인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
teleport_oidc_connector Terraform 리소스에 대한 참조
사용 예시
# Teleport OIDC 커넥터
#
# OIDC 커넥터는 Teleport Enterprise에서만 작동합니다.
variable "oidc_secret" {}
resource "teleport_oidc_connector" "example" {
version = "v3"
metadata = {
name = "example"
labels = {
test = "yes"
}
}
spec = {
client_id = "client"
client_secret = var.oidc_secret
claims_to_roles = [{
claim = "test"
roles = ["terraform"]
}]
redirect_url = ["https://example.com/redirect"]
}
}
스키마
필수
spec
(속성) Spec은 OIDC 커넥터 사양입니다. (아래의 중첩 스키마 참조)(#nested-schema-for-spec)version
(문자열) Version은 리소스 버전입니다. 필수로 지정해야 합니다. 지원되는 값은:v3
.
선택적
metadata
(속성) Metadata는 리소스 메타데이터를 포함합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-metadata)sub_kind
(문자열) SubKind는 선택적 리소스 하위 종류로, 일부 리소스에서 사용됩니다.
spec
의 중첩 스키마
선택적:
acr_values
(문자열) ACR은 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며, ID 공급자에 따라 다릅니다.allow_unverified_email
(부울) AllowUnverifiedEmail은 커넥터가 확인되지 않은 이메일을 가진 OIDC 사용자를 수락하도록 지시합니다.claims_to_roles
(속성 목록) ClaimsToRoles는 클레임에서 역할로의 동적 매핑을 지정합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-specclaims_to_roles)client_id
(문자열) ClientID는 인증 클라이언트(Teleport Auth Service)의 ID입니다.client_redirect_settings
(속성) ClientRedirectSettings는 표준 로컬호스트 외에 비 브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-specclient_redirect_settings)client_secret
(문자열, 민감 정보) ClientSecret은 클라이언트를 인증하는 데 사용됩니다.display
(문자열) Display는 이 공급자에 대한 표시 이름입니다.google_admin_email
(문자열) GoogleAdminEmail은 가장하는 구글 관리자의 이메일입니다.google_service_account
(문자열, 민감 정보) GoogleServiceAccount는 구글 서비스 계정 자격 증명을 포함하는 문자열입니다.google_service_account_uri
(문자열) GoogleServiceAccountURI는 구글 서비스 계정 URI의 경로입니다.issuer_url
(문자열) IssuerURL은 공급자의 엔드포인트입니다. 예: https://accounts.google.com.max_age
(문자열)mfa
(속성) MFASettings는 이 인증 커넥터를 통해 SSO MFA 검사를 활성화하는 설정을 포함합니다. (아래의 중첩 스키마 참조)(#nested-schema-for-specmfa)prompt
(문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 호환성을 위해 select_account로 기본 설정됩니다.provider
(문자열) Provider는 외부 ID 공급자입니다.redirect_url
(문자열 목록) RedirectURLs는 ID 공급자가 클라이언트를 리디렉션하여 Teleport Proxy로 인증을 완료하는 데 사용할 수 있는 콜백 URL 목록입니다. 이 목록은 공급자의 측과 일치해야 합니다. 특정 인증 요청에 사용되는 URL은 요청하는 Proxy의 공개 주소와 일치하도록 선택됩니다. 일치하는 항목이 없으면 목록의 첫 번째 URL이 사용됩니다.scope
(문자열 목록) Scope는 공급자가 설정한 추가 범위를 지정합니다.username_claim
(문자열) UsernameClaim은 OIDC 커넥터에서 사용자의 사용자 이름으로 사용할 클레임의 이름을 지정합니다.
spec.claims_to_roles
에 대한 중첩 스키마
선택 사항:
claim
(문자열) Claim은 클레임 이름입니다.roles
(문자열 목록) Roles는 일치하는 정적 teleport 역할 목록입니다.value
(문자열) Value는 일치하는 클레임 값입니다.
spec.client_redirect_settings
에 대한 중첩 스키마
선택 사항:
allowed_https_hostnames
(문자열 목록) https 클라이언트 리디렉션 URL에 허용된 호스트 이름 목록입니다.insecure_allowed_cidr_ranges
(문자열 목록) HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용된 CIDR 목록입니다.
spec.mfa
에 대한 중첩 스키마
선택 사항:
acr_values
(문자열) AcrValues는 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며, 아이덴티티 공급자에 따라 달라집니다. 일부 아이덴티티 공급자는 MFA 특정 컨텍스트를 지원합니다. 예를 들어, Okta의 "phr" (피싱 저항) ACR.client_id
(문자열) ClientID는 OIDC OAuth 앱 클라이언트 ID입니다.client_secret
(문자열) ClientSecret은 OIDC OAuth 앱 클라이언트 비밀번호입니다.enabled
(부울) Enabled는 이 OIDC 커넥터가 MFA 검사를 지원하는지 여부를 지정합니다. 기본값은 false입니다.max_age
(문자열) MaxAge는 IdP 세션이 유효한 시간(나노초)입니다. 기본값은 0으로, MFA 검사 시 항상 다시 인증하도록 강제합니다. 이는 IdP가 활성 사용자 세션 위에서 MFA 검사를 수행하도록 설정된 경우에만 0이 아닌 값으로 설정해야 합니다.prompt
(문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전과의 호환성을 위해 기본값은 select_account입니다.
metadata
에 대한 중첩 스키마
필수:
name
(문자열) Name은 객체 이름입니다.
선택 사항:
description
(문자열) Description은 객체 설명입니다.expires
(문자열) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.labels
(문자열 맵) Labels는 레이블 집합입니다.