Infograb logo
텔레포트 인증 기본 설정 Terraform 데이터 소스에 대한 참조

스키마

필수

  • spec (속성) Spec은 인증 기본 설정 사양입니다 (자세한 내용은 중첩 스키마를 참조하세요)
  • version (문자열) Version은 리소스 버전입니다. 이것은 반드시 지정되어야 합니다. 지원되는 값은: v2입니다.

선택적

  • metadata (속성) Metadata는 리소스 메타데이터입니다 (자세한 내용은 중첩 스키마를 참조하세요)
  • sub_kind (문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.

spec에 대한 중첩 스키마

선택적:

  • allow_headless (부울)
  • allow_local_auth (부울)
  • allow_passwordless (부울)
  • connector_name (문자열) ConnectorName은 OIDC 또는 SAML 커넥터의 이름입니다. 이 값이 설정되지 않은 경우, 백엔드의 첫 번째 커넥터가 사용됩니다.
  • default_session_ttl (문자열) DefaultSessionTTL은 명시적인 TTL이 요청되지 않을 때 사용자 인증서에 사용될 TTL입니다.
  • device_trust (속성) DeviceTrust는 신뢰할 수 있는 장치 검증과 관련된 설정을 보유합니다. Teleport Enterprise가 필요합니다 (자세한 내용은 중첩 스키마를 참조하세요).
  • disconnect_expired_cert (부울)
  • hardware_key (속성) HardwareKey는 하드웨어 키 지원에 대한 설정입니다 (자세한 내용은 중첩 스키마를 참조하세요).
  • idp (속성) IDP는 Teleport 내의 IdP 접근과 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다 (자세한 내용은 중첩 스키마를 참조하세요).
  • locking_mode (문자열) LockingMode는 클러스터 전역 잠금 모드 기본값입니다.
  • message_of_the_day (문자열)
  • okta (속성) Okta는 Teleport의 Okta 서비스와 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다 (자세한 내용은 중첩 스키마를 참조하세요).
  • piv_slot (문자열) TODO(Joerger): 17.0.0에서 삭제. 하드웨어 키 설정으로 대체되었습니다.
  • require_session_mfa (숫자) RequireMFAType은 이 클러스터에 대해 시행되는 MFA 요구 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • second_factor (문자열) SecondFactor는 두 번째 인증 요소의 유형입니다.
  • type (문자열) Type은 인증 유형입니다.
  • u2f (속성) U2F는 U2F 장치에 대한 설정입니다 (자세한 내용은 중첩 스키마를 참조하세요).
  • webauthn (속성) Webauthn은 서버 측 웹 인증 지원에 대한 설정입니다 (자세한 내용은 중첩 스키마를 참조하세요).

spec.device_trust에 대한 중첩 스키마

선택적:

  • auto_enroll (부울) 장치 자동 등록을 활성화합니다. 자동 등록은 이미 등록되지 않은 알려진 장치에 대해 사용자가 장치 등록 토큰을 발급할 수 있게 합니다. tsh는 적절한 경우 사용자 로그인 시 장치를 자동으로 등록하기 위해 자동 등록을 활용합니다. 유효한 클러스터 모드가 여전히 적용됩니다: AutoEnroll=true는 모드가 "off"인 경우 의미가 없습니다.
  • ekcert_allowed_cas (문자열 목록) PEM 형식의 EKCert CA 허용 목록입니다. 여기에서 지정한 CA의 서명을 가진 EKCert를 제출하는 TPM 장치만 등록할 수 있으며(기존 등록은 변경되지 않음). 지정되지 않으면 TPM EKCert의 CA는 등록 시 확인되지 않으며, 이는 모든 장치가 등록될 수 있음을 허용합니다.
  • mode (문자열) 신뢰할 수 있는 장치에 대한 검증 모드입니다. 다음 모드가 지원됩니다: - "off": 장치 인증 및 인가를 모두 비활성화합니다. - "optional": 장치 인증 및 인가를 모두 허용하지만 민감한 엔드포인트에 대한 장치 확장의 존재를 강제하지 않습니다. - "required": 민감한 엔드포인트에 대한 장치 확장의 존재를 강제합니다. OSS의 경우 모드는 항상 "off"입니다. Enterprise의 경우 기본값은 "optional"입니다.

spec.hardware_key에 대한 중첩 스키마

선택적:

  • piv_slot (문자열) PIVSlot은 Teleport 클라이언트가 개인 키 정책에 따라 기본값 대신 사용할 PIV 슬롯입니다. 예: "9a" 또는 "9e".
  • serial_number_validation (속성) SerialNumberValidation은 하드웨어 키 일련 번호 검증에 대한 설정을 보유합니다. 기본적으로 일련 번호 검증은 비활성화되어 있습니다 (자세한 내용은 중첩 스키마를 참조하세요).

spec.hardware_key.serial_number_validation에 대한 중첩 스키마

선택적:

  • enabled (부울) Enabled는 하드웨어 키 일련 번호 검증이 활성화되었는지를 나타냅니다.
  • serial_number_trait_name (문자열) SerialNumberTraitName은 기본값 "hardware_key_serial_numbers"를 대체할 하드웨어 키 일련 번호에 대한 선택적 사용자 속성 이름입니다. 주의: 이 사용자 특성의 값은 쉼표로 구분된 일련 번호 목록이거나 쉼표로 구분된 목록의 목록이어야 합니다. 예: ["123", "345,678"]

spec.idp에 대한 중첩 스키마

선택적:

  • saml (속성) SAML은 Teleport SAML IdP와 관련된 옵션입니다 (자세한 내용은 중첩 스키마를 참조하세요).

spec.idp.saml에 대한 중첩 스키마

선택적:

  • enabled (부울)

spec.okta에 대한 중첩 스키마

선택적:

  • sync_period (문자열) SyncPeriod는 동기화 호출 사이의 지속 시간을 나노초 단위로 나타냅니다.

spec.u2f에 대한 중첩 스키마

선택적:

  • app_id (문자열) AppID는 보편적인 두 번째 요소에 대한 애플리케이션 ID를 반환합니다.
  • device_attestation_cas (문자열 목록) DeviceAttestationCAs는 U2F 장치에 대한 신뢰할 수 있는 증명 CA를 포함합니다.
  • facets (문자열 목록) Facets는 보편적인 두 번째 요소에 대한 패싯을 반환합니다. 사용 중단: Teleport v10에서 Webauthn이 U2F 구현을 대체했기 때문에 호환성을 위해 유지되지만 패싯은 더 이상 효과가 없습니다.

spec.webauthn에 대한 중첩 스키마

선택적:

  • attestation_allowed_cas (문자열 목록) PEM 형식의 장치 증명 CA 허용 목록입니다. 지정된 경우, 여기에서 지정된 인증서와 일치하는 장치 인증서만 등록할 수 있으며(기존 등록은 변경되지 않음). AttestationDeniedCAs와 함께 제공되는 경우 등록을 허용하기 위해 두 조건이 모두 참이어야 합니다(장치는 허용된 CA와 일치해야 하며 거부된 CA와 일치하지 않아야 합니다). 기본적으로 모든 장치가 허용됩니다.
  • attestation_denied_cas (문자열 목록) PEM 형식의 장치 증명 CA 거부 목록입니다. 지정된 경우, 여기에서 지정된 인증서와 일치하지 않는 장치 인증서만 등록할 수 있으며(기존 등록은 변경되지 않음). AttestationAllowedCAs와 함께 제공되는 경우 등록을 허용하기 위해 두 조건이 모두 참이어야 합니다(장치는 허용된 CA와 일치해야 하며 거부된 CA와 일치하지 않아야 합니다). 기본적으로 거부된 장치는 없습니다.
  • rp_id (문자열) RPID는 의존하는 파트너의 ID입니다. Teleport 설치의 도메인 이름으로 설정해야 합니다. 중요: RPID는 클러스터의 수명 동안 절대 변경되어서는 안 되며, 왜냐하면 등록 데이터에 기록되기 때문입니다. RPID가 변경되면 기존 WebAuthn 키 등록이 모두 무효화되며 WebAuthn을 두 번째 요소로 사용하는 모든 사용자는 다시 등록해야 합니다.

metadata에 대한 중첩 스키마

선택적:

  • description (문자열) Description은 객체 설명입니다.
  • expires (문자열) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (문자열 맵) Labels는 레이블 집합입니다.
Teleport 원문 보기