 합니다. |
| prompt | string | Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정되지 않은 경우 오래된 호환성을 위해 기본값은 select_account입니다. |