InfoGrab Docs

teleport_oidc_connector Terraform 리소스 참조

이 페이지는 Teleport Terraform 프로바이더의 teleport_oidc_connector 리소스에서 지원되는 값을 설명합니다.

사용 예시#

# Teleport OIDC connector
#
# Please note that the OIDC connector will work in Teleport Enterprise only.

variable "oidc_secret" {}

resource "teleport_oidc_connector" "example" {
  version = "v3"
  metadata = {
    name = "example"
    labels = {
      test = "yes"
    }
  }

  spec = {
    client_id     = "client"
    client_secret = var.oidc_secret

    claims_to_roles = [{
      claim = "test"
      roles = ["terraform"]
    }]

    redirect_url = ["https://example.com/redirect"]
  }
}

스키마#

필수#

  • spec (속성) Spec은 OIDC 커넥터 명세입니다. (아래 중첩 스키마 참조)
  • version (문자열) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값: v3.

선택#

  • metadata (속성) Metadata는 리소스 메타데이터를 보유합니다. (아래 중첩 스키마 참조)
  • sub_kind (문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.

spec에 대한 중첩 스키마#

선택:

  • acr_values (문자열) ACR은 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다.
  • allow_unverified_email (불리언) AllowUnverifiedEmail은 커넥터가 이메일이 확인되지 않은 OIDC 사용자를 허용하도록 지시합니다.
  • claims_to_roles (속성 목록) ClaimsToRoles는 클레임에서 역할로의 동적 매핑을 지정합니다. (아래 중첩 스키마 참조)
  • client_id (문자열) ClientID는 인증 클라이언트(Teleport Auth Service)의 ID입니다.
  • client_redirect_settings (속성) ClientRedirectSettings는 표준 localhost 이외의 비브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. (아래 중첩 스키마 참조)
  • client_secret (문자열, 민감) ClientSecret은 클라이언트를 인증하는 데 사용됩니다.
  • display (문자열) Display는 이 공급자의 친숙한 이름입니다.
  • entra_id_groups_provider (속성) EntraIDGroupsProvider는 대역 외 사용자 그룹 공급자를 구성합니다. 사용자의 그룹 구성원이 200개의 최대 항목 한도를 초과할 때 전송되는 "groups" 클레임의 그룹 클레임 소스를 따라 작동합니다. (아래 중첩 스키마 참조)
  • google_admin_email (문자열) GoogleAdminEmail은 사칭할 Google 관리자의 이메일입니다.
  • google_service_account (문자열, 민감) GoogleServiceAccount는 Google 서비스 계정 자격 증명이 포함된 문자열입니다.
  • google_service_account_uri (문자열) GoogleServiceAccountURI는 Google 서비스 계정 URI 경로입니다.
  • issuer_url (문자열) IssuerURL은 공급자의 엔드포인트입니다. 예: https://accounts.google.com.
  • max_age (문자열)
  • mfa (속성) MFASettings는 이 인증 커넥터를 통한 SSO MFA 검사를 활성화하는 설정을 포함합니다. (아래 중첩 스키마 참조)
  • pkce_mode (문자열) PKCEMode는 PKCE(Proof Key for Code Exchange)의 구성 상태를 나타냅니다. "enabled" 또는 "disabled"일 수 있습니다.
  • prompt (문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전과의 호환성을 위해 select_account가 기본값으로 설정됩니다.
  • provider (문자열) Provider는 외부 ID 공급자입니다.
  • redirect_url (문자열 목록) RedirectURLs는 ID 공급자가 인증을 완료하기 위해 클라이언트를 Teleport Proxy로 다시 리디렉션하는 데 사용할 수 있는 콜백 URL 목록입니다. 이 목록은 공급자 측의 URL과 일치해야 합니다. 주어진 인증 요청에 사용되는 URL은 요청하는 프록시의 공개 주소와 일치하도록 선택됩니다. 일치 항목이 없으면 목록의 첫 번째 URL이 사용됩니다.
  • request_object_mode (문자열) RequestObjectMode는 인증 요청에 JWT 보안 인증 요청을 사용하는 방법을 결정합니다. JAR 또는 요청 객체는 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다.
  • scope (문자열 목록) Scope는 공급자가 설정한 추가 범위를 지정합니다.
  • user_matchers (문자열 목록) UserMatchers는 식별자 우선 로그인에 대해 이 인증 커넥터가 일치해야 하는 사용자 이름을 좁히기 위한 글로브 패턴 세트입니다.
  • username_claim (문자열) UsernameClaim은 사용자 이름으로 사용할 OIDC 커넥터의 클레임 이름을 지정합니다.

spec.claims_to_roles에 대한 중첩 스키마#

선택:

  • claim (문자열) Claim은 클레임 이름입니다.
  • roles (문자열 목록) Roles는 일치시킬 정적 Teleport 역할 목록입니다.
  • value (문자열) Value는 일치시킬 클레임 값입니다.

spec.client_redirect_settings에 대한 중첩 스키마#

선택:

  • allowed_https_hostnames (문자열 목록) https 클라이언트 리디렉션 URL에 허용되는 호스트 이름 목록
  • insecure_allowed_cidr_ranges (문자열 목록) HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용되는 CIDR 목록

spec.entra_id_groups_provider에 대한 중첩 스키마#

선택:

  • disabled (불리언) Disabled는 Entra ID가 그룹 클레임 소스로 응답할 때도 그룹 공급자가 비활성화되어야 함을 지정합니다. 사용자가 SCIM과 같은 통합 또는 유사한 그룹 가져오기를 사용하는 경우 커넥터 기반 역할 매핑이 필요하지 않을 수 있는 시나리오에서 비활성화하도록 선택할 수 있습니다.
  • graph_endpoint (문자열) GraphEndpoint는 Microsoft Graph API 엔드포인트입니다. Entra ID가 제공하는 그룹 클레임 소스 엔드포인트는 현재 사용 중단된 Azure AD Graph 엔드포인트("https://graph.windows.net")를 가리킵니다. 이를 새로운 Microsoft Graph API 엔드포인트로 변환하기 위해 Teleport는 Microsoft Graph 글로벌 서비스 엔드포인트("https://graph.microsoft.com")를 기본값으로 설정합니다. 다른 Microsoft Graph 국가 클라우드 배포 엔드포인트를 가리키도록 GraphEndpoint를 업데이트하세요.
  • group_type (문자열) GroupType은 사용자 그룹 유형 필터입니다. 기본값은 "security-groups"입니다. 값은 "security-groups", "directory-roles", "all-groups"일 수 있습니다.

spec.mfa에 대한 중첩 스키마#

선택:

  • acr_values (문자열) AcrValues는 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다. 일부 ID 공급자는 Okta의 "phr"(피싱 방지)과 같은 MFA 특정 컨텍스트를 지원합니다.
  • client_id (문자열) ClientID는 OIDC OAuth 앱 클라이언트 ID입니다.
  • client_secret (문자열) ClientSecret은 OIDC OAuth 앱 클라이언트 시크릿입니다.
  • enabled (불리언) Enabled는 이 OIDC 커넥터가 MFA 검사를 지원하는지 여부를 지정합니다. 기본값은 false입니다.
  • max_age (문자열) MaxAge는 IdP 세션이 유효한 시간(나노초)입니다. MFA 검사를 위해 항상 재인증을 강제하기 위해 기본값은 0입니다. IdP가 활성 사용자 세션 위에 MFA 검사를 수행하도록 설정된 경우에만 0이 아닌 값으로 설정해야 합니다.
  • prompt (문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전과의 호환성을 위해 select_account가 기본값으로 설정됩니다.
  • request_object_mode (문자열) RequestObjectMode는 인증 요청에 JWT 보안 인증 요청을 사용하는 방법을 결정합니다. JAR 또는 요청 객체는 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다. 생략하면 MFA 흐름은 기본 OIDC 커넥터에 지정된 RequestObjectMode 동작으로 기본 설정됩니다. MFA 클라이언트에 대한 요청 객체를 명시적으로 비활성화하려면 이 속성을 'none'으로 설정하세요.

metadata에 대한 중첩 스키마#

필수:

  • name (문자열) Name은 객체 이름입니다.

선택:

  • description (문자열) Description은 객체 설명입니다.
  • expires (문자열) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (문자열 맵) Labels는 레이블 세트입니다.

teleport_oidc_connector Terraform 리소스 참조

원문 보기

이 페이지는 Teleport Terraform 프로바이더의 teleport_oidc_connector 리소스에서 지원되는 값을 설명합니다.

사용 예시#

# Teleport OIDC connector
#
# Please note that the OIDC connector will work in Teleport Enterprise only.

variable "oidc_secret" {}

resource "teleport_oidc_connector" "example" {
  version = "v3"
  metadata = {
    name = "example"
    labels = {
      test = "yes"
    }
  }

  spec = {
    client_id     = "client"
    client_secret = var.oidc_secret

    claims_to_roles = [{
      claim = "test"
      roles = ["terraform"]
    }]

    redirect_url = ["https://example.com/redirect"]
  }
}

스키마#

필수#

  • spec (속성) Spec은 OIDC 커넥터 명세입니다. (아래 중첩 스키마 참조)
  • version (문자열) Version은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값: v3.

선택#

  • metadata (속성) Metadata는 리소스 메타데이터를 보유합니다. (아래 중첩 스키마 참조)
  • sub_kind (문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.

spec에 대한 중첩 스키마#

선택:

  • acr_values (문자열) ACR은 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다.
  • allow_unverified_email (불리언) AllowUnverifiedEmail은 커넥터가 이메일이 확인되지 않은 OIDC 사용자를 허용하도록 지시합니다.
  • claims_to_roles (속성 목록) ClaimsToRoles는 클레임에서 역할로의 동적 매핑을 지정합니다. (아래 중첩 스키마 참조)
  • client_id (문자열) ClientID는 인증 클라이언트(Teleport Auth Service)의 ID입니다.
  • client_redirect_settings (속성) ClientRedirectSettings는 표준 localhost 이외의 비브라우저 SSO 로그인에 허용되는 클라이언트 리디렉션 URL을 정의합니다. (아래 중첩 스키마 참조)
  • client_secret (문자열, 민감) ClientSecret은 클라이언트를 인증하는 데 사용됩니다.
  • display (문자열) Display는 이 공급자의 친숙한 이름입니다.
  • entra_id_groups_provider (속성) EntraIDGroupsProvider는 대역 외 사용자 그룹 공급자를 구성합니다. 사용자의 그룹 구성원이 200개의 최대 항목 한도를 초과할 때 전송되는 "groups" 클레임의 그룹 클레임 소스를 따라 작동합니다. (아래 중첩 스키마 참조)
  • google_admin_email (문자열) GoogleAdminEmail은 사칭할 Google 관리자의 이메일입니다.
  • google_service_account (문자열, 민감) GoogleServiceAccount는 Google 서비스 계정 자격 증명이 포함된 문자열입니다.
  • google_service_account_uri (문자열) GoogleServiceAccountURI는 Google 서비스 계정 URI 경로입니다.
  • issuer_url (문자열) IssuerURL은 공급자의 엔드포인트입니다. 예: https://accounts.google.com.
  • max_age (문자열)
  • mfa (속성) MFASettings는 이 인증 커넥터를 통한 SSO MFA 검사를 활성화하는 설정을 포함합니다. (아래 중첩 스키마 참조)
  • pkce_mode (문자열) PKCEMode는 PKCE(Proof Key for Code Exchange)의 구성 상태를 나타냅니다. "enabled" 또는 "disabled"일 수 있습니다.
  • prompt (문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전과의 호환성을 위해 select_account가 기본값으로 설정됩니다.
  • provider (문자열) Provider는 외부 ID 공급자입니다.
  • redirect_url (문자열 목록) RedirectURLs는 ID 공급자가 인증을 완료하기 위해 클라이언트를 Teleport Proxy로 다시 리디렉션하는 데 사용할 수 있는 콜백 URL 목록입니다. 이 목록은 공급자 측의 URL과 일치해야 합니다. 주어진 인증 요청에 사용되는 URL은 요청하는 프록시의 공개 주소와 일치하도록 선택됩니다. 일치 항목이 없으면 목록의 첫 번째 URL이 사용됩니다.
  • request_object_mode (문자열) RequestObjectMode는 인증 요청에 JWT 보안 인증 요청을 사용하는 방법을 결정합니다. JAR 또는 요청 객체는 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다.
  • scope (문자열 목록) Scope는 공급자가 설정한 추가 범위를 지정합니다.
  • user_matchers (문자열 목록) UserMatchers는 식별자 우선 로그인에 대해 이 인증 커넥터가 일치해야 하는 사용자 이름을 좁히기 위한 글로브 패턴 세트입니다.
  • username_claim (문자열) UsernameClaim은 사용자 이름으로 사용할 OIDC 커넥터의 클레임 이름을 지정합니다.

spec.claims_to_roles에 대한 중첩 스키마#

선택:

  • claim (문자열) Claim은 클레임 이름입니다.
  • roles (문자열 목록) Roles는 일치시킬 정적 Teleport 역할 목록입니다.
  • value (문자열) Value는 일치시킬 클레임 값입니다.

spec.client_redirect_settings에 대한 중첩 스키마#

선택:

  • allowed_https_hostnames (문자열 목록) https 클라이언트 리디렉션 URL에 허용되는 호스트 이름 목록
  • insecure_allowed_cidr_ranges (문자열 목록) HTTP 또는 HTTPS 클라이언트 리디렉션 URL에 허용되는 CIDR 목록

spec.entra_id_groups_provider에 대한 중첩 스키마#

선택:

  • disabled (불리언) Disabled는 Entra ID가 그룹 클레임 소스로 응답할 때도 그룹 공급자가 비활성화되어야 함을 지정합니다. 사용자가 SCIM과 같은 통합 또는 유사한 그룹 가져오기를 사용하는 경우 커넥터 기반 역할 매핑이 필요하지 않을 수 있는 시나리오에서 비활성화하도록 선택할 수 있습니다.
  • graph_endpoint (문자열) GraphEndpoint는 Microsoft Graph API 엔드포인트입니다. Entra ID가 제공하는 그룹 클레임 소스 엔드포인트는 현재 사용 중단된 Azure AD Graph 엔드포인트("https://graph.windows.net")를 가리킵니다. 이를 새로운 Microsoft Graph API 엔드포인트로 변환하기 위해 Teleport는 Microsoft Graph 글로벌 서비스 엔드포인트("https://graph.microsoft.com")를 기본값으로 설정합니다. 다른 Microsoft Graph 국가 클라우드 배포 엔드포인트를 가리키도록 GraphEndpoint를 업데이트하세요.
  • group_type (문자열) GroupType은 사용자 그룹 유형 필터입니다. 기본값은 "security-groups"입니다. 값은 "security-groups", "directory-roles", "all-groups"일 수 있습니다.

spec.mfa에 대한 중첩 스키마#

선택:

  • acr_values (문자열) AcrValues는 인증 컨텍스트 클래스 참조 값입니다. ACR 값의 의미는 컨텍스트에 따라 다르며 ID 공급자마다 다릅니다. 일부 ID 공급자는 Okta의 "phr"(피싱 방지)과 같은 MFA 특정 컨텍스트를 지원합니다.
  • client_id (문자열) ClientID는 OIDC OAuth 앱 클라이언트 ID입니다.
  • client_secret (문자열) ClientSecret은 OIDC OAuth 앱 클라이언트 시크릿입니다.
  • enabled (불리언) Enabled는 이 OIDC 커넥터가 MFA 검사를 지원하는지 여부를 지정합니다. 기본값은 false입니다.
  • max_age (문자열) MaxAge는 IdP 세션이 유효한 시간(나노초)입니다. MFA 검사를 위해 항상 재인증을 강제하기 위해 기본값은 0입니다. IdP가 활성 사용자 세션 위에 MFA 검사를 수행하도록 설정된 경우에만 0이 아닌 값으로 설정해야 합니다.
  • prompt (문자열) Prompt는 선택적 OIDC 프롬프트입니다. 빈 문자열은 프롬프트를 생략합니다. 지정하지 않으면 이전 버전과의 호환성을 위해 select_account가 기본값으로 설정됩니다.
  • request_object_mode (문자열) RequestObjectMode는 인증 요청에 JWT 보안 인증 요청을 사용하는 방법을 결정합니다. JAR 또는 요청 객체는 인증 요청 매개변수에 대한 무결성 보호, 소스 인증 및 기밀성을 제공할 수 있습니다. 생략하면 MFA 흐름은 기본 OIDC 커넥터에 지정된 RequestObjectMode 동작으로 기본 설정됩니다. MFA 클라이언트에 대한 요청 객체를 명시적으로 비활성화하려면 이 속성을 'none'으로 설정하세요.

metadata에 대한 중첩 스키마#

필수:

  • name (문자열) Name은 객체 이름입니다.

선택:

  • description (문자열) Description은 객체 설명입니다.
  • expires (문자열) Expires는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (문자열 맵) Labels는 레이블 세트입니다.