인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
teleport_oidc_connector Terraform 리소스에 대한 참조
사용 예시
# Teleport OIDC 커넥터
#
# OIDC 커넥터는 Teleport Enterprise에서만 작동합니다.
variable "oidc_secret" {}
resource "teleport_oidc_connector" "example" {
version = "v3"
metadata = {
name = "example"
labels = {
test = "yes"
}
}
spec = {
client_id = "client"
client_secret = var.oidc_secret
claims_to_roles = [{
claim = "test"
roles = ["terraform"]
}]
redirect_url = ["https://example.com/redirect"]
}
}
스키마
필수
spec(속성) Spec은 OIDC 커넥터 사양입니다. (아래의 중첩 스키마 참조)(#nested-schema-for-spec)version(문자열) Version은 리소스 버전입니다. 필수로 지정해야 합니다. 지원되는 값은:v3.
선택적
metadata(속성) Metadata는 리소스 메타데이터를 포함합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-metadata)sub_kind(문자열) SubKind는 선택적 리소스 하위 종류로, 일부 리소스에서 사용됩니다.
spec 의 중첩 스키마
선택적:
acr_values(문자열) ACR은 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며, ID 공급자에 따라 다릅니다.allow_unverified_email(부울) AllowUnverifiedEmail은 커넥터가 확인되지 않은 이메일을 가진 OIDC 사용자를 수락하도록 지시합니다.claims_to_roles(속성 목록) ClaimsToRoles는 클레임에서 역할로의 동적 매핑을 지정합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-specclaims_to_roles)client_id(문자열) ClientID는 인증 클라이언트(Teleport Auth Service)의 ID입니다.client_redirect_settings(속성) ClientRedirectSettings는 표준 로컬호스트 외에 비 브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-specclient_redirect_settings)client_secret(문자열, 민감 정보) ClientSecret은 클라이언트를 인증하는 데 사용됩니다.display(문자열) Display는 이 공급자에 대한 표시 이름입니다.google_admin_email(문자열) GoogleAdminEmail은 가장하는 구글 관리자의 이메일입니다.google_service_account(문자열, 민감 정보) GoogleServiceAccount는 구글 서비스 계정 자격 증명을 포함하는 문자열입니다.google_service_account_uri(문자열) GoogleServiceAccountURI는 구글 서비스 계정 URI의 경로입니다.issuer_url(문자열) IssuerURL은 공급자의 엔드포인트입니다. 예: https://accounts.google.com.max_age(문자열)mfa(속성) MFASettings는 이 인증 커넥터를 통해 SSO MFA 검사를 활성화하는 설정을 포함합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-specmfa)prompt(문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 호환성을 위해 select_account로 기본 설정됩니다.provider(문자열) Provider는 외부 ID 공급자입니다.redirect_url(문자열 목록) RedirectURLs는 ID 공급자가 클라이언트를 리디렉션하여 Teleport Proxy로 인증을 완료하는 데 사용할 수 있는 콜백 URL 목록입니다. 이 목록은 공급자의 측과 일치해야 합니다. 특정 인증 요청에 사용되는 URL은 요청하는 Proxy의 공개 주소와 일치하도록 선택됩니다. 일치하는 항목이 없으면 목록의 첫 번째 URL이 사용됩니다.scope(문자열 목록) Scope는 공급자가 설정한 추가 범위를 지정합니다.username_claim(문자열) UsernameClaim은 OIDC 커넥터에서 사용자의 사용자 이름으로 사용할 클레임의 이름을 지정합니다.
spec.claims_to_roles 에 대한 중첩 스키마
선택 사항:
claim(문자열) Claim은 클레임 이름입니다.roles(문자열 목록) Roles는 일치하는 정적 teleport 역할 목록입니다.value(문자열) Value는 일치하는 클레임 값입니다.
spec.client_redirect_settings 에 대한 중첩 스키마
선택 사항:
allowed_https_hostnames(문자열 목록) https 클라이언트 리디렉션 URL에 허용된 호스트 이름 목록입니다.insecure_allowed_cidr_ranges(문자열 목록) HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용된 CIDR 목록입니다.
spec.mfa 에 대한 중첩 스키마
선택 사항:
acr_values(문자열) AcrValues는 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며, 아이덴티티 공급자에 따라 달라집니다. 일부 아이덴티티 공급자는 MFA 특정 컨텍스트를 지원합니다. 예를 들어, Okta의 "phr" (피싱 저항) ACR.client_id(문자열) ClientID는 OIDC OAuth 앱 클라이언트 ID입니다.client_secret(문자열) ClientSecret은 OIDC OAuth 앱 클라이언트 비밀번호입니다.enabled(부울) Enabled는 이 OIDC 커넥터가 MFA 검사를 지원하는지 여부를 지정합니다. 기본값은 false입니다.max_age(문자열) MaxAge는 IdP 세션이 유효한 시간(나노초)입니다. 기본값은 0으로, MFA 검사 시 항상 다시 인증하도록 강제합니다. 이는 IdP가 활성 사용자 세션 위에서 MFA 검사를 수행하도록 설정된 경우에만 0이 아닌 값으로 설정해야 합니다.prompt(문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전과의 호환성을 위해 기본값은 select_account입니다.
metadata 에 대한 중첩 스키마
필수:
name(문자열) Name은 객체 이름입니다.
선택 사항:
description(문자열) Description은 객체 설명입니다.expires(문자열) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.labels(문자열 맵) Labels는 레이블 집합입니다.