InfoGrab Docs

사용자 유형

요약

이 가이드는 Teleport의 다양한 사용자 유형, 생성 방법 및 속성에 대해 설명합니다. 로컬 사용자는 Teleport에서 생성됩니다. 로컬 사용자는 CLI(tctl users add), 사용자 리소스 매니페스트 적용(tctl create -f user.yaml) 또는 웹 UI를 통해 생성할 수 있습니다.

이 가이드는 Teleport의 다양한 사용자 유형, 생성 방법 및 속성에 대해 설명합니다.

로컬 사용자#

로컬 사용자는 Teleport에서 생성됩니다. identity provider와 같은 외부 시스템에서 온 것이 아닙니다.

로컬 사용자는 CLI(tctl users add), 사용자 리소스 매니페스트 적용(tctl create -f user.yaml) 또는 웹 UI를 통해 생성할 수 있습니다. 역할과 traits는 Teleport에서 직접 수정할 수 있습니다.

이러한 사용자들은 사용자 이름/비밀번호 및/또는 WebAuthn 물리적 토큰, 패스키 또는 일회용 비밀번호와 같은 추가 인증 요소를 통해 Teleport에 직접 연결할 수 있습니다.

로컬 사용자 로그인은 cluster_auth_preference 또는 teleport.yaml을 통해 비활성화할 수 있습니다. 로컬 인증 비활성화는 FIPS/FedRAMP 규정 준수에 필요합니다.

특수 사례: 봇#

머신 및 워크로드 아이덴티티는 머신에 Teleport 클러스터에 인증할 수 있는 신원을 제공합니다. 이 신원은 봇으로 알려져 있습니다. 봇은 Teleport에서 사용자 및 역할 리소스로 표현되며 tctl bots add 명령어로 생성할 수 있습니다.

비밀번호, MFA 또는 SSO를 사용하는 인간 사용자와 달리, 봇 사용자는 조인 방법을 사용하여 Teleport 서비스로 클러스터에 조인합니다. 로컬 인증이 비활성화된 경우에도 조인할 수 있습니다.

자세한 내용은 머신 및 워크로드 아이덴티티 소개를 참조하십시오.

SSO 사용자#

Single Sign-On (SSO) 사용자는 외부 identity provider에서 Teleport로 가져옵니다. Teleport는 이러한 사용자를 나타내는 사용자 리소스를 포함하지만, 이는 원격 시스템의 사용자 표현일 뿐입니다.

원격 사용자는 Teleport에서 로그인 인증을 수행하지 않습니다. 비밀번호, MFA 또는 업스트림 SSO 제공자가 요구하는 인증 방법을 입력하기 위해 identity provider (IdP)로 리다이렉트됩니다. Teleport는 인증 방법이나 사용자 자격 증명을 인식하지 못하며, IdP 응답을 신뢰합니다.

teleport.auth_service.authentication.second_factors["webauthn"]인 경우, Teleport는 관리 작업에 대한 추가 MFA를 요청할 수 있습니다. 이는 IdP 침해에 대한 보호입니다.

SSO 사용자는 tctl이나 Terraform 또는 Teleport Kubernetes Operator와 같은 IaC 도구를 통해 편집할 수 없습니다. Teleport가 관리합니다.

임시 사용자#

GitHub, SAML 또는 OIDC 커넥터를 통해 로그인하는 사용자는 성공적인 로그인 후 Teleport에 생성됩니다. 그 시점에 역할과 traits는 커넥터 매핑에 따라 계산됩니다.

이러한 사용자는 단기적입니다: Teleport 세션이 열릴 때 생성되고 자동으로 만료됩니다. 만료는 IdP 응답 유효성, 사용자 역할에서 허용되는 최대 세션 기간에 따라 동적으로 계산되며, 30시간을 초과할 수 없습니다. 이러한 사용자는 tctl을 통해 삭제만 가능하고 편집할 수 없습니다.

인증 커넥터 설정 및 IdP를 통한 사용자 로그인 허용 방법을 알아보려면 SSO 설정 가이드를 참조하십시오.

동기화된 사용자#

Teleport는 Okta와 같은 외부 identity provider에서 사용자를 가져오는 것을 지원합니다.

외부 IdP에서 사용자를 동기화하면 Teleport에 로그인 여부에 관계없이 모든 사용자를 표현할 수 있습니다. 이러한 통합의 이점은 다음과 같습니다:

  • IdP에서 사용자가 정지 또는 제거되면 자동 사용자 잠금 및 삭제.
  • 마지막 로그인 날짜에 관계없이 Teleport 내의 모든 사용자를 볼 수 있는 능력.
  • 모든 IdP 사용자가 Access Graph에 표시됨.

Okta 동기화 서비스는 Okta에서 새 사용자가 생성될 때 새 사용자를 생성하고, Okta에서 비활성화/제거되면 사용자를 잠금/삭제합니다.

이러한 사용자는 레이블 teleport.dev/origin: okta로 식별할 수 있으며 tctl을 통해 삭제만 가능하고 편집할 수 없습니다.

사용자 유형

원문 보기
요약

이 가이드는 Teleport의 다양한 사용자 유형, 생성 방법 및 속성에 대해 설명합니다. 로컬 사용자는 Teleport에서 생성됩니다. 로컬 사용자는 CLI(tctl users add), 사용자 리소스 매니페스트 적용(tctl create -f user.yaml) 또는 웹 UI를 통해 생성할 수 있습니다.

이 가이드는 Teleport의 다양한 사용자 유형, 생성 방법 및 속성에 대해 설명합니다.

로컬 사용자#

로컬 사용자는 Teleport에서 생성됩니다. identity provider와 같은 외부 시스템에서 온 것이 아닙니다.

로컬 사용자는 CLI(tctl users add), 사용자 리소스 매니페스트 적용(tctl create -f user.yaml) 또는 웹 UI를 통해 생성할 수 있습니다. 역할과 traits는 Teleport에서 직접 수정할 수 있습니다.

이러한 사용자들은 사용자 이름/비밀번호 및/또는 WebAuthn 물리적 토큰, 패스키 또는 일회용 비밀번호와 같은 추가 인증 요소를 통해 Teleport에 직접 연결할 수 있습니다.

로컬 사용자 로그인은 cluster_auth_preference 또는 teleport.yaml을 통해 비활성화할 수 있습니다. 로컬 인증 비활성화는 FIPS/FedRAMP 규정 준수에 필요합니다.

특수 사례: 봇#

머신 및 워크로드 아이덴티티는 머신에 Teleport 클러스터에 인증할 수 있는 신원을 제공합니다. 이 신원은 봇으로 알려져 있습니다. 봇은 Teleport에서 사용자 및 역할 리소스로 표현되며 tctl bots add 명령어로 생성할 수 있습니다.

비밀번호, MFA 또는 SSO를 사용하는 인간 사용자와 달리, 봇 사용자는 조인 방법을 사용하여 Teleport 서비스로 클러스터에 조인합니다. 로컬 인증이 비활성화된 경우에도 조인할 수 있습니다.

자세한 내용은 머신 및 워크로드 아이덴티티 소개를 참조하십시오.

SSO 사용자#

Single Sign-On (SSO) 사용자는 외부 identity provider에서 Teleport로 가져옵니다. Teleport는 이러한 사용자를 나타내는 사용자 리소스를 포함하지만, 이는 원격 시스템의 사용자 표현일 뿐입니다.

원격 사용자는 Teleport에서 로그인 인증을 수행하지 않습니다. 비밀번호, MFA 또는 업스트림 SSO 제공자가 요구하는 인증 방법을 입력하기 위해 identity provider (IdP)로 리다이렉트됩니다. Teleport는 인증 방법이나 사용자 자격 증명을 인식하지 못하며, IdP 응답을 신뢰합니다.

teleport.auth_service.authentication.second_factors["webauthn"]인 경우, Teleport는 관리 작업에 대한 추가 MFA를 요청할 수 있습니다. 이는 IdP 침해에 대한 보호입니다.

SSO 사용자는 tctl이나 Terraform 또는 Teleport Kubernetes Operator와 같은 IaC 도구를 통해 편집할 수 없습니다. Teleport가 관리합니다.

임시 사용자#

GitHub, SAML 또는 OIDC 커넥터를 통해 로그인하는 사용자는 성공적인 로그인 후 Teleport에 생성됩니다. 그 시점에 역할과 traits는 커넥터 매핑에 따라 계산됩니다.

이러한 사용자는 단기적입니다: Teleport 세션이 열릴 때 생성되고 자동으로 만료됩니다. 만료는 IdP 응답 유효성, 사용자 역할에서 허용되는 최대 세션 기간에 따라 동적으로 계산되며, 30시간을 초과할 수 없습니다. 이러한 사용자는 tctl을 통해 삭제만 가능하고 편집할 수 없습니다.

인증 커넥터 설정 및 IdP를 통한 사용자 로그인 허용 방법을 알아보려면 SSO 설정 가이드를 참조하십시오.

동기화된 사용자#

Teleport는 Okta와 같은 외부 identity provider에서 사용자를 가져오는 것을 지원합니다.

외부 IdP에서 사용자를 동기화하면 Teleport에 로그인 여부에 관계없이 모든 사용자를 표현할 수 있습니다. 이러한 통합의 이점은 다음과 같습니다:

  • IdP에서 사용자가 정지 또는 제거되면 자동 사용자 잠금 및 삭제.
  • 마지막 로그인 날짜에 관계없이 Teleport 내의 모든 사용자를 볼 수 있는 능력.
  • 모든 IdP 사용자가 Access Graph에 표시됨.

Okta 동기화 서비스는 Okta에서 새 사용자가 생성될 때 새 사용자를 생성하고, Okta에서 비활성화/제거되면 사용자를 잠금/삭제합니다.

이러한 사용자는 레이블 teleport.dev/origin: okta로 식별할 수 있으며 tctl을 통해 삭제만 가능하고 편집할 수 없습니다.