정책을 구성하는 방법
목차
sm1252sp1kkr
목차
2
참고:
"Scripting interface for Perl"(Perl 스크립팅 인터페이스)을 사용하여 정책을 생성할 수도 있습니다.정책 생성
새 도메인이나 기존 도메인에 정책을 추가하는 방법으로 정책을 생성하십시오. 정책은 사용자와 리소스 간의 관계를 정의합니다.
다음 단계를 수행하십시오.
- "정책", "도메인"을 차례로 클릭합니다.
- "도메인"을 클릭합니다.
- 수정할 도메인의 이름을 클릭합니다.
- "수정"을 클릭합니다.
- "정책" 탭을 클릭합니다.
- "만들기"를 클릭합니다.
- 정책의 이름과 설명을 입력합니다.
- (선택 사항) 항상 사용자를 다시 인증하도록 할 리소스가 정책으로 보호되는 경우 "아이덴티티 유효성 검사" 확인란을 선택합니다. 예를 들어 한 은행 계좌에서 다른 은행 계좌로 이체하기 전에 항상 사용자를 다시 인증하도록 하려면 "아이덴티티 유효성 검사" 확인란을 선택합니다. 그러면 사용자가 다시 인증해야만 이체할 수 있습니다. 이 설정을 사용하면 세션이 아직 유효한 상태에서 사용자가 화면 앞을 떠나더라도 사용자를 보호할 수 있습니다. 현재 세션은 영향을 받지 않습니다.참고:이 설정을 사용하려면 정책 서버 및 에이전트에서 추가 구성이 필요합니다. 자세한 내용은 기술 자료 문서,시나리오: 중요한 리소스에 대해 재인증 요구를 참조하십시오.
- "사용자" 탭을 클릭합니다.
- 사용자나 사용자 그룹 또는 둘 모두를 정책에 추가하고 "제출"을 클릭합니다.
- 제출을 클릭합니다.처리를 위해 "도메인 수정" 태스크가 제출됩니다.
정책에 사용자 추가
정책에 개별 사용자, 사용자 그룹 또는 둘 모두를 추가한 다음 추가한 사용자와 정책 간에 정책 바인딩을 생성할 수 있습니다. 사용자가 보호된 리소스에 액세스하려고 하면 정책은 사용자가 정책 바인딩의 일부인지 확인한 다음 정책에 포함된 규칙을 실행하여 사용자가 리소스에 액세스할 수 있도록 허용된 사용자인지 여부를 확인합니다.
다음 단계를 수행하십시오.
- "사용자" 페이지로 이동합니다.
- 사용자 디렉터리의 사용자 또는 그룹을 정책에 추가합니다.각 사용자 디렉터리 그룹 상자 내에서 "구성원 추가", "항목 추가" 및 "모두 추가"를 선택할 수 있습니다. 정책에 사용자를 추가하는 데 사용하는 방법에 따라 사용자를 추가할 수 있는 대화 상자가 열립니다.참고: "구성원 추가"를 선택하는 경우 "사용자/그룹" 창이 열립니다. 개별 사용자는 자동으로 표시되지 않습니다. 검색 유틸리티를 사용하여 디렉터리 중 하나에서 특정 사용자를 찾을 수 있습니다.오른쪽 화살표(>)를 클릭하여 사용자 또는 그룹을 편집하거나 빼기 기호(-)를 클릭하여 사용자 또는 그룹을 삭제할 수 있습니다.
- 아무 방법이나 사용하여 개별 사용자, 사용자 그룹 또는 둘 다를 선택하고 "확인"을 클릭합니다."사용자 디렉터리" 페이지가 다시 열리면서 새 사용자가 나열됩니다.
정책에 사용자를 바인딩하는 태스크가 완료되었습니다.
정책에 규칙 추가
규칙은 정책에 포함된 특정 리소스와 규칙이 실행될 때 해당 리소스에 대한 액세스를 허용할지 거부할지를 나타냅니다. 응답은 규칙이 실행될 때 수행할 작업을 나타냅니다.
참고:
정책에 규칙 또는 규칙 그룹을 하나 이상 추가하십시오.다음 단계를 수행하십시오.
- "정책", "규칙"으로 이동합니다."규칙" 페이지가 열립니다.
- "규칙 추가"를 클릭합니다."사용 가능한 규칙" 창이 열립니다.
- 정책에 추가할 개별 규칙, 규칙 그룹 또는 둘 모두를 선택하고 "확인"을 클릭합니다."규칙" 섹션에 추가된 규칙 및 그룹의 목록이 표시됩니다.
- (선택 사항) 규칙을 응답 또는 응답 그룹과 연결합니다.참고정책에서 규칙 또는 규칙 그룹을 제거하려면 "규칙" 섹션의 규칙 오른쪽에 있는 빼기 기호(-)를 클릭하십시오. 규칙을 생성하려면 "사용 가능한 규칙" 창에서 "새 규칙"을 클릭하십시오.
규칙을 응답 또는 응답 그룹과 연결
정책의 규칙에 응답 또는 응답 그룹을 연결할 수 있습니다. 규칙이 실행되면 연결된 응답도 실행됩니다.
다음 단계를 수행하십시오.
- 응답을 연결할 규칙 또는 규칙 그룹에 대해 "응답 추가"를 클릭합니다."사용 가능한 응답" 창이 열리고 정책 도메인에 대해 구성된 응답 및 응답 그룹의 목록이 표시됩니다.
- 응답 또는 응답 그룹을 선택하고 "확인"을 클릭합니다.응답이 "규칙" 그룹 상자에서 열리고 해당 규칙과 연결됩니다.참고필요한 응답이 없는 경우 "새 응답"을 클릭하여 응답을 생성하십시오.
규칙을 전역 응답과 연결
규칙을 기존 전역 응답과 연결할 수 있습니다.
다음 단계를 수행하십시오.
- "정책", "규칙"으로 이동합니다.
- 수정할 규칙 옆의 "응답 추가" 단추를 클릭합니다."사용 가능한 응답" 창이 열립니다.참고:"사용 가능한 응답" 창에는 전역 응답, 응답 및 응답 그룹이 순서대로 표시됩니다.
- 전역 응답을 선택하고 "확인"을 클릭합니다."규칙" 그룹 상자가 다시 열리고 선택한 응답이 규칙에 추가되어 나타납니다.
- 제출을 클릭합니다.처리를 위해 "정책 수정" 태스크가 제출됩니다.
정책에 식 추가
부울 식을 생성하여 정책에 추가할 수 있습니다. 부울 식은 변수에 대해 작동하며, 정책이 처리될 때 변수 값은 처리 결과에 영향을 줍니다. 따라서 부울 식은 정책 결정에 영향을 줍니다.
다음 단계를 수행하십시오.
- "정책", "식"을 차례로 클릭합니다.
- "편집"을 클릭합니다.
- "조건" 그룹 상자의 필드에 변수 이름을 직접 입력하거나, "변수 조회"를 클릭하고 드롭다운 목록에서 연산자를 선택한 다음, "추가"를 클릭합니다.조건이 "중위 표기법" 그룹 상자에 추가됩니다.참고:여러 조건을 생성하려면 이 단계를 반복하십시오.
- 조건을 선택하고 "중위 표기법" 그룹 상자의 단추를 클릭하여 식을 생성합니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다.처리를 위해 "정책 수정" 태스크가 제출됩니다.
정책에 신뢰 수준 추가
신뢰 수준을 정책에 추가하면 RiskMinder 리스크 점수 평가 결과를 권한 부여 결정에 적용할 수 있습니다. 활성 식을 사용하면 신뢰 수준이 정책에 연결된 리소스(규칙)로만 제한됩니다. RiskMinder 리스크 점수의 경우 숫자가 낮을수록 리스크가 적고 트랜잭션이 안전함을 나타냅니다. 신뢰 수준의 경우 숫자가 높을수록 리스크가 적고 트랜잭션이 안전함을 나타냅니다.
다음 단계를 수행하십시오.
- 관리 UI에서 "정책", "도메인", "도메인"을 차례로 클릭합니다.
- RiskMinder 환경에 대해 생성한 정책 도메인의 "편집" 아이콘을 클릭합니다.
- "정책" 탭을 클릭합니다.
- "만들기"를 클릭합니다.
- "정책" 탭을 클릭합니다.
- 정책의 "편집" 아이콘을 클릭합니다.
- "활성 정책 식" 영역에서 다음 단계를 완료합니다.
- 다음 라이브러리 이름을 입력합니다.smriskactiveexpr
- 다음 함수 이름을 입력합니다.CheckConfidenceLevel
- "함수 매개 변수" 필드에서 신뢰 수준을 입력합니다. 유효 범위는 1~1000입니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다.신뢰 수준이 정책에 연결된 리소스(규칙)에 적용됩니다.
CA Identity Manager 역할 추가
이 CA Identity Manager와 통합되는 경우, 정책에서 CA Identity Manager 역할을 사용할 수 있습니다. 정책 서버는 역할을 사용하여 CA Identity Manager 역할의 구성원인 사용자에게 권한을 부여할지 여부를 결정할 수 있습니다.
다음 단계를 수행하십시오.
- "정책", "사용자"를 차례로 클릭합니다.
- 원하는 IDM 환경에서 "역할 추가"를 클릭합니다.
- 필요한 역할을 선택하고 "확인"을 클릭합니다.
- 제출을 클릭합니다.CA Identity Manager 역할이 정책에 추가됩니다.
CA Identity Manager 역할 제외
제외된 CA Identity Manager 역할의 구성원인 사용자가 보호된 리소스에 액세스하려고 시도하면 정책 서버는 다음을 수행합니다.
- 사용자가 제외된 역할의 구성원인지 확인합니다.
- 리소스에 대한 액세스를 차단합니다.
다음 단계를 수행하십시오.
- "정책", "사용자"를 차례로 클릭합니다.
- "IDM 환경" 섹션에서 제외할 역할을 찾습니다.
- 각 역할에 대해 "제외"를 클릭합니다.
- 제출을 클릭합니다.CA Identity Manager 역할이 정책에서 제외됩니다.
정책에서 사용자 또는 그룹 제외
관리 UI를 사용하여 정책에서 사용자 또는 사용자 그룹을 제외할 수 있습니다. 이 기능은 정책에 포함해야 하는 큰 사용자 그룹이 있지만 이 그룹의 일부는 정책에서 제외하려는 경우에 매우 유용합니다.
다음 단계를 수행하십시오.
- "정책", "사용자"를 차례로 클릭합니다.
- "사용자 디렉터리" 섹션에서 다음 중하나를 클릭합니다.
- 구성원 추가
- 항목 추가
- 모두 추가
- 다음 목록에서 2 단계에서 클릭한 항목에 해당하는 태스크를 선택합니다.
- "구성원 추가"를 클릭한 경우 "사용자/그룹" 창에 표시된 "Current Members"(현재 구성원) 목록에서 검색하여 원하는 사용자 또는 그룹의 확인란을 선택합니다.
- "항목 추가"를 클릭한 경우 "사용자 디렉터리 검색 식 편집기"를 사용하여 제외할 항목을 찾는 검색 식을 생성합니다.
- "모두 추가"를 클릭한 경우 전체 그룹이 "사용자 디렉터리" 그룹 상자에 표시됩니다. 5 단계로 이동합니다.
- "확인"을 클릭합니다."사용자 디렉터리" 페이지가 다시 열리고 선택한 사용자 또는 그룹이 "제외" 단추와 함께 표시됩니다.
- 선택한 사용자 또는 그룹을 제외하려면 "제외"를 클릭합니다."Current Members"(현재 구성원) 목록의 사용자 또는 그룹 오른쪽에 해당 사용자 또는 그룹이 정책에서 제외됨을 나타내는 확인 표시가 나타납니다. "제외" 단추는 "포함" 단추로 바뀝니다.정책에서 그룹을 제외할 때 제외란 정책에 포함된 사용자 중 제외된 그룹의 구성원(또는 명시적으로 제외된 사용자)이 해당 정책에 포함되지 않음을 나타냅니다. 예를 들어 정책에 Employees 그룹이 포함되어 있고 Marketing 그룹이 제외되어 있는 경우 Employees 그룹의 구성원만 정책에 포함되고 Marketing 그룹의 구성원은 포함되지 않습니다.
- 제출을 클릭합니다.변경 내용이 제출됩니다. 해당 사용자 또는 그룹이 정책에서 제외됩니다.
정책에 중첩된 그룹 허용
LDAP 사용자 디렉터리에는 다른 그룹을 포함하는 그룹이 포함될 수 있습니다. 매우 복잡한 디렉터리에서는 중첩된 그룹의 계층 구조를 통해 많은 양의 사용자 정보를 구성할 수 있습니다.
각 LDAP 사용자 디렉터리에 대해 정책이 중첩된 그룹을 허용하도록 지정할 수 있습니다. LDAP 디렉터리에 중첩된 그룹이 허용되면 정책이 처리될 때 디렉터리의 각 사용자 그룹과 모든 하위 그룹이 검색됩니다. 중첩된 그룹이 허용되지 않으면 정책이 처리될 때 디렉터리의 각 사용자 그룹은 검색되지만 하위 그룹은 검색할 수 없습니다.
LDAP 사용자 디렉터리가 포함된 정책에 중첩된 그룹을 허용하려면
- "정책", "사용자"를 차례로 클릭합니다.정책 도메인과 연결된 사용자 디렉터리에 해당하는 섹션이 들어 있는 "사용자 디렉터리" 페이지가 열립니다.
- 중첩된 그룹이 포함된 각 사용자 디렉터리의 "중첩된 그룹 허용" 확인란을 선택하고 "제출"을 클릭합니다.처리를 위해 "정책 수정" 태스크가 제출되고 지정된 LDAP 사용자 디렉터리에 대해 중첩된 그룹이 허용됩니다.
AND 사용자/그룹 확인란
"AND 사용자/그룹" 확인란을 사용하면 여러 사용자 그룹의 구성원인 사용자나 사용자 그룹 하나 이상의 구성원인 특정 사용자에게만 권한을 부여할 수 있습니다. 사용자 디렉터리의 개별 사용자 및 사용자 그룹을 정책에 추가할 때 이 확인란을 선택하여 이들 간에 ADN 관계를 지정할 수 있습니다. 또는 이 확인란의 선택을 취소하여 이들 간에 OR 관계를 지정할 수 있습니다.
AND 관계를 지정하고 결과 정책을 사용자에게 적용할 경우 다음 요구 사항을 충족하는 사용자에게만 권한이 부여됩니다.
- 정책에 바인딩된 각 사용자 그룹의 구성원이어야 합니다.
- 정책에 개별 사용자가 바인딩된 경우 바인딩된 사용자에 해당해야 합니다.
참고:
정책에서 제외되었거나 정책에서 제외된 그룹의 구성원인 사용자는 권한을 부여받을 수 없습니다.예
: User1, Group1 및 Group2가 모두 정책에 바인딩되어 있고 AND 관계가 지정되었다고 가정합니다. 이 경우 test_user는 User1이면서 동시에 Group1과 Group2의 구성원이어야만 권한이 부여됩니다.예:
User1, User2 및 Group1이 모두 정책에 바인딩되어 있고 AND 관계가 지정되었다고 가정합니다. 이 경우 test_user는 User1이면서 동시에 User2일 수 없습니다. 따라서 test_user는 권한을 부여받을 수 없습니다.중요!
정책에 개별 사용자를 둘 이상 추가하고 AND 관계를 지정하지 않도록 하십시오. 단일 사용자는 개별 사용자 한 명을 의미하므로 이렇게 지정할 경우 정책이 항상 실패합니다.AND 관계와 OR 관계를 모두 지정하려면 다음 구성 중 하나를 선택하십시오.
- 단일 정책 및 여러 사용자 디렉터리이 구성에서는 단일 정책에 사용자 디렉터리를 두 개 이상 사용할 수 있습니다. 단일 디렉터리의 개별 사용자와 사용자 그룹 간 관계는 AND 또는 OR일 수 있습니다. 다른 디렉터리의 개별 사용자와 사용자 그룹 간 관계는 항상 OR입니다.예:사용자 디렉터리 두 개와 단일 정책이 있습니다. 각 디렉터리에는 사용자 그룹이 두 개씩 있으며 AND 관계가 지정되어 있습니다. Directory1에는 Group1 및 Group2가 포함되어 있고 Directory2에는 Group3 및 Group4가 포함되어 있다고 가정합니다. 이 경우 test_user는 Group1 및 Group2의 구성원이거나 Group3 및 Group4의 구성원이어야만 권한을 부여받습니다.이를 논리적으로 나타내면 다음과 같습니다.Directory1(Group1 AND Group2) OR Directory2(Group3 and Group4)사용 사례:사용자 디렉터리 두 개와 단일 정책이 있습니다. Directory1에는 사용자 그룹 Facilities 및 Human_Resources가 포함되어 있고 AND 관계가 지정되어 있습니다. Directory2에는 사용자 그룹 Marketing 및 Sales가 포함되어 있고 OR 관계가 지정되어 있습니다. 이 경우 사용자는 Facilities와 Human_Resources의 구성원이거나 Marketing 또는 Sales의 구성원이어야만 권한을 부여받습니다. 이를 논리적으로 나타내면 다음과 같습니다.Directory1(Facilities AND Human_Resources) OR Directory2(Marketing OR Sales)
- 여러 정책 및 단일 사용자 디렉터리이 구성에서는 공유 도메인의 정책 둘 이상에 단일 사용자 디렉터리에 대한 액세스 권한이 있습니다. 사용자 디렉터리의 개별 사용자와 사용자 그룹 간 관계는 한 정책에서는 AND이고 다른 정책에서는 OR일 수 있습니다. 공유 도메인의 다른 정책 간 관계는 항상 OR입니다.예:정책 두 개와 사용자 디렉터리 한 개가 있습니다. 사용자 디렉터리에는 사용자 그룹이 네 개 포함되어 있습니다. Group1과 Group2는 Policy1에 바인딩되어 있고 Group3과 Group4는 Policy2에 바인딩되어 있다고 가정합니다. 두 정책 모두에서 사용자 그룹 간에는 AND 관계가 지정되어 있습니다. 이 경우 Policy1 또는 Policy2를 적용하여 test_user에게 권한을 부여할 수 있습니다. 이를 논리적으로 나타내면 다음과 같습니다.Policy1(Group1 AND Group2) OR Policy2(Group3 AND Group4)사용 사례:정책 두 개와 사용자 디렉터리 한 개가 있습니다. Policy1에는 Human_Resources, Marketing 및 Sales 사용자 그룹이 바인딩되어 있고 OR 관계가 지정되어 있습니다. Policy2에는 Facilities 및 Human_Resources 사용자 그룹이 바인딩되어 있고 AND 관계가 지정되어 있습니다. 이 경우 사용자는 Human_Resources, Marketing 또는 Sales의 구성원이거나 Facilities와 Human_Resources 둘 다의 구성원이어야 합니다. 두 번째 정책은 Facilities의 구성원이면서 동시에 Human_Resources의 구성원인 사용자에게만 권한을 부여합니다.이를 논리적으로 나타내면 다음과 같습니다.Policy1(Human_Resources OR Marketing OR Sales) OR Policy2(Facilities AND Human_Resources)
사용자/그룹 간에 AND/OR 관계 지정
"AND 사용자/그룹" 확인란을 사용하면 여러 사용자 그룹의 구성원인 사용자나 사용자 그룹 하나 이상의 구성원인 특정 사용자에게만 권한을 부여할 수 있습니다. 사용자 디렉터리의 개별 사용자 및 사용자 그룹을 정책에 추가할 때 이 확인란을 선택하여 이들 간에 ADN 관계를 지정할 수 있습니다. 또는 이 확인란의 선택을 취소하여 OR 관계를 지정할 수 있습니다.
AND 관계를 지정하고 결과 정책을 사용자에게 적용할 경우 다음 요구 사항을 충족하는 사용자에게만 권한이 부여됩니다.
- 정책에 바인딩된 각 사용자 그룹의 구성원이어야 합니다.
- 정책에 개별 사용자가 바인딩된 경우 바인딩된 사용자에 해당해야 합니다.
중요!
정책에 개별 사용자를 둘 이상 추가하고 AND 관계를 지정하지 않도록 하십시오. 단일 사용자는 개별 사용자 한 명을 의미하므로 이렇게 지정할 경우 정책이 항상 실패합니다.사용자와 하나 이상의 사용자 그룹 간에 또는 한 사용자 디렉터리에 있는 여러 사용자 그룹 간에 AND 관계를 지정하려면
- "정책", "사용자"를 차례로 클릭합니다."사용자 디렉터리" 페이지가 열리고 각 사용자 디렉터리가 별도의 섹션에 표시됩니다.
- AND 관계를 지정할 각 사용자 디렉터리에 대해 "AND 사용자/그룹" 확인란을 선택합니다.
- 제출을 클릭합니다.처리를 위해 태스크가 제출됩니다.
수동 입력으로 사용자 추가
"Policy Users/Groups"(정책 사용자/그룹) 대화 상자의 "사용 가능한 구성원" 목록을 사용하여 정책에 포함할 사용자와 그룹을 지정하는 방법 외에도 "수동 입력" 그룹 상자에서 사용자나 검색 문자열을 지정할 수 있습니다.
다음 단계를 수행하십시오.
- "정책 수정"으로 이동합니다.검색 창이 나타납니다.
- (선택 사항) 검색 양식을 완성하여 검색 조건을 세부적으로 지정합니다.
- "검색"을 클릭합니다.정책 목록이 나타납니다.
- 원하는 정책 왼쪽의 옵션 단추를 클릭하고 "선택"을 클릭합니다."정책 수정:이름" 창이 나타납니다.
- 사용자를 클릭합니다.도메인과 연결된 사용자 디렉터리가 "사용자 디렉터리" 그룹 상자에 나타납니다.
- "Policy Users/Groups"(정책 사용자/그룹) 대화 상자에서 다음 작업 중 하나를 수행하십시오.
- Active Directory 사용자 디렉터리의 경우 다음 설정을 지정합니다.수동 입력 필드Active Directory 사용자 디렉터리에 대한 검색 필터를 지정합니다.항목 유효성 검사 확인란Active Directory 사용자 디렉터리에 항목을 추가하기 전에 검색 필터의 유효성을 검사할지 여부를 지정합니다.참고:Active Directory 검색 필터에 대한 유효성 검사가 실패할 경우 이 확인란의 선택을 취소하십시오.기본값:선택됨
- LDAP 디렉터리의 경우 "검색 위치" 드롭다운 목록에서 다음 검색 유형 중하나를 선택하십시오.DN 유효성 검사디렉터리에서 DN을 찾습니다.사용자 검색사용자 항목의 일치하는 항목으로 검색을 제한합니다.그룹 검색그룹 항목의 일치하는 항목으로 검색을 제한합니다.조직 검색조직 항목의 일치하는 항목으로 검색을 제한합니다.모든 항목 검색사용자, 그룹 및 조직의 일치하는 항목으로 검색을 제한합니다.
- Microsoft SQL Server, Oracle 및 WinNT 디렉터리의 경우 "수동 입력" 필드에 사용자 이름을 입력합니다.참고:Microsoft SQL Server 및 Oracle의 경우 "수동 입력" 필드에 사용자 이름 대신 SQL 쿼리를 입력할 수 있습니다.예:SELECT NAME FROM EMPLOYEE WHERE JOB ='MGR';
정책 서버는 사용자 디렉터리에 대한 "자격 증명 및 연결"의 "사용자 이름" 필드에 지정된 데이터베이스 사용자로 쿼리를 실행합니다. "수동 입력" 필드에 사용할 SQL 문을 작성하려면 사용자 디렉터리의 데이터베이스 스키마를 잘 알고 있어야 합니다. 예를 들어 SmSampleUsers 스키마를 사용하고 있는 경우 특정 사용자를 추가하려면 SmUser 테이블에서 사용자를 선택하면 됩니다.참고:LDAP 디렉터리의 경우 "수동 입력" 필드에 "all"을 입력하여 정책을 전체 LDAP 디렉터리에 바인딩할 수 있습니다. - "Add to Current Members"(현재 구성원에 추가)를 클릭합니다.관리 UI의 "Current Members"(현재 구성원) 목록에 해당 사용자나 쿼리가 추가됩니다.
- "확인"을 클릭하여 변경 내용을 저장하고 "정책 수정:이름" 창으로 돌아갑니다.
정책 서버의 LDAP 권한 부여 성능 개선
다음과 같이 사용자 역할이 아니라 특정 사용자 레코드로 역할 기반 권한 부여를 제한하여 LDAP 사용자 디렉터리에 저장된 사용자에 대한 정책 서버의 권한 부여 성능을 개선할 수 있습니다.
정책 서버의 성능을 개선하려면
- "정책 수정", "사용자"로 이동합니다."사용자 디렉터리" 창이 열리고 정책 도메인과 연결된 사용자 디렉터리에 해당하는 그룹 상자가 나타납니다.
- 권한 부여 성능을 개선하려는 대상 디렉터리가 그룹 상자에 이미 표시되어 있으면 8 단계로 이동합니다.
- 원하는 디렉터리가 표시되지 않으면 디렉터리 그룹 상자에서 "구성원 추가"를 클릭합니다."사용자/그룹" 창이 열리고 선택한 사용자 디렉터리에 있는 사용자 및 그룹의 목록이 표시됩니다.
- 드롭다운 목록에서 검색 유형을 선택합니다.
- 특성-값사용자 특성 이름 및 값 쌍을 지정합니다.
- 식식을 지정합니다.
- "사용자/그룹" 그룹 상자의 "특성" 및 "값" 필드에 권한 부여에 필요한 사용자 특성 이름과 값을 입력합니다.
- "실행"을 클릭하여 디렉터리를 검색합니다.디렉터리 목록이 나타납니다.
- 추가하려는 디렉터리의 확인란을 선택하고 "확인"을 클릭합니다."사용자/그룹" 창이 닫히고 "사용자 디렉터리" 창이 나타납니다. 선택한 디렉터리가 그룹 상자에 표시됩니다.
- 디렉터리 왼쪽에 있는 편집(화살표) 아이콘을 클릭합니다."사용자 디렉터리 검색 식 편집기"가 나타납니다.
- "검색 위치" 드롭다운 목록에 "DN 유효성 검사"가 표시되는지 확인하고 "확인"을 클릭합니다."사용자 디렉터리 검색 식 편집기"가 닫힙니다. 정책 서버의 LDAP 검색은 LDAP 서버의 기본 DN이 아니라 현재 사용자의 컨텍스트 내에서 수행됩니다. 이러한 최적화를 통해 LDAP 서버 및 정책 서버의 부하가 줄어들어 권한 부여 응답 속도가 빨라집니다.
정책에 LDAP 식 추가
"사용자 디렉터리 검색 식 편집기"를 사용하여 LDAP 사용자 디렉터리에 대한 연결을 포함하는 정책 도메인의 정책에 LDAP 검색 식을 바인딩하십시오. 검색 식에서는 사용자, 그룹 및 조직 프로필에 표시된 특성을 기반으로 사용자를 정책에 바인딩할 수 있습니다.
다음 단계를 수행하십시오.
- "정책", "도메인", "정책 수정"을 차례로 클릭합니다.
- (선택 사항) 검색 양식을 완성하여 검색 조건을 세부적으로 지정합니다.
- "검색"을 클릭합니다.
- 원하는 정책 왼쪽의 옵션 단추를 클릭하고 "선택"을 클릭합니다.
- "사용자" 탭을 클릭합니다.도메인과 연결된 사용자 디렉터리가 "사용자 디렉터리" 섹션에 나타납니다.
- LDAP 검색 식을 적용할 사용자 디렉터리에 대해 "항목 추가"를 클릭합니다.
- "사용자 디렉터리 검색 식 편집기"에서 특정 사용자, 그룹 또는 조직 특성을 정책에 바인딩하는 LDAP 식을 작성합니다.
- "확인"을 클릭합니다.사용자 디렉터리 테이블에 식이 나타납니다.
정책을 사용하거나 사용하지 않도록 설정
기본적으로 정책은 생성될 때 사용하도록 설정됩니다. 정책이 사용되는 경우 그 규칙은 사용자가 해당 규칙이 지정하는 리소스에 액세스하려고 하면 실행됩니다.
정책을 사용하지 않을 경우 정책에 포함된 규칙은 여전히 실행되기는 하지만 사용자에게 권한이 부여되지는 않습니다. 정책에 들어 있는 규칙에 지정된 리소스는 계속 보호됩니다. 정책이 사용되도록 설정할 때까지 사용자는 해당 정책에 지정된 규칙과 연결된 리소스에 액세스할 수 없습니다. 하지만 사용되는 다른 정책을 통해 사용되지 않는 정책의 리소스에 액세스할 수 있는 경우 사용되는 정책과 연결된 사용자는 해당 리소스에 액세스할 수 있습니다.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 관리 UI에서 정책을 엽니다.
- "사용" 확인란을 선택하거나 선택 취소합니다.확인란을 선택하면 정책을 사용할 수 있습니다. 확인란을 선택 취소하면 정책을 사용할 수 없습니다. 해제된 정책은 실행되지 않습니다.
- 제출을 클릭합니다.정책이 저장됩니다.
고급 정책 옵션
관리 UI에서 정책을 설정할 때 다음의 고급 기능을 사용할 수 있습니다.
- IP 주소정책 실행을 위해 사용자가 사용해야 하는 특정 IP 주소를 지정할 수 있습니다.
- 시간 제한정책 실행이 지속되는 시간을 지정할 수 있습니다. 정책에 시간 제한을 추가할 경우 지정된 시간이 지나면 정책이 사용되지 않습니다.
- 활성 정책API로 생성한 공유 라이브러리에서 함수 호출이 실행되도록 할 수 있습니다. 함수 호출은 정책의 실행 여부를 결정합니다.
정책에 사용할 수 있는 IP 주소
정책 리소스에 액세스하는 사용자가 다음의 특정 조건을 충족하는 경우에만 정책이 실행되도록 제한할 수 있습니다.
- IP 주소
- 호스트 이름
- 서브넷 마스크
- IP 주소 범위
예를 들어 허용 가능한 IP 주소 범위를 지정하는 정책의 경우, 지정된 IP 주소 중 하나에서 로그인하는 사용자만 보호된 리소스에 액세스할 수 있습니다.
단일 IP 주소 지정
단일 IP 주소를 지정하여 해당 IP 주소에서 정책 리소스에 액세스하는 사용자에 대해서만 정책이 실행되도록 하십시오.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 정책을 엽니다.
- "IP 주소" 그룹 상자에서 "추가"를 클릭합니다.
- "단일 호스트" 옵션 단추를 선택합니다.단일 호스트와 관련된 설정이 나타납니다.
- IP 주소를 입력한 다음 "확인"을 클릭합니다.IP 주소 그룹 상자에 해당 IP 주소가 나타납니다.참고IP 주소를 모르면 "DNS 조회"를 클릭하고 정규화된 호스트 이름을 입력하여 IP 주소를 조회하십시오.
- 제출을 클릭합니다.정책이 저장됩니다.
호스트 이름 지정
호스트 이름을 지정하여 해당 호스트에서 정책 리소스에 액세스하는 사용자에 대해서만 정책이 실행되도록 하십시오.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 정책을 엽니다.
- "IP 주소" 그룹 상자에서 "추가"를 클릭합니다.
- "호스트 이름" 옵션 버튼을 선택합니다.호스트 이름과 관련된 설정이 나타납니다.
- 호스트 이름을 입력한 다음 "확인"을 클릭합니다.호스트 이름이 "IP 주소" 그룹 상자에 나타납니다.
- 제출을 클릭합니다.정책이 저장됩니다.
서브넷 마스크 추가
서브넷 마스크를 지정하여 해당 서브넷 마스크에서 정책 리소스에 액세스하는 사용자에 대해서만 정책이 실행되도록 하십시오.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 정책을 엽니다.
- "IP 주소" 그룹 상자에서 "추가"를 클릭합니다.IP 주소 관련 설정이 나타납니다.
- "서브넷 마스크" 옵션 단추를 선택합니다.이 서브넷 마스크와 관련된 설정이 나타납니다.
- "IP 주소" 필드에 IP 주소를 입력합니다.참고IP 주소를 모르면 "DNS 조회"를 클릭하고 정규화된 호스트 이름을 입력하여 IP 주소를 조회하십시오.
- "서브넷 마스크" 필드에 서브넷 마스크를 입력합니다.
- "확인"을 클릭합니다.서브넷 마스크가 "IP 주소" 그룹 상자에 나타납니다.
- 제출을 클릭합니다.정책이 저장됩니다.
IP 주소 범위 추가
주소 범위에 포함된 IP 주소 중 하나에서 정책 리소스에 액세스하려고 시도하는 사용자로 액세스를 제한하려면 해당 IP 주소 범위를 지정하십시오.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 정책을 엽니다.
- "IP 주소" 그룹 상자에서 "추가"를 클릭합니다.IP 주소 관련 설정이 나타납니다.
- "범위" 옵션 단추를 선택합니다.IP 주소 범위 관련 설정이 나타납니다.
- "시작" 필드에 시작 IP 주소를 입력합니다.참고IP 주소를 모르면 "DNS 조회"를 클릭하고 정규화된 호스트 이름을 입력하여 IP 주소를 조회하십시오.
- "끝" 필드에 끝 IP 주소를 입력합니다.
- "확인"을 클릭합니다."IP 주소" 그룹 상자에 IP 주소 범위가 나타납니다.
- 제출을 클릭합니다.정책이 저장됩니다.
정책에 대한 시간 제한
관리 UI를 사용하면 정책에 시간 제한을 추가할 수 있습니다. 시간 제한을 추가할 경우 해당 시간 제한이 지정하는 기간 동안에만 정책이 실행됩니다. 시간 제한이 지정하는 기간이 지나면 사용자가 리소스에 액세스하려고 할 때 정책이 실행되지 않습니다.
예를 들어, 리소스에 대한 액세스를 제한하는 정책에 대해 시간 제한을 생성하고 해당 정책이 월요일~금요일, 오전 9시~오후 5시에 실행되도록 지정할 수 있습니다. 사용자는 시간 제한에 지정된 시간 동안에만 인증되고 권한이 부여됩니다. 지정된 시간이 지나면 정책이 보호하는 리소스를 사용할 수 없습니다.
참고:
시간 제한은 정책 서버가 설치된 서버의 시스템 클록을 기준으로 합니다.규칙과 정책 시간 제한의 상호 작용 방법
정책에 시간 제한이 있고 이 정책에 시간 제한이 있는 규칙이 포함된 경우 두 제한이 허용하는 시간 동안에만 정책이 실행됩니다.
예를 들어 정책에 오전 9시부터 오후 5시까지의 시간 제한이 있고 규칙에는 월요일부터 금요일까지의 시간 제한이 있는 경우 월요일부터 금요일까지 오전 9시에서 오후 5시 사이에만 규칙이 실행됩니다.
정책에 시간 제한 추가
정책에 시간 제한을 추가하여 정책이 특정 시간에만 실행되도록 하십시오.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 정책을 엽니다.
- "시간" 그룹 상자에서 "설정"을 클릭합니다."시간 제한" 창이 나타납니다.
- 시작 날짜와 만료 날짜를 지정합니다.
- "Hourly Restrictions"(시간별 제한) 표에서 시간 제한을 지정합니다.참고: 각 확인란은 1시간을 나타냅니다. 확인란을 선택하면 해당 시간 동안 규칙이 실행되고 지정된 리소스에 규칙이 적용됩니다. 확인란의 선택을 취소하면 해당 시간 동안 규칙이 실행되지 않고 지정된 리소스에 규칙이 적용되지 않습니다.
- "확인"을 클릭합니다.시간 제한이 저장됩니다.
활성 정책 구성
활성 정책은 외부 비즈니스 논리를 기반으로 한 동적 권한 부여에 사용됩니다. 활성 정책은 정책 서버가 고객이 제공한 공유 라이브러리의 함수를 호출하도록 함으로써 권한 부여 결정에 포함됩니다.
이 공유 라이브러리는 소프트웨어 개발 키트와는 별도로 제공되는 권한 부여 API에 지정된 인터페이스를 따라야 합니다.
sm1252sp1kkr
다음 단계를 수행하십시오.
- 전역 정책을 엽니다.
- "고급" 그룹 상자에서 "활성 정책 편집" 확인란을 선택합니다.활성 정책 설정이 나타납니다.
- "라이브러리 이름" 필드에 공유 라이브러리의 이름을 입력합니다.
- 활성 정책을 구현할 공유 라이브러리의 함수 이름을 입력합니다.
- 제출을 클릭합니다.정책이 저장됩니다.