텔레포트 인증 기본 설정 Terraform 리소스 참조
사용 예제
# AuthPreference 리소스
resource "teleport_auth_preference" "example" {
metadata = {
description = "인증 기본 설정"
labels = {
"example" = "yes"
"teleport.dev/origin" = "dynamic" // 이 레이블은 텔레포트 측에서 기본적으로 추가됩니다.
}
}
spec = {
disconnect_expired_cert = true
}
}
스키마
필수
spec
(속성) Spec은 AuthPreference 사양입니다 (자세한 내용은 중첩 스키마 아래 참조)version
(문자열) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값은:v2
입니다.
선택 사항
metadata
(속성) Metadata는 리소스 메타데이터입니다 (자세한 내용은 중첩 스키마 아래 참조)sub_kind
(문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.
spec
에 대한 중첩 스키마
선택 사항:
allow_headless
(불린)allow_local_auth
(불린)allow_passwordless
(불린)connector_name
(문자열) ConnectorName은 OIDC 또는 SAML 커넥터의 이름입니다. 이 값이 설정되지 않은 경우 백엔드의 첫 번째 커넥터가 사용됩니다.default_session_ttl
(문자열) DefaultSessionTTL은 명시적인 TTL이 요청되지 않은 경우 사용자 인증서에 사용할 TTL입니다.device_trust
(속성) DeviceTrust는 신뢰하는 장치 검증과 관련된 설정을 보유합니다. Teleport Enterprise가 필요합니다. (자세한 내용은 중첩 스키마 아래 참조)disconnect_expired_cert
(불린)hardware_key
(속성) HardwareKey는 하드웨어 키 지원에 대한 설정입니다. (자세한 내용은 중첩 스키마 아래 참조)idp
(속성) IDP는 Teleport 내에서 IdP에 접근하는 것과 관련된 옵션 세트입니다. Teleport Enterprise가 필요합니다. (자세한 내용은 중첩 스키마 아래 참조)locking_mode
(문자열) LockingMode는 클러스터 전체의 잠금 모드 기본값입니다.message_of_the_day
(문자열)okta
(속성) Okta는 Teleport에서 Okta 서비스와 관련된 선택 옵션 세트입니다. Teleport Enterprise가 필요합니다. (자세한 내용은 중첩 스키마 아래 참조)piv_slot
(문자열) TODO(Joerger): DELETE IN 17.0.0 사용 중단, HardwareKey 설정으로 대체됨.require_session_mfa
(숫자) RequireMFAType은 이 클러스터에 대해 시행되는 MFA 요구 사항의 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.second_factor
(문자열) SecondFactor는 두 번째 요소의 유형입니다.type
(문자열) Type은 인증의 유형입니다.u2f
(속성) U2F는 U2F 장치에 대한 설정입니다. (자세한 내용은 중첩 스키마 아래 참조)webauthn
(속성) Webauthn은 서버 측 웹 인증 지원에 대한 설정입니다. (자세한 내용은 중첩 스키마 아래 참조)
spec.device_trust
에 대한 중첩 스키마
선택 사항:
auto_enroll
(불린) 장치 자동 등록을 활성화합니다. 자동 등록은 이미 등록되지 않은 알려진 장치에 대해 사용자가 장치 등록 토큰을 발급할 수 있게 해줍니다.tsh
는 적절할 때 사용자 로그인 시 장치를 자동으로 등록하기 위해 자동 등록을 활용합니다. 효과적인 클러스터 모드는 여전히 적용됩니다: AutoEnroll=true는 Mode="off"인 경우 의미가 없습니다.ekcert_allowed_cas
(문자열 목록) PEM 형식의 EKCert CA 허용 목록입니다. 이 값이 존재하면 여기서 지정한 CA로 서명된 EKCert를 제시하는 TPM 장치만 등록될 수 있습니다 (기존 등록은 변경되지 않음). 존재하지 않으면 TPM EKCerts의 CA가 등록 중에 확인되지 않으며, 이를 통해 어떤 장치든 등록할 수 있습니다.mode
(문자열) 신뢰할 수 있는 장치의 검증 모드입니다. 지원되는 모드는 다음과 같습니다: - "off": 장치 인증 및 인가를 모두 비활성화합니다. - "optional": 장치 인증 및 인가를 허용하지만 민감한 끝점에 대한 장치 확장의 존재를 강제하지는 않습니다. - "required": 민감한 끝점에 대한 장치 확장의 존재를 강제합니다. OSS의 경우 모드는 항상 "off"입니다. 엔터프라이즈의 경우 기본값은 "optional"입니다.
spec.hardware_key
에 대한 중첩 스키마
선택 사항:
piv_slot
(문자열) PIVSlot은 텔레포트 클라이언트가 개인 키 정책에 따라 기본값 대신 사용해야 하는 PIV 슬롯입니다. 예: "9a" 또는 "9e"입니다.serial_number_validation
(속성) SerialNumberValidation은 하드웨어 키 일련 번호 검증에 대한 설정을 보유합니다. 기본적으로 일련 번호 검증은 비활성화되어 있습니다. (자세한 내용은 중첩 스키마 아래 참조)
spec.hardware_key.serial_number_validation
에 대한 중첩 스키마
선택 사항:
enabled
(불린) Enabled는 하드웨어 키 일련 번호 검증이 활성화되었는지를 나타냅니다.serial_number_trait_name
(문자열) SerialNumberTraitName은 하드웨어 키 일련 번호에 대한 사용자 특성이름의 사용자 정의 선택적 이름입니다. 기본값: "hardware_key_serial_numbers"를 대체합니다. 참고: 이 사용자 특성에 대한 값은 쉼표로 구분된 일련 번호 목록이거나 쉼표로 구분된 목록의 목록이어야 합니다. 예: ["123", "345,678"]입니다.
spec.idp
에 대한 중첩 스키마
선택 사항:
saml
(속성) SAML은 텔레포트 SAML IdP와 관련된 옵션입니다. (자세한 내용은 중첩 스키마 아래 참조)
spec.idp.saml
에 대한 중첩 스키마
선택 사항:
enabled
(불린)
spec.okta
에 대한 중첩 스키마
선택 사항:
sync_period
(문자열) SyncPeriod는 동기화 호출 간의 지속 시간입니다(나노초 단위).
spec.u2f
에 대한 중첩 스키마
선택 사항:
app_id
(문자열) AppID는 일반적인 두 번째 요소에 대한 응용 프로그램 ID를 반환합니다.device_attestation_cas
(문자열 목록) DeviceAttestationCAs는 U2F 장치에 대한 신뢰able 증명 CA 목록을 포함합니다.facets
(문자열 목록) Facets는 일반적인 두 번째 요소에 대한 패싯을 반환합니다. 사용 중단: 이전 호환성 이유로 유지되지만 Teleport v10부터 U2F 구현을 대체한 Webauthn으로 인해 패싯은 영향을 주지 않습니다.
spec.webauthn
에 대한 중첩 스키마
선택 사항:
attestation_allowed_cas
(문자열 목록) PEM 형식의 장치 증명 CA 허용 목록입니다. 이 값이 존재하면, 여기서 지정된 인증서와 일치하는 증명서를 가진 장치만 등록될 수 있습니다 (기존 등록은 변경되지 않음). AttestationDeniedCAs와 함께 제공되면 등록을 허용하기 위해 두 조건이 모두 참이어야 하며 (장치는 허용된 CA와 일치해야 하며 거부된 CA와 일치하지 않아야 함). 기본적으로 모든 장치는 허용됩니다.attestation_denied_cas
(문자열 목록) PEM 형식의 장치 증명 CA 거부 목록입니다. 이 값이 존재하면, 여기서 지정된 인증서와 일치하지 않는 증명서를 가진 장치만 등록될 수 있습니다 (기존 등록은 변경되지 않음). AttestationAllowedCAs와 함께 제공되면 등록을 허용하기 위해 두 조건이 모두 참이어야 하며 (장치는 허용된 CA와 일치해야 하며 거부된 CA와 일치하지 않아야 함). 기본적으로 거부된 장치는 없습니다.rp_id
(문자열) RPID는 의존 당사자의 ID입니다. 텔레포트 설치의 도메인 이름으로 설정해야 합니다. 중요한: RPID는 클러스터 생애 동안 결코 변경되어서는 안 되며, 이는 WebAuthn 장치의 등록 데이터에 기록됩니다. RPID가 변경되면 모든 기존 WebAuthn 키 등록이 무효가 되고 WebAuthn을 두 번째 요소로 사용하는 모든 사용자는 재등록해야 합니다.
metadata
에 대한 중첩 스키마
선택 사항:
description
(문자열) Description은 객체 설명입니다.expires
(문자열) Expires는 시스템 내의 모든 리소스에 설정할 수 있는 글로벌 만료 시간 헤더입니다.labels
(문자열 맵) Labels는 레이블 집합입니다.