Teleport 권한 부여

Teleport가 사용자와 역할을 권한 부여하는 방법을 설명합니다.

Teleport는 인증과 권한 부여를 모두 처리합니다. 인증은 사용자 또는 서비스의 신원을 증명하는 것입니다. 권한 부여는 무언가에 대한 접근 권한을 증명하는 것입니다. 이 문서에서는 RBAC를 통한 사용자 및 서비스의 권한 부여를 설명합니다. 사용자 및 역할 # Teleport는 여러 유형의 사용자 계정을 지원합니다: 대화형 및 비대화형. 로컬 및 외부. 각 사용자는 성공적인 인증 후 하나 이상의 역할과 연결됩니다. 대화형 사용자 # 대화형 사용자는 로컬 또는 외부 사용자일 수 있습니다. 로컬 사용자 계정은 Teleport 백엔드에 로그인 자격 증명(비밀번호 해시 및 MFA 장치 데이터)을 저장합니다. 외부 사용자 계정은 SSO 프로토콜(OAuth 2.0, OIDC 또는 SAML)을 사용하여 서드파티 identity provider로 인증합니다. SSO 공급자의 외부 사용자 # 조직의 SSO 공급자를 사용하여 Teleport에 인증하는 Alice의 예를 살펴보겠습니다: Tip SSO 사용자가 로그인할 때마다, Teleport는 SSO 세션과 함께 자동으로 만료되고 감사 로그 항목을 기록하는 임시 사용자 계정 레코드를 생성합니다. Teleport는 로컬 사용자와의 이름 충돌을 피하기 위해 이 레코드를 생성합니다. 다른 클러스터의 외부 사용자 # 사용자는 다른 클러스터 또는 인증 기관이 이 클러스터가 신뢰하는 인증서를 발급하는 경우 Teleport 클러스터에 외부 사용자가 될 수 있습니다. 이 경우, Teleport는 신뢰할 수 있는 클러스터 매핑 로직 을 활성화합니다. 로컬 대화형 사용자 # 로컬 대화형 사용자는 Teleport 백엔드에 자격 증명이 있는 레코드를 가집니다. 클러스터 관리자는 tctl users add 또는 API 호출로 모든 Teleport 사용자에 대한 계정 항목을 만들어야 합니다. 모든 로컬 Teleport 사용자는 하나 이상의 역할 목록과 연결되어야 합니다. 이 목록을 "역할 매핑"이라고 합니다. 비대화형 사용자 # Teleport는 Jenkins 또는 조직에서 실행 중인 마이크로서비스와 같은 자동화 서비스를 위한 비대화형 사용자를 지원합니다. 로컬 비대화형 사용자 # 로컬 비대화형 사용자도 이름을 역할에 매핑하는 사용자 항목을 가지지만, 데이터베이스에 자격 증명이 저장되어 있지 않습니다. 비대화형 사용자는 Teleport Machine & Workload Identity 제품을 사용하여 인증서를 받고 갱신해야 합니다. Teleport Machine & Workload Identity의 Bot은 서비스 옆에서 실행되며 비대화형 사용자를 대신하여 SSH 및 X.509 인증서를 교체합니다: 외부 비대화형 사용자 # 외부 비대화형 사용자는 로컬 사용자처럼 동작하지만, 해당 인증서는 다른 클러스터 또는 인증 기관에 의해 발급됩니다. Teleport 백엔드에 로컬 사용자 레코드가 없습니다. Teleport는 이 사용 사례를 지원하기 위해 신뢰할 수 있는 클러스터 매핑 로직 을 활성화합니다. 역할 기반 접근