권한 부여 이벤트 작업을 위한 규칙 구성
권한 부여 이벤트는 사용자가 인증된 후에 발생합니다. 사용자가 요청한 리소스에 대해 권한이 부여되었는지 여부를 기준으로 하여 호출이 응답할 수 있도록 권한 부여 규칙을 구성합니다. 사용자가 자신의 권한에 따라 액세스가 허용 또는 거부될 때 적절한 이벤트가 트리거됩니다.
casso126kkr
권한 부여 이벤트는 사용자가 인증된 후에 발생합니다. 사용자가 요청한 리소스에 대해 권한이 부여되었는지 여부를 기준으로 하여
Single Sign-On
호출이 응답할 수 있도록 권한 부여 규칙을 구성합니다. 사용자가 자신의 권한에 따라 액세스가 허용 또는 거부될 때 적절한 이벤트가 트리거됩니다.규칙이 만들어질 영역은 권한 부여 이벤트를 처리할 수 있어야 합니다. "권한 부여 이벤트 처리" 옵션이 선택되어 있는지 확인합니다.
- 규칙으로 보호할 리소스를 입력합니다."유효 리소스"가 업데이트되어 리소스가 포함됩니다.
- 권한 부여 이벤트를 선택합니다."작업 목록"이 권한 부여 이벤트로 채워집니다.참고"액세스 허용" 및 "액세스 거부" 옵션은 비활성화됩니다. 권한 부여 이벤트에는 이러한 옵션이 적용되지 않기 때문입니다.
- 하나 이상의 권한 부여 이벤트를 선택합니다.
- (선택 사항) "고급"에서 시간 제한이나 활성 규칙 또는 둘 모두를 설정합니다.
- 제출을 클릭합니다.규칙이 저장되고 지정된 영역 및 리소스에 적용됩니다.
OnAccessReject 규칙에 대한 정책 고려 사항
casso126kkr
OnAccessReject 이벤트가 포함된 전역 규칙을 생성할 때는 OnAccessReject 규칙에 의해 발생하는 특수한 상황과 전역 정책이 정책 서버에서 처리되는 방식을 고려하십시오.
OnAccessReject 규칙은 GET/POST 규칙과 동일한 정책에 있는 경우에는 실행되지 않습니다. 사용자가 인증되면
Single Sign-On
은 사용자의 아이덴티티를 확인합니다. 따라서 OnAccessReject 규칙과 GET/POST 규칙이 동일한 정책에 있는 경우에는 리소스에 대한 액세스가 허용된 사용자와 OnAccessReject 이벤트에서 리디렉션되는 사용자가 동일하게 됩니다. 해당 사용자는 액세스가 허용되었으므로 거부 이벤트가 적용되지 않습니다.이 모순을 해결하려면 OnAccessReject 규칙에 대한 별도의 정책(다른 이벤트 규칙도 포함될 수 있음)을 생성하고 이 정책을 적용할 사용자를 지정하십시오.
예를 들어 LDAP 사용자 디렉터리에서 User1이 리소스에 액세스할 수 있어야 하고 ou=People, o=company.com 그룹의 다른 모든 사용자는 OnAccessReject 페이지로 리디렉션되어야 하는 경우, 다음 두 개의 정책이 필요합니다.
- 정책1User1의 액세스를 허용하는 GET/POST 규칙을 포함합니다.
- 정책2OnAccessReject 규칙과 리디렉션 응답을 포함하고 ou=People, o=company.com 그룹을 지정합니다.
User1은 권한이 부여되었으므로 User1이 리소스에 액세스할 때는 OnAccessReject 규칙이 실행되지 않습니다. 그러나 ou=People, o=company.com 그룹에 있는 다른 모든 사용자의 경우에는 리소스에 대한 액세스 권한이 부여되지 않았으므로 OnAccessReject 규칙이 실행됩니다.