SAML 커넥터 V2 참조
요약
Kind: saml Version: v2 암호화 및 서명에 사용할 수 있는 공개 인증서와 개인 키의 조합입니다. SAML 속성 명세문을 Teleport 역할에 매핑합니다. 기존 SAML 세션을 수락할지 아니면 재인증을 강제할지 여부를 지정합니다.
Kind: saml
Version: v2
SAML 커넥터를 나타냅니다.
최상위 필드#
예시:
kind: "string"
sub_kind: "string"
version: "string"
metadata: # [...]
spec: # [...]
| 필드명 | 설명 | 타입 |
|---|---|---|
| kind | 리소스 종류. | string |
| metadata | 리소스 메타데이터를 보유합니다. | Metadata |
| spec | SAML 커넥터 사양. | SAML Connector Spec V2 |
| sub_kind | 일부 리소스에서 사용되는 선택적 리소스 하위 종류. | string |
| version | 리소스 버전. 반드시 지정해야 합니다. 지원되는 값: v2. |
string |
비대칭 키 쌍 (Asymmetric Key Pair)#
암호화 및 서명에 사용할 수 있는 공개 인증서와 개인 키의 조합입니다.
예시:
private_key: "string"
cert: "string"
| 필드명 | 설명 | 타입 |
|---|---|---|
| cert | PEM으로 인코딩된 x509 인증서. | string |
| private_key | PEM으로 인코딩된 x509 개인 키. | string |
속성 매핑 (Attribute Mapping)#
SAML 속성 명세문을 Teleport 역할에 매핑합니다.
예시:
name: "string"
value: "string"
roles:
- "string"
- "string"
- "string"
| 필드명 | 설명 | 타입 |
|---|---|---|
| name | 속성 명세문 이름. | string |
| roles | 매핑할 정적 Teleport 역할 목록. | []string |
| value | 매칭할 속성 명세문 값. | string |
메타데이터 (Metadata)#
리소스 메타데이터
예시:
name: "string"
description: "string"
labels:
"string": "string"
"string": "string"
"string": "string"
expires: # 설명 참조
revision: "string"
| 필드명 | 설명 | 타입 |
|---|---|---|
| description | 객체 설명 | string |
| expires | 시스템 내 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더. | |
| labels | 레이블 세트 | map[string]string |
| name | 객체 이름 | string |
| revision | 시간 경과에 따른 리소스 버전을 추적하는 불투명한 식별자. 클라이언트는 이 값을 무시하고 변경하지 않아야 하지만 리소스 업데이트 시 revision을 반환해야 합니다. | string |
SAML 커넥터 MFA 설정 (SAML Connector MFA Settings)#
SAML MFA 설정을 포함합니다.
예시:
enabled: true
entity_descriptor: "string"
entity_descriptor_url: "string"
force_authn: # [...]
issuer: "string"
sso: "string"
cert: "string"
| 필드명 | 설명 | 타입 |
|---|---|---|
| cert | ID 공급자 인증서 PEM. IDP는 이 인증서를 사용하여 \ 응답에 서명합니다. |
string |
| enabled | 이 SAML 커넥터가 MFA 검사를 지원하는지 여부를 지정합니다. 기본값은 false입니다. | Boolean |
| entity_descriptor | XML 설명자. 개별 요소 대신 하나의 XML 파일로 구성 매개변수를 제공하는 데 사용할 수 있습니다. 일반적으로 EntityDescriptorUrl에서 설정됩니다. | string |
| entity_descriptor_url | 구성 XML을 제공하는 URL. | string |
| force_authn | MFA 검사 시 재인증을 강제할지 여부를 지정합니다. UNSPECIFIED는 MFA 검사 시 항상 재인증을 수행하는 YES로 처리됩니다. IdP가 활성 사용자 세션 위에서 MFA 검사를 수행하도록 설정된 경우에만 NO로 설정해야 합니다. | SAML Force Authn |
| issuer | ID 공급자 발급자. 일반적으로 EntityDescriptor에서 설정됩니다. | string |
| sso | SSO는 ID 공급자의 SSO 서비스 URL입니다. 일반적으로 EntityDescriptor에서 설정됩니다. | string |
SAML 커넥터 사양 V2 (SAML Connector Spec V2)#
SAML 커넥터 사양입니다.
예시:
issuer: "string"
sso: "string"
cert: "string"
display: "string"
acs: "string"
audience: "string"
service_provider_issuer: "string"
entity_descriptor: "string"
entity_descriptor_url: "string"
attributes_to_roles:
- # [...]
- # [...]
- # [...]
signing_key_pair: # [...]
provider: "string"
assertion_key_pair: # [...]
allow_idp_initiated: true
client_redirect_settings: # [...]
single_logout_url: "string"
mfa: # [...]
force_authn: # [...]
preferred_request_binding: "string"
user_matchers:
- "string"
- "string"
- "string"
include_subject: true
| 필드명 | 설명 | 타입 |
|---|---|---|
| acs | 서비스 공급자(Teleport) 측의 어설션 소비자 서비스 URL. | string |
| allow_idp_initiated | 커넥터가 IdP 시작 로그인에 사용될 수 있는지 나타내는 플래그. | Boolean |
| assertion_key_pair | SAML 어설션 복호화에 사용되는 키 쌍. | Asymmetric Key Pair |
| attributes_to_roles | 속성 명세문을 역할에 매핑하는 목록. | []Attribute Mapping |
| audience | 서비스 공급자를 고유하게 식별합니다. | string |
| cert | ID 공급자 인증서 PEM. IDP는 이 인증서를 사용하여 \ 응답에 서명합니다. |
string |
| client_redirect_settings | 표준 localhost 이외의 비브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. | SSO Client Redirect Settings |
| display | 이 커넥터가 표시되는 방식을 제어합니다. | string |
| entity_descriptor | XML 설명자. 개별 요소 대신 하나의 XML 파일로 구성 매개변수를 제공하는 데 사용할 수 있습니다. | string |
| entity_descriptor_url | 구성 XML을 제공하는 URL. | string |
| force_authn | 로그인 시 재인증을 강제할지 여부를 지정합니다. UNSPECIFIED는 NO로 처리됩니다. | SAML Force Authn |
| include_subject | SAML 인증 요청에 Subject 요소를 포함할지 여부를 나타내는 플래그. 기본값은 false입니다. 참고: 일부 IdP는 Subject가 포함된 요청을 거부할 수 있습니다. | Boolean |
| issuer | ID 공급자 발급자. | string |
| mfa | 이 인증 커넥터를 통해 SSO MFA 검사를 활성화하는 설정을 포함합니다. | SAML Connector MFA Settings |
| preferred_request_binding | 선호하는 SAML 요청 바인딩 방법. 값은 "http-post" 또는 "http-redirect"여야 합니다. 일반적으로 SAML ID 공급자는 지원하는 요청 바인딩 방법을 나열하며, SAML 서비스 공급자는 선호하는 IdP 지원 요청 바인딩 방법을 사용합니다. 그러나 IdP가 제공하는 요청 바인딩 값을 따르지 않고 항상 http-redirect 바인딩을 기본값으로 사용했습니다. PreferredRequestBinding 값을 설정하면 기존 인증 커넥터 동작을 유지하고 명시적으로 구성된 경우에만 http-post 바인딩을 사용할 수 있습니다. | string |
| provider | 외부 ID 공급자. | string |
| service_provider_issuer | 서비스 공급자(Teleport)의 발급자. | string |
| signing_key_pair | AuthnRequest 서명에 사용되는 x509 키 쌍. | Asymmetric Key Pair |
| single_logout_url | SAML SLO(단일 로그아웃)를 시작하기 위한 SAML 단일 로그아웃 URL. 제공되지 않으면 SLO가 비활성화됩니다. | string |
| sso | ID 공급자의 SSO 서비스 URL. | string |
| user_matchers | 식별자 우선 로그인 시 이 인증 커넥터가 매칭해야 할 사용자 이름을 좁히는 glob 패턴 세트. | []string |
SAML Force Authn#
기존 SAML 세션을 수락할지 아니면 재인증을 강제할지 여부를 지정합니다.
SSO 클라이언트 리디렉션 설정 (SSO Client Redirect Settings)#
비브라우저 SSO 로그인에 허용해야 할 추가 클라이언트 리디렉션 URL을 정의하는 설정을 포함합니다.
예시:
allowed_https_hostnames:
- "string"
- "string"
- "string"
insecure_allowed_cidr_ranges:
- "string"
- "string"
- "string"
| 필드명 | 설명 | 타입 |
|---|---|---|
| allowed_https_hostnames | https 클라이언트 리디렉션 URL에 허용되는 호스트명 목록 | []string |
| insecure_allowed_cidr_ranges | HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용되는 CIDR 목록 | []string |