사용자가 구성된 SSO 프로바이더로 Teleport 클러스터에 로그인하면 로그인 규칙은 IdP에서 제공하는 속성을 Teleport 내에서 접근 구성 요구 사항에 맞게 변환할 수 있습니다. 로그인 규칙은 Teleport Enterprise의 기능입니다.

로그인 규칙의 사용 사례는 다음과 같습니다:

• "db-admins" 그룹의 사용자를 "db-users" 그룹에도 추가해야 하는 것과 같이 논리 규칙에 따라 사용자 속성을 수정해야 하는 경우, 로그인 규칙은 IdP의 클레임을 수정하지 않고도 이러한 변경을 수행할 수 있는 강력한 표현 언어를 제공합니다.
• IdP가 많은 값을 가진 대량의 속성을 제공하는 경우, 이러한 모든 속성이 사용자의 SSH 인증서와 JWT에 포함되어 일부 서드파티 애플리케이션에서 처리하기 너무 커질 수 있습니다. 로그인 규칙을 사용하면 불필요한 속성을 필터링하고 필요한 것만 유지할 수 있습니다.
• 외부 속성을 조합하고 변환하는 동일한 로직을 반복하는 여러 역할 템플릿이 있는 경우 로그인 규칙을 사용하여 로직을 한 곳에 통합하고 역할을 단순화하는 것을 고려하세요.

로그인 규칙은 조직의 IdP를 변경하지 않고도 이러한 문제를 해결할 수 있습니다.

로그인 규칙은 클러스터 구성 시 최대 유연성을 제공하기 위해 술어 언어를 사용합니다. 이를 통해 사용자에게 부여해야 하는 속성을 정의하기 위해 간단하거나 복잡한 표현식을 작성할 수 있습니다.

예를 들어 username 속성 값을 소문자로 변환하고 다음 스니펫으로 그룹 속성 값을 조건부로 확장할 수 있습니다:

traits_map:
  username:
    - 'strings.lower(external.username)'
  groups:
    - 'ifelse(external.groups.contains("db-admins"), external.groups.add("db-users"), external.groups)'

로그인 규칙 가이드를 확인하면 클러스터에 첫 번째 로그인 규칙을 작성, 테스트 및 추가하는 방법을 보여주는 빠른 안내를 볼 수 있습니다. 일반적인 사용 사례를 해결하는 방법을 배우려면 예제 로그인 규칙을 참조하세요.

클러스터에서 로그인 규칙을 최대한 활용할 준비가 되면 로그인 규칙을 구동하는 표현 언어에 대한 자세한 내용은 로그인 규칙 참조를 참조하세요.

FAQ#

로그인 규칙은 어떤 사용자에게 적용되나요?#

로그인 규칙은 OIDC, SAML 또는 GitHub을 통해 로그인하는 모든 사용자에게 적용됩니다. 로컬 Teleport 사용자에게는 적용되지 않습니다.

로그인 규칙은 언제 평가되나요?#

로그인 규칙은 각 사용자 로그인 중에 한 번 평가됩니다. IdP에서 클레임 또는 어설션을 수신한 후, 클레임/어설션을 Teleport 역할에 매핑하기 전, 사용자 인증서를 생성하기 전에 평가됩니다. 로그인 규칙이 역할 매핑에 사용되는 속성을 수정하면 역할 매핑에 영향을 미칩니다.

술어 언어에 대한 사용자 정의 도우미 함수를 정의할 수 있나요?#

아니오, 하지만 현재 지원되는 도우미 함수로 충분히 지원되지 않는 사용 사례가 있다면 지원팀에 문의하거나 GitHub 이슈를 제출해 주시면 일반적으로 유용한 도우미를 추가하는 것을 검토하겠습니다.

단일 클러스터에 여러 로그인 규칙을 가질 수 있나요?#

네. 클러스터에 설치된 모든 로그인 규칙은 먼저 우선순위에 따라 정렬된 다음 순서대로 평가됩니다. 각 후속 로그인 규칙은 이전 규칙의 전체 출력을 입력으로 받습니다. 각 로그인 규칙에 고유한 우선순위를 부여하는 것을 강력히 권장하지만, 동점은 규칙 이름으로 정렬하여 해결됩니다.