Infograb logo
사용자 유형

이 가이드는 Teleport의 다양한 종류의 사용자, 생성 방법 및 그 속성에 대해 설명합니다.

로컬 사용자

로컬 사용자는 Teleport에서 생성됩니다. 이들은 외부 시스템인 ID 공급자에서 오는 것이 아닙니다.

로컬 사용자는 CLI(tctl users add ), 사용자 리소스 매니페스트 적용(tctl create -f user.yaml ), 또는 웹 UI를 통해 생성할 수 있습니다. 이들의 역할과 특성은 Teleport에서 직접 수정할 수 있습니다.

이 사용자들은 사용자 이름/비밀번호 및/또는 WebAuthn 물리적 토큰, 패스키, 또는 일회용 비밀번호와 같은 추가 인증 요소를 통해 Teleport에 직접 연결할 수 있습니다.

로컬 사용자 로그인은 cluster_auth_preference 또는 teleport.yaml 을 통해 비활성화할 수 있습니다. 로컬 인증 비활성화는 FIPS/FedRAMP 준수를 위해 필요합니다.

특별 사례: 봇

기계 ID는 기계에 Teleport 클러스터에 인증할 수 있는 ID를 제공합니다. 이 ID는 봇으로 알려져 있습니다. 봇은 Teleport에서 사용자 및 역할 리소스로 나타내며 tctl bots add 명령어를 통해 생성할 수 있습니다.

인간 사용자는 비밀번호, MFA 또는 SSO를 사용하는 반면, 봇 사용자는 가입 방법을 사용하여 Teleport 서비스로 클러스터에 가입합니다. 그들은 로컬 인증이 비활성화되더라도 여전히 가입할 수 있습니다.

더 많은 정보는 기계 ID 소개를 참조하세요.

SSO 사용자

단일 로그인(SSO) 사용자는 외부 ID 공급자에서 Teleport로 가져옵니다. Teleport는 이러한 사용자를 나타내는 사용자 리소스를 포함하지만, 이는 원격 시스템의 사용자에 대한 단순한 표현입니다.

원격 사용자는 Teleport에서 로그인 챌린지를 수행하지 않습니다. 그들은 비밀번호, MFA 또는 상위 SSO 공급자에 의해 요구되는 어떠한 인증 방법을 입력하기 위해 ID 공급자(IdP)로 리디렉션됩니다. Teleport는 인증 방법이나 사용자 자격 증명을 인식하지 않으며, IdP 응답을 신뢰합니다.

teleport.auth_service.authentication.second_factorwebauthn 인 경우, Teleport는 관리 작업을 위해 추가 MFA를 요구할 수 있습니다. 이는 IdP 타협으로부터 보호합니다.

SSO 사용자는 tctl 또는 Terraform, Teleport Kubernetes Operator와 같은 다른 IaC 도구를 통해 편집할 수 없습니다. 이들은 Teleport에 의해 관리됩니다.

임시 사용자

GitHub, SAML 또는 OIDC 커넥터를 통해 로그인하는 사용자는 성공적으로 로그인한 후 Teleport에서 생성됩니다. 이때, 그들의 역할과 특성은 커넥터 매핑에 따라 계산됩니다.

이 사용자들은 단기간에 존재하며: Teleport 세션이 열릴 때 생성되고 자동으로 만료됩니다. 만료는 IdP 응답 유효성, 사용자 역할로 허용되는 최대 세션 기간을 기준으로 동적으로 계산되며, 30시간을 초과할 수 없습니다. 이 사용자들은 tctl 을 통해 편집할 수 없으며 삭제만 가능합니다.

사용자가 IdP를 통해 로그인할 수 있도록 인증 커넥터를 설정하는 방법은 SSO 설정 가이드를 참조하세요.

동기화된 사용자

15버전부터 Teleport는 Okta와 같은 외부 ID 공급자로부터 사용자를 가져오는 기능을 지원합니다.

외부 IdP로부터 사용자를 동기화하면 Teleport에서 로그인한 여부에 관계없이 모든 사용자를 나타낼 수 있습니다. 이러한 통합의 이점은 다음과 같습니다:

  • ID 공급자에서 사용자가 일시 중지되거나 제거되면 사용자가 자동으로 잠기거나 삭제됩니다.
  • 마지막 로그인 날짜와 관계없이 Teleport 내 모든 사용자를 볼 수 있습니다.
  • 모든 ID 공급자 사용자는 Teleport 정책의 접근 그래프에 표시됩니다.

Okta 동기화 서비스는 Okta에서 사용자가 생성될 때 새로운 사용자를 생성하고, 사용자가 비활성화되거나 제거되면 잠그거나 삭제하는 역할을 맡습니다.

이 사용자들은 teleport.dev/origin: okta 라벨로 식별할 수 있으며, tctl 을 통해 편집할 수 없고 오직 삭제만 가능합니다.

Teleport 원문 보기