로그인 규칙

로그인 규칙으로 사용자 속성 변환

사용자가 구성된 SSO 프로바이더로 Teleport 클러스터에 로그인하면 로그인 규칙 은 IdP에서 제공하는 속성을 Teleport 내에서 접근 구성 요구 사항에 맞게 변환할 수 있습니다. 로그인 규칙은 Teleport Enterprise의 기능입니다. 로그인 규칙의 사용 사례는 다음과 같습니다: "db-admins" 그룹의 사용자를 "db-users" 그룹에도 추가해야 하는 것과 같이 논리 규칙에 따라 사용자 속성을 수정해야 하는 경우, 로그인 규칙은 IdP의 클레임을 수정하지 않고도 이러한 변경을 수행할 수 있는 강력한 표현 언어를 제공합니다. IdP가 많은 값을 가진 대량의 속성을 제공하는 경우, 이러한 모든 속성이 사용자의 SSH 인증서와 JWT에 포함되어 일부 서드파티 애플리케이션에서 처리하기 너무 커질 수 있습니다. 로그인 규칙을 사용하면 불필요한 속성을 필터링하고 필요한 것만 유지할 수 있습니다. 외부 속성을 조합하고 변환하는 동일한 로직을 반복하는 여러 역할 템플릿 이 있는 경우 로그인 규칙을 사용하여 로직을 한 곳에 통합하고 역할을 단순화하는 것을 고려하세요. 로그인 규칙은 조직의 IdP를 변경하지 않고도 이러한 문제를 해결할 수 있습니다. 로그인 규칙은 클러스터 구성 시 최대 유연성을 제공하기 위해 술어 언어를 사용합니다. 이를 통해 사용자에게 부여해야 하는 속성을 정의하기 위해 간단하거나 복잡한 표현식을 작성할 수 있습니다. 예를 들어 username 속성 값을 소문자로 변환하고 다음 스니펫으로 그룹 속성 값을 조건부로 확장할 수 있습니다: traits_map: username: - 'strings.lower(external.username)' groups: - 'ifelse(external.groups.contains("db-admins"), external.groups.add("db-users"), external.groups)' 로그인 규칙 가이드 를 확인하면 클러스터에 첫 번째 로그인 규칙을 작성, 테스트 및 추가하는 방법을 보여주는 빠른 안내를 볼 수 있습니다. 일반적인 사용 사례를 해결하는 방법을 배우려면 예제 로그인 규칙 을 참조하세요. 클러스터에서 로그인 규칙을 최대한 활용할 준비가 되면 로그인 규칙을 구동하는 표현 언어에 대한 자세한 내용은 로그인 규칙 참조 를 참조하세요. FAQ # 로그인 규칙은 어떤 사용자에게 적용되나요? # 로그인 규칙은 OIDC, SAML 또는 GitHub을 통해 로그인하는 모든 사용자에게 적용됩니다. 로컬 Teleport 사용자에게는 적용되지 않습니다. 로그인 규칙은 언제 평가되나요? # 로그인 규칙은 각 사용자 로그인 중에 한 번 평가됩니다. IdP에서 클레임 또는 어설션을 수신한 후, 클레임/어설션을 Teleport 역할에 매핑하기 전, 사용자 인증서를 생성하기 전에 평가됩니다. 로그인 규칙이 역할 매핑에 사용되는 속성을 수정하면 역할 매핑에 영향을 미칩니다. 술어 언어에 대한 사용자 정의 도우미 함수를 정의할 수 있나요? # 아니오, 하지만 현재 지원되는 도우미 함수로