InfoGrab Docs

teleport_auth_preference Terraform 데이터 소스 참조

이 페이지는 Teleport Terraform 공급자의 teleport_auth_preference 데이터 소스에서 지원되는 값을 설명합니다.

스키마 (Schema)#

필수 (Required)#

  • spec (Attributes) Spec은 AuthPreference 사양입니다. (아래 spec에 대한 중첩 스키마 참조)
  • version (String) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값: v2.

선택 사항 (Optional)#

  • metadata (Attributes) Metadata는 리소스 메타데이터입니다. (아래 metadata에 대한 중첩 스키마 참조)
  • sub_kind (String) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.

spec에 대한 중첩 스키마#

선택 사항:

  • allow_cli_auth_via_browser (Boolean) AllowCLIAuthViaBrowser는 CLI 세션 인증을 위한 브라우저 기반 인증을 활성화/비활성화합니다. false로 설정하면 브라우저가 필요한 인증 흐름이 비활성화됩니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • allow_headless (Boolean) AllowHeadless는 헤드리스 지원을 활성화/비활성화합니다. 헤드리스 인증에는 Webauthn이 필요합니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • allow_local_auth (Boolean) AllowLocalAuth는 로컬 인증이 활성화된 경우 true입니다.
  • allow_passwordless (Boolean) AllowPasswordless는 패스워드리스 지원을 활성화/비활성화합니다. 패스워드리스에는 Webauthn이 필요합니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • connector_name (String) ConnectorName은 OIDC 또는 SAML 커넥터의 이름입니다. 이 값이 설정되지 않으면 백엔드의 첫 번째 커넥터가 사용됩니다.
  • default_session_ttl (String) DefaultSessionTTL은 명시적인 TTL이 요청되지 않을 때 사용자 인증서에 사용할 TTL입니다.
  • device_trust (Attributes) DeviceTrust는 신뢰할 수 있는 디바이스 검증과 관련된 설정을 보유합니다. Teleport Enterprise가 필요합니다. (아래 spec.device_trust에 대한 중첩 스키마 참조)
  • disconnect_expired_cert (Boolean) DisconnectExpiredCert는 만료된 인증서 연결 해제 설정을 제공합니다. true이면 만료된 클라이언트 인증서가 있는 연결이 해제됩니다.
  • hardware_key (Attributes) HardwareKey는 하드웨어 키 지원 설정입니다. (아래 spec.hardware_key에 대한 중첩 스키마 참조)
  • idp (Attributes) IDP는 Teleport 내 IdP에 접근하는 것과 관련된 옵션 세트입니다. Teleport Enterprise가 필요합니다. (아래 spec.idp에 대한 중첩 스키마 참조)
  • locking_mode (String) LockingMode는 클러스터 전체의 기본 잠금 모드입니다.
  • message_of_the_day (String)
  • okta (Attributes) Okta는 Teleport의 Okta 서비스와 관련된 옵션 세트입니다. Teleport Enterprise가 필요합니다. (아래 spec.okta에 대한 중첩 스키마 참조)
  • require_session_mfa (Number) RequireMFAType은 이 클러스터에 적용되는 MFA 요구 사항 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • second_factor (String) SecondFactor는 다중 인증 유형입니다. 더 이상 사용되지 않음: SecondFactors를 사용하세요.
  • second_factors (List of Number) SecondFactors는 지원되는 다중 인증 유형 목록입니다. 1은 "otp", 2는 "webauthn", 3은 "sso". 지정되지 않은 경우 현재 기본값은 [1] 또는 ["otp"]입니다.
  • signature_algorithm_suite (Number) SignatureAlgorithmSuite는 클러스터에 구성된 서명 알고리즘 스위트입니다. 지정되지 않은 경우 현재 기본값은 "legacy"입니다. 1은 "legacy", 2는 "balanced-v1", 3은 "fips-v1", 4는 "hsm-v1"입니다.
  • stable_unix_user_config (Attributes) StableUnixUserConfig는 안정적인 UNIX 사용자에 대한 클러스터 전체 구성을 포함합니다. (아래 spec.stable_unix_user_config에 대한 중첩 스키마 참조)
  • type (String) Type은 인증 유형입니다.
  • u2f (Attributes) U2F는 U2F 디바이스 설정입니다. (아래 spec.u2f에 대한 중첩 스키마 참조)
  • webauthn (Attributes) Webauthn은 서버 측 웹 인증 지원 설정입니다. (아래 spec.webauthn에 대한 중첩 스키마 참조)

spec.device_trust에 대한 중첩 스키마#

선택 사항:

  • auto_enroll (Boolean) 디바이스 자동 등록을 활성화합니다. 자동 등록을 사용하면 모든 사용자가 아직 등록되지 않은 알려진 디바이스에 대한 디바이스 등록 토큰을 발행할 수 있습니다. tsh는 자동 등록을 활용하여 사용자 로그인 시 적절한 경우 자동으로 디바이스를 등록합니다. 유효 클러스터 Mode가 여전히 적용됩니다: Mode="off"인 경우 AutoEnroll=true는 의미가 없습니다.
  • ekcert_allowed_cas (List of String) PEM 형식의 EKCert CA 허용 목록. 있는 경우, 여기에 지정된 CA에 의해 서명된 EKCert를 제시하는 TPM 디바이스만 등록할 수 있습니다(기존 등록은 변경되지 않음). 없는 경우 등록 중 TPM EKCert의 CA를 확인하지 않으며, 이는 모든 디바이스가 등록될 수 있음을 허용합니다.
  • mode (String) 신뢰할 수 있는 디바이스의 검증 모드. 지원되는 모드: - "off": 디바이스 인증 및 권한 부여 모두 비활성화. - "optional": 디바이스 인증 및 권한 부여 모두 허용하지만 민감한 엔드포인트에 디바이스 확장 존재를 강제하지 않음. - "required": 민감한 엔드포인트에 디바이스 확장 존재를 강제. - "required-for-humans": 인간 사용자에 대해서만 민감한 엔드포인트에 디바이스 확장 존재를 강제(봇 제외). Mode는 OSS에서 항상 "off"입니다. Enterprise에서는 "optional"이 기본값입니다.

spec.hardware_key에 대한 중첩 스키마#

선택 사항:

  • pin_cache_ttl (String) PinCacheTTL은 하드웨어 키 PIN 정책이 활성화된 경우 Teleport 클라이언트가 사용자의 PIV PIN을 캐시하는 시간(나노초)입니다.
  • piv_slot (String) PIVSlot은 개인 키 정책을 기반으로 한 기본값 대신 Teleport 클라이언트가 사용해야 하는 PIV 슬롯입니다. 예: "9a" 또는 "9e".
  • serial_number_validation (Attributes) SerialNumberValidation은 하드웨어 키 일련 번호 검증 설정을 보유합니다. 기본적으로 일련 번호 검증은 비활성화됩니다. (아래 spec.hardware_key.serial_number_validation에 대한 중첩 스키마 참조)

spec.hardware_key.serial_number_validation에 대한 중첩 스키마#

선택 사항:

  • enabled (Boolean) Enabled는 하드웨어 키 일련 번호 검증이 활성화되어 있는지 여부를 나타냅니다.
  • serial_number_trait_name (String) SerialNumberTraitName은 기본값인 "hardware_key_serial_numbers"를 대체하는 선택적 사용자 지정 사용자 특성 이름입니다. 참고: 이 사용자 특성의 값은 쉼표로 구분된 일련 번호 목록이거나 쉼표로 구분된 목록의 목록이어야 합니다. 예: ["123", "345,678"]

spec.idp에 대한 중첩 스키마#

선택 사항:

spec.idp.saml에 대한 중첩 스키마#

선택 사항:

  • enabled (Boolean) Enabled는 이 옵션이 Teleport SAML IdP에 대한 접근을 허용하는 경우 true로 설정됩니다.

spec.okta에 대한 중첩 스키마#

선택 사항:

  • sync_period (String) SyncPeriod는 동기화 호출 간격(나노초)입니다.

spec.stable_unix_user_config에 대한 중첩 스키마#

선택 사항:

  • enabled (Boolean) Enabled는 (UNIX) Teleport SSH 호스트가 다른 구성된 UID 없이 호스트 사용자를 프로비저닝하려는 경우 제어 플레인에서 UID를 가져와야 함을 의미합니다.
  • first_uid (Number) FirstUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 시작입니다. 범위는 양쪽 끝을 포함하므로 지정된 UID가 할당될 수 있습니다.
  • last_uid (Number) LastUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 끝입니다. 범위는 양쪽 끝을 포함하므로 지정된 UID가 할당될 수 있습니다.

spec.u2f에 대한 중첩 스키마#

선택 사항:

  • app_id (String) AppID는 범용 다중 인증의 애플리케이션 ID를 반환합니다.
  • device_attestation_cas (List of String) DeviceAttestationCAs는 U2F 디바이스에 대한 신뢰할 수 있는 증명 CA를 포함합니다.
  • facets (List of String) Facets는 범용 다중 인증의 패싯을 반환합니다. 더 이상 사용되지 않음: Teleport v10에서 Webauthn이 U2F 구현을 대체한 이후로 Facets는 효과가 없으므로 하위 호환성을 위해 유지됩니다.

spec.webauthn에 대한 중첩 스키마#

선택 사항:

  • attestation_allowed_cas (List of String) PEM 형식의 디바이스 증명 CA 허용 목록. 있는 경우 증명 인증서가 여기에 지정된 인증서와 일치하는 디바이스만 등록할 수 있습니다(기존 등록은 변경되지 않음). AttestationDeniedCAs와 함께 제공된 경우 두 조건 모두 등록이 허용되기 위해 충족되어야 합니다(디바이스는 허용 CA와 일치해야 하고 거부 CA와 일치하지 않아야 합니다). 기본적으로 모든 디바이스가 허용됩니다.
  • attestation_denied_cas (List of String) PEM 형식의 디바이스 증명 CA 거부 목록. 있는 경우 증명 인증서가 여기에 지정된 인증서와 일치하지 않는 디바이스만 등록할 수 있습니다(기존 등록은 변경되지 않음). AttestationAllowedCAs와 함께 제공된 경우 두 조건 모두 등록이 허용되기 위해 충족되어야 합니다(디바이스는 허용 CA와 일치해야 하고 거부 CA와 일치하지 않아야 합니다). 기본적으로 거부되는 디바이스는 없습니다.
  • rp_id (String) RPID는 의존 당사자의 ID입니다. Teleport 설치의 도메인 이름으로 설정해야 합니다. 중요: RPID는 클러스터의 수명 동안 절대 변경되어서는 안 됩니다. WebAuthn 디바이스의 등록 데이터에 기록되기 때문입니다. RPID가 변경되면 기존의 모든 WebAuthn 키 등록이 무효화되고 다중 인증으로 WebAuthn을 사용하는 모든 사용자가 다시 등록해야 합니다.

metadata에 대한 중첩 스키마#

선택 사항:

  • description (String) Description은 객체 설명입니다.
  • expires (String) Expires는 시스템 내 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (Map of String) Labels는 레이블 세트입니다.

teleport_auth_preference Terraform 데이터 소스 참조

원문 보기

이 페이지는 Teleport Terraform 공급자의 teleport_auth_preference 데이터 소스에서 지원되는 값을 설명합니다.

스키마 (Schema)#

필수 (Required)#

  • spec (Attributes) Spec은 AuthPreference 사양입니다. (아래 spec에 대한 중첩 스키마 참조)
  • version (String) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값: v2.

선택 사항 (Optional)#

  • metadata (Attributes) Metadata는 리소스 메타데이터입니다. (아래 metadata에 대한 중첩 스키마 참조)
  • sub_kind (String) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.

spec에 대한 중첩 스키마#

선택 사항:

  • allow_cli_auth_via_browser (Boolean) AllowCLIAuthViaBrowser는 CLI 세션 인증을 위한 브라우저 기반 인증을 활성화/비활성화합니다. false로 설정하면 브라우저가 필요한 인증 흐름이 비활성화됩니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • allow_headless (Boolean) AllowHeadless는 헤드리스 지원을 활성화/비활성화합니다. 헤드리스 인증에는 Webauthn이 필요합니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • allow_local_auth (Boolean) AllowLocalAuth는 로컬 인증이 활성화된 경우 true입니다.
  • allow_passwordless (Boolean) AllowPasswordless는 패스워드리스 지원을 활성화/비활성화합니다. 패스워드리스에는 Webauthn이 필요합니다. Webauthn이 구성된 경우 기본값은 true, 그렇지 않으면 false입니다.
  • connector_name (String) ConnectorName은 OIDC 또는 SAML 커넥터의 이름입니다. 이 값이 설정되지 않으면 백엔드의 첫 번째 커넥터가 사용됩니다.
  • default_session_ttl (String) DefaultSessionTTL은 명시적인 TTL이 요청되지 않을 때 사용자 인증서에 사용할 TTL입니다.
  • device_trust (Attributes) DeviceTrust는 신뢰할 수 있는 디바이스 검증과 관련된 설정을 보유합니다. Teleport Enterprise가 필요합니다. (아래 spec.device_trust에 대한 중첩 스키마 참조)
  • disconnect_expired_cert (Boolean) DisconnectExpiredCert는 만료된 인증서 연결 해제 설정을 제공합니다. true이면 만료된 클라이언트 인증서가 있는 연결이 해제됩니다.
  • hardware_key (Attributes) HardwareKey는 하드웨어 키 지원 설정입니다. (아래 spec.hardware_key에 대한 중첩 스키마 참조)
  • idp (Attributes) IDP는 Teleport 내 IdP에 접근하는 것과 관련된 옵션 세트입니다. Teleport Enterprise가 필요합니다. (아래 spec.idp에 대한 중첩 스키마 참조)
  • locking_mode (String) LockingMode는 클러스터 전체의 기본 잠금 모드입니다.
  • message_of_the_day (String)
  • okta (Attributes) Okta는 Teleport의 Okta 서비스와 관련된 옵션 세트입니다. Teleport Enterprise가 필요합니다. (아래 spec.okta에 대한 중첩 스키마 참조)
  • require_session_mfa (Number) RequireMFAType은 이 클러스터에 적용되는 MFA 요구 사항 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • second_factor (String) SecondFactor는 다중 인증 유형입니다. 더 이상 사용되지 않음: SecondFactors를 사용하세요.
  • second_factors (List of Number) SecondFactors는 지원되는 다중 인증 유형 목록입니다. 1은 "otp", 2는 "webauthn", 3은 "sso". 지정되지 않은 경우 현재 기본값은 [1] 또는 ["otp"]입니다.
  • signature_algorithm_suite (Number) SignatureAlgorithmSuite는 클러스터에 구성된 서명 알고리즘 스위트입니다. 지정되지 않은 경우 현재 기본값은 "legacy"입니다. 1은 "legacy", 2는 "balanced-v1", 3은 "fips-v1", 4는 "hsm-v1"입니다.
  • stable_unix_user_config (Attributes) StableUnixUserConfig는 안정적인 UNIX 사용자에 대한 클러스터 전체 구성을 포함합니다. (아래 spec.stable_unix_user_config에 대한 중첩 스키마 참조)
  • type (String) Type은 인증 유형입니다.
  • u2f (Attributes) U2F는 U2F 디바이스 설정입니다. (아래 spec.u2f에 대한 중첩 스키마 참조)
  • webauthn (Attributes) Webauthn은 서버 측 웹 인증 지원 설정입니다. (아래 spec.webauthn에 대한 중첩 스키마 참조)

spec.device_trust에 대한 중첩 스키마#

선택 사항:

  • auto_enroll (Boolean) 디바이스 자동 등록을 활성화합니다. 자동 등록을 사용하면 모든 사용자가 아직 등록되지 않은 알려진 디바이스에 대한 디바이스 등록 토큰을 발행할 수 있습니다. tsh는 자동 등록을 활용하여 사용자 로그인 시 적절한 경우 자동으로 디바이스를 등록합니다. 유효 클러스터 Mode가 여전히 적용됩니다: Mode="off"인 경우 AutoEnroll=true는 의미가 없습니다.
  • ekcert_allowed_cas (List of String) PEM 형식의 EKCert CA 허용 목록. 있는 경우, 여기에 지정된 CA에 의해 서명된 EKCert를 제시하는 TPM 디바이스만 등록할 수 있습니다(기존 등록은 변경되지 않음). 없는 경우 등록 중 TPM EKCert의 CA를 확인하지 않으며, 이는 모든 디바이스가 등록될 수 있음을 허용합니다.
  • mode (String) 신뢰할 수 있는 디바이스의 검증 모드. 지원되는 모드: - "off": 디바이스 인증 및 권한 부여 모두 비활성화. - "optional": 디바이스 인증 및 권한 부여 모두 허용하지만 민감한 엔드포인트에 디바이스 확장 존재를 강제하지 않음. - "required": 민감한 엔드포인트에 디바이스 확장 존재를 강제. - "required-for-humans": 인간 사용자에 대해서만 민감한 엔드포인트에 디바이스 확장 존재를 강제(봇 제외). Mode는 OSS에서 항상 "off"입니다. Enterprise에서는 "optional"이 기본값입니다.

spec.hardware_key에 대한 중첩 스키마#

선택 사항:

  • pin_cache_ttl (String) PinCacheTTL은 하드웨어 키 PIN 정책이 활성화된 경우 Teleport 클라이언트가 사용자의 PIV PIN을 캐시하는 시간(나노초)입니다.
  • piv_slot (String) PIVSlot은 개인 키 정책을 기반으로 한 기본값 대신 Teleport 클라이언트가 사용해야 하는 PIV 슬롯입니다. 예: "9a" 또는 "9e".
  • serial_number_validation (Attributes) SerialNumberValidation은 하드웨어 키 일련 번호 검증 설정을 보유합니다. 기본적으로 일련 번호 검증은 비활성화됩니다. (아래 spec.hardware_key.serial_number_validation에 대한 중첩 스키마 참조)

spec.hardware_key.serial_number_validation에 대한 중첩 스키마#

선택 사항:

  • enabled (Boolean) Enabled는 하드웨어 키 일련 번호 검증이 활성화되어 있는지 여부를 나타냅니다.
  • serial_number_trait_name (String) SerialNumberTraitName은 기본값인 "hardware_key_serial_numbers"를 대체하는 선택적 사용자 지정 사용자 특성 이름입니다. 참고: 이 사용자 특성의 값은 쉼표로 구분된 일련 번호 목록이거나 쉼표로 구분된 목록의 목록이어야 합니다. 예: ["123", "345,678"]

spec.idp에 대한 중첩 스키마#

선택 사항:

spec.idp.saml에 대한 중첩 스키마#

선택 사항:

  • enabled (Boolean) Enabled는 이 옵션이 Teleport SAML IdP에 대한 접근을 허용하는 경우 true로 설정됩니다.

spec.okta에 대한 중첩 스키마#

선택 사항:

  • sync_period (String) SyncPeriod는 동기화 호출 간격(나노초)입니다.

spec.stable_unix_user_config에 대한 중첩 스키마#

선택 사항:

  • enabled (Boolean) Enabled는 (UNIX) Teleport SSH 호스트가 다른 구성된 UID 없이 호스트 사용자를 프로비저닝하려는 경우 제어 플레인에서 UID를 가져와야 함을 의미합니다.
  • first_uid (Number) FirstUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 시작입니다. 범위는 양쪽 끝을 포함하므로 지정된 UID가 할당될 수 있습니다.
  • last_uid (Number) LastUid는 자동 프로비저닝된 호스트 사용자의 UID 범위 끝입니다. 범위는 양쪽 끝을 포함하므로 지정된 UID가 할당될 수 있습니다.

spec.u2f에 대한 중첩 스키마#

선택 사항:

  • app_id (String) AppID는 범용 다중 인증의 애플리케이션 ID를 반환합니다.
  • device_attestation_cas (List of String) DeviceAttestationCAs는 U2F 디바이스에 대한 신뢰할 수 있는 증명 CA를 포함합니다.
  • facets (List of String) Facets는 범용 다중 인증의 패싯을 반환합니다. 더 이상 사용되지 않음: Teleport v10에서 Webauthn이 U2F 구현을 대체한 이후로 Facets는 효과가 없으므로 하위 호환성을 위해 유지됩니다.

spec.webauthn에 대한 중첩 스키마#

선택 사항:

  • attestation_allowed_cas (List of String) PEM 형식의 디바이스 증명 CA 허용 목록. 있는 경우 증명 인증서가 여기에 지정된 인증서와 일치하는 디바이스만 등록할 수 있습니다(기존 등록은 변경되지 않음). AttestationDeniedCAs와 함께 제공된 경우 두 조건 모두 등록이 허용되기 위해 충족되어야 합니다(디바이스는 허용 CA와 일치해야 하고 거부 CA와 일치하지 않아야 합니다). 기본적으로 모든 디바이스가 허용됩니다.
  • attestation_denied_cas (List of String) PEM 형식의 디바이스 증명 CA 거부 목록. 있는 경우 증명 인증서가 여기에 지정된 인증서와 일치하지 않는 디바이스만 등록할 수 있습니다(기존 등록은 변경되지 않음). AttestationAllowedCAs와 함께 제공된 경우 두 조건 모두 등록이 허용되기 위해 충족되어야 합니다(디바이스는 허용 CA와 일치해야 하고 거부 CA와 일치하지 않아야 합니다). 기본적으로 거부되는 디바이스는 없습니다.
  • rp_id (String) RPID는 의존 당사자의 ID입니다. Teleport 설치의 도메인 이름으로 설정해야 합니다. 중요: RPID는 클러스터의 수명 동안 절대 변경되어서는 안 됩니다. WebAuthn 디바이스의 등록 데이터에 기록되기 때문입니다. RPID가 변경되면 기존의 모든 WebAuthn 키 등록이 무효화되고 다중 인증으로 WebAuthn을 사용하는 모든 사용자가 다시 등록해야 합니다.

metadata에 대한 중첩 스키마#

선택 사항:

  • description (String) Description은 객체 설명입니다.
  • expires (String) Expires는 시스템 내 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (Map of String) Labels는 레이블 세트입니다.