디렉터리 매핑 예

네트워크 리소스에 액세스할 수 있는 사용자를 인증하고 권한을 부여하기 위해서는 여러 디렉터리 매핑이 필요합니다. 다음 그림에서는 여러 디렉터리 매핑이 필요한 간단한 샘플 예를 보여 줍니다.
sm1252sp1kkr
네트워크 리소스에 액세스할 수 있는 사용자를 인증하고 권한을 부여하기 위해서는 여러 디렉터리 매핑이 필요합니다. 다음 그림에서는 여러 디렉터리 매핑이 필요한 간단한 샘플 예를 보여 줍니다.
Directory mappings examples
이 예에는 별개의 권한 부여 사용자 디렉터리가 있는 영역 세 개와 자체의 고유한 권한 부여 사용자 디렉터리가 없는 영역 하나가 있습니다. 사용자 인증 정보는 별개의 두 인증 디렉터리에서 유지됩니다. 요청한 리소스가 마케팅, 엔지니어링 또는 품질 보증 영역에 있을 경우 정책 서버는 인증 디렉터리 중 하나를 사용합니다. 이 결정은 세션 티켓 정보의 디렉터리에 기반합니다.
복잡한 사용자 검색 조건을 사용하여 디렉터리를 매핑하려면 아이덴티티 매핑을 사용할 수 있습니다.
Engineering 영역 리소스에 대한 직원 액세스
여러 사용자 디렉터리가 표시된 앞의 그림에서 정규 직원에 대한 인증 데이터는 중앙 인증 사용자 디렉터리에 있습니다. 직원이 Engineering 영역의 리소스에 액세스를 시도하면 이 직원은 인증됩니다.
정책 서버는 Engineering 영역이 자체 권한 부여 디렉터리를 사용하는 것을 인식합니다. 정책 서버는 중앙 인증 사용자 디렉터리와 Engineering 영역 권한 부여 사용자 디렉터리 간의 디렉터리 매핑을 찾습니다. 그런 다음 서버는 사용자 아이덴티티를 인증 디렉터리에 매핑합니다. 정책 서버는 이제 직원이 요청한 영역에 액세스할 수 있는지 여부를 확인할 수 있습니다.
Quality Assurance 영역 리소스에 대한 임시 직원 액세스
여러 사용자 디렉터리가 표시된 앞의 그림에서 임시 직원에 대한 인증 데이터는 임시 직원 인증 사용자 디렉터리에 있습니다. 직원이 Sales 영역의 리소스에 액세스하려고 시도합니다. Sales 영역에는 고유한 권한 부여 디렉터리가 연결되어 있지 않습니다.
정책 서버는 인증 디렉터리의 직원을 인증한 다음 디렉터리 매핑이 설정되어 있는지 여부를 확인합니다. Sales 영역에는 고유한 권한 부여 디렉터리가 없으므로 정책 서버는 직원이 인증된 동일한 디렉터리를 통해 직원에게 권한을 부여하려고 시도합니다.
유니버설 ID 기준 디렉터리 매핑
여러 사용자 디렉터리가 표시된 앞의 그림에서 직원에 대한 인증 데이터는 중앙 인증 사용자 디렉터리에 있습니다. 직원이 Engineering 영역의 리소스에 액세스하려고 시도합니다. 직원이 인증되면 정책 서버는 디렉터리 매핑을 사용하여 Engineering 인증 디렉터리에서 해당 직원을 찾습니다. 사용자는 직원 유니버설 ID로 식별됩니다. 다음 그림을 참조하십시오.
Directory mapping by Univeral ID
앞의 그림에서는 디렉터리 매핑에 유니버설 ID가 사용된다고 가정합니다. 권한 부여 디렉터리에서 일치하는 유니버설 ID를 찾기 위해 정책 서버는 인증 디렉터리에 정의된 유니버설 ID 특성을 사용합니다. 권한 부여 디렉터리에서 유니버설 ID를 찾은 후에는 정책 처리가 끝나고 사용자가 보호된 리소스에 액세스할 수 있는지 여부가 결정될 수 있습니다.
디렉터리 매핑 대/소문자 구분
Oracle 데이터베이스와 같은 대/소문자 구분 디렉터리에서는 값 "ROBIN"과 "robin"이 서로 다른 두 개의 사용자 이름으로 처리됩니다. LDAP 디렉터리 등의 다른 디렉터리에서는 대/소문자가 구분되지 않으므로 값 "Robin", "ROBIN", "robin" 및 "RobIn"이 모두 동일한 사용자 이름으로 처리됩니다. 인증 디렉터리가 대/소문자를 구분하지 않는데 권한 부여 디렉터리가 대/소문자를 구분하면 충돌이 발생할 수 있습니다.
인증 디렉터리가 대/소문자를 구분하기 때문에 인증이 실패할 수 있습니다. 하지만 사용자가 디렉터리가 요구하는 형식으로 사용자 이름을 다시 입력하면 인증이 성공합니다. 예를 들어 디렉터리에서 "Name"과 같은 형식의 사용자 이름을 사용해야 하는 경우 이름을 "Robin"으로 올바르게 다시 입력하면 됩니다. 대/소문자 구분 때문에 권한 부여가 실패하는 경우 정책 서버는 이를 해결할 방법이 없습니다.
권한 부여 디렉터리가 대/소문자를 구분하는 경우 인증된 사용자 이름의 형식을 권한 부여 디렉터리 형식과 일치하도록 변경하십시오. 인증된 사용자 이름이 "RoBiN"이지만 권한 부여 디렉터리에는 "Name" 형식이 필요한 경우 먼저 "RoBiN"을 "Robin"으로 변경한 다음 사용자에게 권한을 부여하십시오.
복잡한 사용자 검색 조건을 사용한 아이덴티티 매핑
아이덴티티 매핑은 세션 티켓 정보와 아이덴티티 매핑 항목의 구성을 기반으로 사용자를 찾습니다.
XPS 함수 IDENTITY_MAP은 이름을 기준으로 아이덴티티 매핑 개체를 찾습니다. 해당 항목을 확인하여 대상 사용자 디렉터리에서 사용자를 찾으면 두 번째 매개 변수에 지정된 특성의 값이 반환됩니다.
예:
"target"이라는 이름의 아이덴티티 매핑에 정의된 대상 사용자 디렉터리에서 사용자의 성을 찾으려면 다음을 제공하십시오.
IDENTITY_MAP ("target", last_name);