이 가이드는 Teleport의 다양한 사용자 유형과 이들이 생성되는 방법, 그리고 그 속성에 대해 설명합니다.
로컬 사용자
로컬 사용자는 Teleport에서 생성됩니다. 이들은 아이덴티티 제공자와 같은 외부 시스템에서 오는 것이 아닙니다.
로컬 사용자는 CLI(tctl users add
)를 통해, 사용자 리소스 매니페스트를 적용하여(tctl create -f user.yaml
) 또는 웹 UI를 통해 생성할 수 있습니다. 그들의 역할과 특성은 Teleport에서 직접 수정할 수 있습니다.
이 사용자들은 사용자 이름/비밀번호 및/또는 WebAuthn 물리적 토큰, 패스키 또는 일회용 비밀번호와 같은 추가 인증 요소를 통해 Teleport에 직접 연결할 수 있습니다.
로컬 사용자 로그인은 cluster_auth_preference
또는 teleport.yaml
을 통해 비활성화할 수 있습니다. 로컬 인증 비활성화는 FIPS/FedRAMP 준수를 위해 필요합니다.
특수 사례: 봇
기계 ID는 머신이 Teleport 클러스터에 인증할 수 있도록 하는 아이덴티티를 제공합니다. 이 아이덴티티는 봇으로 알려져 있습니다. 봇은 Teleport에서 사용자 및 역할 리소스로 표현되며, tctl bots add
명령을 통해 생성될 수 있습니다.
비밀번호, MFA 또는 SSO를 사용하는 인간 사용자와 달리, 봇 사용자는 조인 방법을 사용하여 Teleport 서비스로 클러스터에 참가합니다. 로컬 인증이 비활성화된 경우에도 여전히 참여할 수 있습니다.
자세한 정보는 기계 ID 소개를 참조하세요.
SSO 사용자
싱글 사인온 (SSO) 사용자는 외부 아이덴티티 제공자에서 Teleport로 가져온 사용자입니다. Teleport에는 이러한 사용자를 나타내는 사용자 리소스가 포함되어 있지만, 이는 원격 시스템의 사용자를 나타내는 것일 뿐입니다.
원격 사용자는 Teleport에서 로그인 챌린지를 수행하지 않습니다. 그들은 자신의 아이덴티티 제공자(IdP)로 리디렉션되어 비밀번호, MFA 또는 상위 SSO 제공자가 요구하는 인증 방법을 입력합니다. Teleport는 인증 방법이나 사용자 자격 증명에 대해 인식하지 않으며, IdP의 응답을 신뢰합니다.
teleport.auth_service.authentication.second_factor
가 webauthn
일 경우, Teleport는 관리 작업에 대해 추가 MFA를 요청할 수 있습니다. 이는 IdP 손상에 대해 보호합니다.
SSO 사용자는 tctl
이나 Terraform 또는 Teleport Kubernetes Operator와 같은 IaC 도구를 통해 편집할 수 없습니다. 이들은 Teleport에 의해 관리됩니다.
임시 사용자
GitHub, SAML 또는 OIDC 커넥터를 통해 로그인하는 사용자는 성공적인 로그인 후 Teleport에서 생성됩니다. 이 시점에서, 그들의 역할과 특성은 커넥터 매핑에 따라 계산됩니다.
이 사용자들은 단기적입니다: Teleport 세션이 열리면 생성되고 자동으로 만료됩니다. 만료는 IdP 응답의 유효성, 사용자 역할에 의해 허용된 최대 세션 기간에 따라 동적으로 계산되며, 30시간을 초과할 수 없습니다. 이 사용자들은 tctl
을 통해 편집할 수 없으며, 삭제만 가능합니다.
SSO 설정 가이드를 참조하여 인증 커넥터를 설정하는 방법과 IdP를 통해 로그인할 수 있도록 사용자에게 권한을 부여하는 방법을 알아보세요.
동기화된 사용자
버전 15부터 Teleport는 Okta와 같은 외부 아이덴티티 제공자에서 사용자를 가져오는 것을 지원합니다.
외부 IdP에서 사용자를 동기화하면 Teleport에 로그인한 사용자와 로그인하지 않은 모든 사용자가 Teleport에 표시됩니다. 이러한 통합의 이점은 다음과 같습니다:
- IdP에서 사용자가 정지되거나 삭제되면 자동으로 사용자 잠금 및 삭제.
- 마지막 로그인 날짜와 관계없이 Teleport 내의 모든 사용자를 볼 수 있는 기능.
- 모든 IdP 사용자가 Teleport 정책의 접근 그래프에 표시됩니다.
Okta 동기화 서비스는 Okta에서 사용자가 생성될 때 새 사용자를 생성하고, Okta에서 사용자가 비활성화되거나 삭제되면 사용자를 잠그거나 삭제하는 역할을 합니다.
이 사용자들은 teleport.dev/origin: okta
레이블로 식별할 수 있으며, tctl
을 통해 편집할 수 없고, 삭제할 수만 있습니다.