InfoGrab Docs

OIDC 커넥터 V3 레퍼런스

요약

Kind: oidc Version: v3 클레임을 Teleport 역할에 매핑합니다. 사용자 정의 marshal/unmarshal을 설정하기 위한 duration 래퍼 대역 외 사용자 그룹 공급자를 구성합니다. OIDC 커넥터 스펙.

Kind: oidc
Version: v3

OIDC 커넥터를 나타냅니다.

최상위 필드#

예시:

kind: "string"
sub_kind: "string"
version: "string"
metadata: # [...]
spec: # [...]
필드 이름 설명 타입
kind 리소스 종류. string
metadata 리소스 메타데이터를 보유합니다. Metadata
spec OIDC 커넥터 스펙. OIDC Connector Spec V3
sub_kind 일부 리소스에서 사용되는 선택적 리소스 서브 종류. string
version 리소스 버전. 반드시 지정해야 합니다. 지원 값: v3. string

Claim Mapping#

클레임을 Teleport 역할에 매핑합니다.

예시:

claim: "string"
value: "string"
roles:
  - "string"
  - "string"
  - "string"
필드 이름 설명 타입
claim 클레임 이름. string
roles 일치시킬 정적 Teleport 역할 목록. []string
value 일치시킬 클레임 값. string

Duration#

사용자 정의 marshal/unmarshal을 설정하기 위한 duration 래퍼

Entra ID Groups Provider#

대역 외 사용자 그룹 공급자를 구성합니다. OIDC의 경우, 사용자의 그룹 멤버십이 최대 항목 수 200개를 초과할 때 전송되는 "groups" 클레임에 대한 그룹 클레임 소스를 따라가는 방식으로 작동합니다. SAML의 경우, 사용자의 그룹 멤버십이 최대 항목 수 150개를 초과할 때 "groups" SAML 속성 대신 전송되는 "groups.link" SAML 속성을 따라가는 방식으로 작동합니다.

예시:

disabled: true
group_type: "string"
graph_endpoint: "string"
필드 이름 설명 타입
disabled Entra ID가 그룹 클레임 소스로 응답할 때에도 그룹 공급자를 비활성화해야 함을 지정합니다. SCIM 또는 유사한 그룹 임포터와 같은 통합을 사용하는 경우 커넥터 기반 역할 매핑이 필요하지 않을 수 있어 비활성화를 선택할 수 있습니다. Boolean
graph_endpoint Microsoft Graph API 엔드포인트. Entra ID에서 제공하는 그룹 클레임 소스 엔드포인트는 현재 사용 중단된 Azure AD Graph 엔드포인트("https://graph.windows.net")를 가리킵니다. 이를 새로운 Microsoft Graph API 엔드포인트로 변환하기 위해 Teleport는 기본적으로 Microsoft Graph 전역 서비스 엔드포인트("https://graph.microsoft.com")를 사용합니다. GraphEndpoint를 업데이트하여 다른 Microsoft Graph 국가 클라우드 배포 엔드포인트를 가리키도록 설정하세요. string
group_type 사용자 그룹 유형 필터. 기본값은 "security-groups". 값은 "security-groups", "directory-roles", "all-groups" 중 하나입니다. string

Metadata#

리소스 메타데이터

예시:

name: "string"
description: "string"
labels:
  "string": "string"
  "string": "string"
  "string": "string"
expires: # See description
revision: "string"
필드 이름 설명 타입
description 객체 설명 string
expires 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더.
labels 레이블 세트 map[string]string
name 객체 이름 string
revision 시간에 따른 리소스 버전을 추적하는 불투명 식별자. 클라이언트는 이 값을 무시하고 변경하지 말아야 하지만, 리소스를 업데이트할 때 revision을 반환해야 합니다. string

OIDC Connector MFA Settings#

OIDC MFA 설정을 포함합니다.

예시:

enabled: true
client_id: "string"
client_secret: "string"
acr_values: "string"
prompt: "string"
max_age: # [...]
request_object_mode: "string"
필드 이름 설명 타입
acr_values 인증 컨텍스트 클래스 참조 값. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다. 일부 ID 공급자는 Okta의 "phr"(피싱 방지)과 같은 MFA 특화 컨텍스트를 지원합니다. string
client_id OIDC OAuth 앱 클라이언트 ID. string
client_secret OIDC OAuth 앱 클라이언트 시크릿. string
enabled 이 OIDC 커넥터가 MFA 확인을 지원하는지 여부를 지정합니다. 기본값은 false입니다. Boolean
max_age IdP 세션의 유효 시간(나노초). 기본값은 0으로 MFA 확인을 위해 항상 재인증을 강제합니다. IdP가 활성 사용자 세션 위에서 MFA 확인을 수행하도록 설정된 경우에만 0이 아닌 값으로 설정해야 합니다. Duration
prompt 선택적 OIDC 프롬프트. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전 호환성을 위해 기본값은 select_account입니다. string
request_object_mode 인증 요청에 JWT 보안 인증 요청(JAR)이 사용되는 방식을 결정합니다. 요청 객체라고도 하는 JAR은 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다. 생략하면 MFA 흐름은 기본 OIDC 커넥터에 지정된 RequestObjectMode 동작을 기본값으로 사용합니다. MFA 클라이언트에 대한 요청 객체를 명시적으로 비활성화하려면 이 속성을 'none'으로 설정하세요. string

OIDC Connector Spec V3#

OIDC 커넥터 스펙. OpenID Connect 호환 외부 ID 공급자 구성을 지정합니다: https://openid.net/specs/openid-connect-core-1_0.html

예시:

issuer_url: "string"
client_id: "string"
client_secret: "string"
acr_values: "string"
provider: "string"
display: "string"
scope:
  - "string"
  - "string"
  - "string"
prompt: "string"
claims_to_roles:
  - # [...]
  - # [...]
  - # [...]
google_service_account_uri: "string"
google_service_account: "string"
google_admin_email: "string"
redirect_url: # [...]
allow_unverified_email: true
username_claim: "string"
max_age: # [...]
client_redirect_settings: # [...]
mfa: # [...]
pkce_mode: "string"
user_matchers:
  - "string"
  - "string"
  - "string"
request_object_mode: "string"
entra_id_groups_provider: # [...]
필드 이름 설명 타입
acr_values 인증 컨텍스트 클래스 참조 값. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다. string
allow_unverified_email 이메일이 검증되지 않은 OIDC 사용자를 허용하도록 커넥터에 지시합니다. Boolean
claims_to_roles 클레임에서 역할로의 동적 매핑을 지정합니다. []Claim Mapping
client_id 인증 클라이언트(Teleport Auth Service)의 ID. string
client_redirect_settings 표준 localhost 이외의 비브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. SSO Client Redirect Settings
client_secret 클라이언트 인증에 사용됩니다. string
display 이 공급자의 친숙한 이름. string
entra_id_groups_provider 대역 외 사용자 그룹 공급자를 구성합니다. OIDC의 경우, 사용자의 그룹 멤버십이 최대 항목 수 200개를 초과할 때 전송되는 "groups" 클레임에 대한 그룹 클레임 소스를 따라가는 방식으로 작동합니다. SAML의 경우, 사용자의 그룹 멤버십이 최대 항목 수 150개를 초과할 때 "groups" SAML 속성 대신 전송되는 "groups.link" SAML 속성을 따라가는 방식으로 작동합니다. Entra ID Groups Provider
google_admin_email 가장할 Google 관리자의 이메일. string
google_service_account Google 서비스 계정 자격 증명을 포함하는 문자열. string
google_service_account_uri Google 서비스 계정 URI 경로. string
issuer_url 공급자의 엔드포인트(예: https://accounts.google.com). string
max_age Duration
mfa 이 인증 커넥터를 통한 SSO MFA 확인 활성화 설정. OIDC Connector MFA Settings
pkce_mode PKCE(Proof Key for Code Exchange)의 구성 상태를 나타냅니다. "enabled" 또는 "disabled"일 수 있습니다. string
prompt 선택적 OIDC 프롬프트. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전 호환성을 위해 기본값은 select_account입니다. string
provider 외부 ID 공급자. string
redirect_url ID 공급자가 인증을 완료하기 위해 클라이언트를 Teleport 프록시로 다시 리디렉션하는 데 사용할 수 있는 콜백 URL 목록. 이 목록은 공급자 측의 URL과 일치해야 합니다. 주어진 인증 요청에 사용되는 URL은 요청하는 프록시의 공개 주소와 일치하도록 선택됩니다. 일치하는 항목이 없으면 목록의 첫 번째 URL이 사용됩니다. Strings
request_object_mode 인증 요청에 JWT 보안 인증 요청(JAR)이 사용되는 방식을 결정합니다. 요청 객체라고도 하는 JAR은 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다. string
scope 공급자가 설정하는 추가 범위를 지정합니다. []string
user_matchers 이 인증 커넥터가 식별자 우선 로그인에 일치해야 하는 사용자 이름을 좁히기 위한 glob 패턴 세트. []string
username_claim 사용자의 사용자 이름으로 사용할 OIDC 커넥터의 클레임 이름을 지정합니다. string

SSO Client Redirect Settings#

비브라우저 SSO 로그인에 허용되는 추가 클라이언트 리디렉션 URL을 정의하는 설정을 포함합니다.

예시:

allowed_https_hostnames:
  - "string"
  - "string"
  - "string"
insecure_allowed_cidr_ranges:
  - "string"
  - "string"
  - "string"
필드 이름 설명 타입
allowed_https_hostnames https 클라이언트 리디렉션 URL에 허용되는 호스트 이름 목록. []string
insecure_allowed_cidr_ranges HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용되는 CIDR 목록. []string

Strings#

스칼라 YAML 또는 JSON 속성에서 문자열 목록 또는 스칼라 문자열로 unmarshal할 수 있는 문자열 목록.

OIDC 커넥터 V3 레퍼런스

원문 보기
요약

Kind: oidc Version: v3 클레임을 Teleport 역할에 매핑합니다. 사용자 정의 marshal/unmarshal을 설정하기 위한 duration 래퍼 대역 외 사용자 그룹 공급자를 구성합니다. OIDC 커넥터 스펙.

Kind: oidc
Version: v3

OIDC 커넥터를 나타냅니다.

최상위 필드#

예시:

kind: "string"
sub_kind: "string"
version: "string"
metadata: # [...]
spec: # [...]
필드 이름 설명 타입
kind 리소스 종류. string
metadata 리소스 메타데이터를 보유합니다. Metadata
spec OIDC 커넥터 스펙. OIDC Connector Spec V3
sub_kind 일부 리소스에서 사용되는 선택적 리소스 서브 종류. string
version 리소스 버전. 반드시 지정해야 합니다. 지원 값: v3. string

Claim Mapping#

클레임을 Teleport 역할에 매핑합니다.

예시:

claim: "string"
value: "string"
roles:
  - "string"
  - "string"
  - "string"
필드 이름 설명 타입
claim 클레임 이름. string
roles 일치시킬 정적 Teleport 역할 목록. []string
value 일치시킬 클레임 값. string

Duration#

사용자 정의 marshal/unmarshal을 설정하기 위한 duration 래퍼

Entra ID Groups Provider#

대역 외 사용자 그룹 공급자를 구성합니다. OIDC의 경우, 사용자의 그룹 멤버십이 최대 항목 수 200개를 초과할 때 전송되는 "groups" 클레임에 대한 그룹 클레임 소스를 따라가는 방식으로 작동합니다. SAML의 경우, 사용자의 그룹 멤버십이 최대 항목 수 150개를 초과할 때 "groups" SAML 속성 대신 전송되는 "groups.link" SAML 속성을 따라가는 방식으로 작동합니다.

예시:

disabled: true
group_type: "string"
graph_endpoint: "string"
필드 이름 설명 타입
disabled Entra ID가 그룹 클레임 소스로 응답할 때에도 그룹 공급자를 비활성화해야 함을 지정합니다. SCIM 또는 유사한 그룹 임포터와 같은 통합을 사용하는 경우 커넥터 기반 역할 매핑이 필요하지 않을 수 있어 비활성화를 선택할 수 있습니다. Boolean
graph_endpoint Microsoft Graph API 엔드포인트. Entra ID에서 제공하는 그룹 클레임 소스 엔드포인트는 현재 사용 중단된 Azure AD Graph 엔드포인트("https://graph.windows.net")를 가리킵니다. 이를 새로운 Microsoft Graph API 엔드포인트로 변환하기 위해 Teleport는 기본적으로 Microsoft Graph 전역 서비스 엔드포인트("https://graph.microsoft.com")를 사용합니다. GraphEndpoint를 업데이트하여 다른 Microsoft Graph 국가 클라우드 배포 엔드포인트를 가리키도록 설정하세요. string
group_type 사용자 그룹 유형 필터. 기본값은 "security-groups". 값은 "security-groups", "directory-roles", "all-groups" 중 하나입니다. string

Metadata#

리소스 메타데이터

예시:

name: "string"
description: "string"
labels:
  "string": "string"
  "string": "string"
  "string": "string"
expires: # See description
revision: "string"
필드 이름 설명 타입
description 객체 설명 string
expires 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더.
labels 레이블 세트 map[string]string
name 객체 이름 string
revision 시간에 따른 리소스 버전을 추적하는 불투명 식별자. 클라이언트는 이 값을 무시하고 변경하지 말아야 하지만, 리소스를 업데이트할 때 revision을 반환해야 합니다. string

OIDC Connector MFA Settings#

OIDC MFA 설정을 포함합니다.

예시:

enabled: true
client_id: "string"
client_secret: "string"
acr_values: "string"
prompt: "string"
max_age: # [...]
request_object_mode: "string"
필드 이름 설명 타입
acr_values 인증 컨텍스트 클래스 참조 값. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다. 일부 ID 공급자는 Okta의 "phr"(피싱 방지)과 같은 MFA 특화 컨텍스트를 지원합니다. string
client_id OIDC OAuth 앱 클라이언트 ID. string
client_secret OIDC OAuth 앱 클라이언트 시크릿. string
enabled 이 OIDC 커넥터가 MFA 확인을 지원하는지 여부를 지정합니다. 기본값은 false입니다. Boolean
max_age IdP 세션의 유효 시간(나노초). 기본값은 0으로 MFA 확인을 위해 항상 재인증을 강제합니다. IdP가 활성 사용자 세션 위에서 MFA 확인을 수행하도록 설정된 경우에만 0이 아닌 값으로 설정해야 합니다. Duration
prompt 선택적 OIDC 프롬프트. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전 호환성을 위해 기본값은 select_account입니다. string
request_object_mode 인증 요청에 JWT 보안 인증 요청(JAR)이 사용되는 방식을 결정합니다. 요청 객체라고도 하는 JAR은 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다. 생략하면 MFA 흐름은 기본 OIDC 커넥터에 지정된 RequestObjectMode 동작을 기본값으로 사용합니다. MFA 클라이언트에 대한 요청 객체를 명시적으로 비활성화하려면 이 속성을 'none'으로 설정하세요. string

OIDC Connector Spec V3#

OIDC 커넥터 스펙. OpenID Connect 호환 외부 ID 공급자 구성을 지정합니다: https://openid.net/specs/openid-connect-core-1_0.html

예시:

issuer_url: "string"
client_id: "string"
client_secret: "string"
acr_values: "string"
provider: "string"
display: "string"
scope:
  - "string"
  - "string"
  - "string"
prompt: "string"
claims_to_roles:
  - # [...]
  - # [...]
  - # [...]
google_service_account_uri: "string"
google_service_account: "string"
google_admin_email: "string"
redirect_url: # [...]
allow_unverified_email: true
username_claim: "string"
max_age: # [...]
client_redirect_settings: # [...]
mfa: # [...]
pkce_mode: "string"
user_matchers:
  - "string"
  - "string"
  - "string"
request_object_mode: "string"
entra_id_groups_provider: # [...]
필드 이름 설명 타입
acr_values 인증 컨텍스트 클래스 참조 값. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다. string
allow_unverified_email 이메일이 검증되지 않은 OIDC 사용자를 허용하도록 커넥터에 지시합니다. Boolean
claims_to_roles 클레임에서 역할로의 동적 매핑을 지정합니다. []Claim Mapping
client_id 인증 클라이언트(Teleport Auth Service)의 ID. string
client_redirect_settings 표준 localhost 이외의 비브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. SSO Client Redirect Settings
client_secret 클라이언트 인증에 사용됩니다. string
display 이 공급자의 친숙한 이름. string
entra_id_groups_provider 대역 외 사용자 그룹 공급자를 구성합니다. OIDC의 경우, 사용자의 그룹 멤버십이 최대 항목 수 200개를 초과할 때 전송되는 "groups" 클레임에 대한 그룹 클레임 소스를 따라가는 방식으로 작동합니다. SAML의 경우, 사용자의 그룹 멤버십이 최대 항목 수 150개를 초과할 때 "groups" SAML 속성 대신 전송되는 "groups.link" SAML 속성을 따라가는 방식으로 작동합니다. Entra ID Groups Provider
google_admin_email 가장할 Google 관리자의 이메일. string
google_service_account Google 서비스 계정 자격 증명을 포함하는 문자열. string
google_service_account_uri Google 서비스 계정 URI 경로. string
issuer_url 공급자의 엔드포인트(예: https://accounts.google.com). string
max_age Duration
mfa 이 인증 커넥터를 통한 SSO MFA 확인 활성화 설정. OIDC Connector MFA Settings
pkce_mode PKCE(Proof Key for Code Exchange)의 구성 상태를 나타냅니다. "enabled" 또는 "disabled"일 수 있습니다. string
prompt 선택적 OIDC 프롬프트. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전 호환성을 위해 기본값은 select_account입니다. string
provider 외부 ID 공급자. string
redirect_url ID 공급자가 인증을 완료하기 위해 클라이언트를 Teleport 프록시로 다시 리디렉션하는 데 사용할 수 있는 콜백 URL 목록. 이 목록은 공급자 측의 URL과 일치해야 합니다. 주어진 인증 요청에 사용되는 URL은 요청하는 프록시의 공개 주소와 일치하도록 선택됩니다. 일치하는 항목이 없으면 목록의 첫 번째 URL이 사용됩니다. Strings
request_object_mode 인증 요청에 JWT 보안 인증 요청(JAR)이 사용되는 방식을 결정합니다. 요청 객체라고도 하는 JAR은 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다. string
scope 공급자가 설정하는 추가 범위를 지정합니다. []string
user_matchers 이 인증 커넥터가 식별자 우선 로그인에 일치해야 하는 사용자 이름을 좁히기 위한 glob 패턴 세트. []string
username_claim 사용자의 사용자 이름으로 사용할 OIDC 커넥터의 클레임 이름을 지정합니다. string

SSO Client Redirect Settings#

비브라우저 SSO 로그인에 허용되는 추가 클라이언트 리디렉션 URL을 정의하는 설정을 포함합니다.

예시:

allowed_https_hostnames:
  - "string"
  - "string"
  - "string"
insecure_allowed_cidr_ranges:
  - "string"
  - "string"
  - "string"
필드 이름 설명 타입
allowed_https_hostnames https 클라이언트 리디렉션 URL에 허용되는 호스트 이름 목록. []string
insecure_allowed_cidr_ranges HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용되는 CIDR 목록. []string

Strings#

스칼라 YAML 또는 JSON 속성에서 문자열 목록 또는 스칼라 문자열로 unmarshal할 수 있는 문자열 목록.