클러스터 인증 기본 설정 리소스 참조

Teleport 클러스터 인증 기본 설정 리소스의 모든 필드에 대한 포괄적인 목록을 제공합니다.

클러스터 인증 기본 설정 리소스는 인증을 위한 전역 클러스터 구성 옵션을 포함합니다. metadata: name: cluster-auth-preference spec: # 클러스터에 허용되는 2단계 인증 방법 목록을 설정합니다. # 가능한 값: "otp", "webauthn", "sso". # 기본값은 ["otp"]입니다. second_factors: [ "webauthn" , "otp" ] # second_factors는 클러스터에 허용되는 2단계 인증 방법 목록입니다. # 가능한 값: "on", "otp", "webauthn" # "on"으로 설정하면 모든 MFA 프로토콜이 지원됩니다. # # second_factors 설정을 권장합니다. #second_factor: "webauthn" # OIDC 또는 SAML 커넥터의 이름. 설정되지 않으면 백엔드의 첫 번째 커넥터가 사용됩니다. connector_name: "" # webauthn은 서버 측 웹 인증 지원 설정입니다. webauthn: # rp_id는 신뢰 당사자(Relying Party)의 ID입니다. # Teleport 설치의 도메인 이름으로 설정해야 합니다. # # 중요: rp_id는 클러스터 수명 동안 절대 변경하지 마세요. # WebAuthn 장치의 등록 데이터에 기록되기 때문입니다. rp_id가 # 변경되면 기존의 모든 WebAuthn 키 등록이 무효화되고 # WebAuthn을 2단계 인증으로 사용하는 모든 사용자가 다시 # 등록해야 합니다. rp_id: teleport.example.com # PEM 형식의 장치 증명 CA 허용 목록. # 설정된 경우, 여기에 지정된 인증서와 일치하는 증명 인증서를 가진 # 장치만 등록할 수 있습니다(기존 등록은 변경되지 않음). # `attestation_denied_cas`와 함께 제공되면 두 조건이 모두 # 충족되어야 등록이 허용됩니다(장치가 허용된 CA와 일치해야 하고 # 거부된 CA와 일치하지 않아야 함). # 기본적으로 모든 장치가 허용됩니다. attestation_allowed_cas: [] # PEM 형식의 장치 증명 CA 거부 목록. # 설정된 경우, 여기에 지정된 인증서와 일치하지 않는 증명 인증서를 가진 # 장치만 등록할 수 있습니다(기존 등록은 변경되지 않음). attestation_denied_cas: [] # 사용자 로그인 세션에 대해 세션별 MFA 또는 PIV 하드웨어 키 제한을 적용합니다. # 가능한 값: true, false, "hardware_key", "hardware_key_touch". # 기본값은 false입니다. require_session_mfa: false # 만료된 클라이언트 인증서로의 연결을 끊을지 여부를 설정합니다. disconnect_expired_cert: false # 헤드리스 인증 허용 여부를 설정합니다. # 헤드리스 인증은 WebAuthn이 필요합니다. # webauthn이 구성된 경우 기본값은 true입니다. allow_headless: false # 다른 인증 방식과 함께