응용 프로그램 개체에서 웹 응용 프로그램에 대한 보안 정책을 정의하는 방법

응용 프로그램 개체는 웹 응용 프로그램(또는 웹 사이트)에 대한 완전한 보안 정책을 정의할 수 있는 직관적인 방법을 제공합니다. 응용 프로그램 개체는 리소스를 사용자 역할과 연결하여 사용자별로 액세스할 수 있는 리소스를 결정하는 권한 정책을 지정합니다.
casso126kkr
응용 프로그램 개체는 웹 응용 프로그램(또는 웹 사이트)에 대한 완전한 보안 정책을 정의할 수 있는 직관적인 방법을 제공합니다. 응용 프로그램 개체는 리소스를 사용자 역할과 연결하여 사용자별로 액세스할 수 있는 리소스를 결정하는 권한 정책을 지정합니다.
2
 
참고:
응용 프로그램 개체는 정책 도메인 및 하위 개체에서 구성할 수 있는 정책 정보(즉, 영역, 규칙, 규칙 그룹, 응답 및 정책)를 정의합니다.
How to define the security policy for a web application in an application object
관리 권한 확인
응용 프로그램 보안 정책을 구현하려면 필요한 관리 권한이 있어야 합니다. 관리자에게는 다음과 같은 응용 프로그램 관련 권한이 부여될 수 있습니다.
  • 응용 프로그램 관리
    응용 프로그램 관리 권한이 있으면 응용 프로그램과 해당 구성 요소를 생성하고, 수정하고, 삭제할 수 있습니다.
  • 정책 관리
    정책 관리 권한이 있으면 응용 프로그램과 연결된 리소스, 역할 및 정책을 정의할 수 있습니다.
필요한 권한이 없는 경우
Single Sign-On
슈퍼 사용자에게 문의하십시오.
응용 프로그램 개체 생성 및 보안 정책의 일반 속성 정의
응용 프로그램 개체를 생성하고 응용 프로그램 개체가 정의하는 보안 정책의 다음과 같은 일반 속성을 구성하십시오.
  • 하나 이상의
    구성 요소
    - 보안 요구 사항이 유사한 관련 응용 프로그램 리소스(일반적으로 공용 위치에 있는 리소스)의 그룹입니다. 예를 들어 마케팅 정보는 네트워크의 /marketing 디렉터리에 있습니다.
  • 리소스를 사용할 수 있는 권한이 부여된 사용자의 디렉터리
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "정책", "응용 프로그램"을 차례로 클릭합니다.
  3. "응용 프로그램"을 클릭합니다.
  4. "응용 프로그램 만들기"를 클릭합니다.
    "응용 프로그램 만들기" 페이지가 표시됩니다.
  5. 응용 프로그램의 이름과 설명을 입력합니다.
  6. "구성 요소" 섹션에서 보안 요구 사항이 유사한 하나 이상의 관련 리소스 그룹을 정의합니다. 각 구성 요소에 대해 다음 단계를 수행합니다.
    1. "구성 요소 만들기"를 클릭합니다.
    2. 구성 요소의 이름을 입력합니다.
    3. "에이전트/에이전트 그룹 조회"를 클릭합니다.
    4. 에이전트 또는 에이전트 그룹을 선택하고 "확인"을 클릭합니다.
    5. "리소스 필터" 필드에서 보호할 리소스의 루트 URL을 입력합니다.
    6. 리소스가 기본적으로 보호되는지 여부를 지정합니다.
    7. 리소스를 요청하는 사용자의 아이덴티티 유효성을 검사하는 데 사용할 인증 체계를 지정합니다.
  7. "사용자 디렉터리" 섹션에서 다음 단계를 수행하여 응용 프로그램 리소스를 사용할 수 있는 권한이 부여된 사용자의 디렉터리를 선택합니다.
    1. "추가/제거"를 클릭합니다.
    2. "사용 가능한 구성원"의 목록에서 하나 이상의 사용자 디렉터리를 선택하고 오른쪽 방향 화살표를 클릭합니다.
      사용자 디렉터리가 "사용 가능한 구성원" 목록에서 제거되고 "선택한 구성원" 목록에 추가됩니다.
      참고
      한 번에 여러 구성원을 선택하려면 Ctrl 키를 누른 채 추가 구성원을 클릭하십시오. 구성원 블록을 선택하려면 첫 번째 구성원을 클릭한 다음 Shift 키를 누른 채 블록의 마지막 구성원을 클릭하십시오.
    3. "확인"을 클릭합니다.
      선택한 사용자 디렉터리가 "응용 프로그램 만들기" 페이지의 "사용자 디렉터리" 아래에 나열됩니다.
  8. "확인"을 클릭합니다.
  9. 제출을 클릭합니다.
    응용 프로그램 개체가 생성됩니다.
응용 프로그램 리소스 지정
보호할 응용 프로그램 구성 요소를 정의한 후에는 각 구성 요소 내에서 보호할 특정 리소스를 지정하십시오.
다음 단계를 수행하십시오.
  1. "응용 프로그램 만들기" 페이지에서 "리소스" 탭을 클릭합니다.
  2. 여러 구성 요소를 생성한 경우 "컨텍스트 루트 선택" 드롭다운 목록에서 보호할 리소스의 루트 URL("일반" 탭의 "리소스 필터"로 지정됨)을 선택합니다.
  3. "만들기"를 클릭합니다.
  4. 리소스의 이름을 입력합니다.
  5. "리소스" 필드에 보호할 리소스를 입력합니다. 특정 파일을 지정하거나, 정규식을 사용하여 리소스 일치의 유연성을 높입니다.
    "유효 리소스"가 업데이트되어 리소스가 포함됩니다.
  6. "리소스" 필드에 정규식을 사용한 경우 "정규식" 옵션을 설정합니다.
  7. "작업" 섹션에서 지정된 리소스에 대해 수행되어 정책 서버가 요청을 처리하도록 하는 작업의 유형을 선택합니다.
    "작업 목록"이 선택한 작업 유형에 적절한 작업으로 채워집니다.
  8. 작업을 하나 이상 선택합니다.
  9. "확인"을 클릭합니다. 리소스가 생성됩니다.
  10. 웹 응용 프로그램의 각 리소스에 대해 2~9 단계를 반복합니다.
이제 웹 응용 프로그램 리소스가 정의되었습니다.
보호된 리소스에 액세스할 수 있는 사용자를 식별하는 역할 생성
웹 응용 프로그램 구성 요소 및 리소스를 정의한 후에는 특정 리소스에 액세스할 수 있는 사용자 집합을 정의하는 역할을 지정하십시오.
다음 단계를 수행하십시오.
  1. "응용 프로그램 만들기" 페이지에서 "역할" 탭을 클릭합니다.
  2. "역할 만들기"를 클릭합니다.
  3. "역할 유형의 새 개체 만들기" 옵션이 선택되어 있는지 확인하고 "확인"을 클릭합니다.
  4. 역할의 이름과 설명(선택 사항)을 입력합니다.
  5. 해당 역할이 구성된 사용자 디렉터리의 "모든 사용자"에게 적용되는지, "선택한 사용자"에게만 적용되는지를 지정합니다.
    참고
    "모든 사용자" 옵션을 설정하면 "사용자 설정" 및 "고급" 섹션이 적용되지 않으며 더 이상 표시되지 않습니다.
  6. "사용자 설정" 그룹 상자에서 사용자를 선택하여 역할의 구성원을 정의하는 그룹, 조직 및 사용자 특성 식을 정의합니다.
  7. "확인"을 클릭합니다.
  8. 필요한 각 추가 역할에 대해 2~7 단계를 반복합니다.
(선택 사항) 웹 응용 프로그램을 사용자 지정하도록 응답 구성
텍스트, 사용자 특성, DN 특성, 활성 응답 또는 정의된 변수의 런타임 값을 정책 서버에서 에이전트로 전달하도록 응답을 구성하십시오. 웹 응용 프로그램은 응답 데이터를 사용하여 사용자 지정된 콘텐츠를 표시하거나 세부적인 액세스 제어를 위한 권한을 결정할 수 있습니다. 응답 데이터는 설정을 변경하거나 사용자를 다른 리소스로 리디렉션하는 데도 사용될 수 있습니다.
다음 단계를 수행하십시오.
  1. "응용 프로그램 만들기" 페이지에서 "응답" 탭을 클릭합니다.
  2. "응답 만들기"를 클릭합니다.
  3. 응답의 이름을 입력합니다.
  4. 하나 이상의 응답 특성을 생성합니다. 각 응답 특성에 대해 다음 단계를 수행합니다.
    1. "응답 특성 만들기"를 클릭합니다.
    2. 구성할 특성 유형을 선택합니다. 예를 들어 WebAgent-HTTP-Header-Variable 특성 유형을 선택합니다.
    3. "특성 종류"를 선택합니다.
      "특성 필드"의 상세 정보가 지정한 특성 종류에 맞게 업데이트됩니다.
    4. "특성 필드"에서 상세 정보를 입력합니다.
    5. (선택 사항) "스크립트" 필드에서 특성을 편집합니다.
      참고:
      "고급" 섹션에서 특성을 편집할 경우 "특성 설정" 섹션이 닫힙니다.
    6. "캐시 값"(기본값)이나 "값 재계산 간격"(초)을 지정합니다.
      참고:
      입력할 수 있는 최대 시간 제한은 3600초입니다.
    7. "확인"을 클릭합니다.
    응답 특성이 "특성 목록"에 추가됩니다.
  5. "확인"을 클릭합니다.
    응답이 생성됩니다.
(선택 사항) 웹 응용 프로그램을 사용자 지정하도록 응답 그룹 구성
하나의 개체에 여러 응답을 결합하려면 응답 그룹을 구성하십시오. 응용 프로그램 정책을 생성하면 여러 응답을 해당 정책 내의 단일 리소스에 보다 쉽게 연결할 수 있습니다.
다음 단계를 수행하십시오.
  1. "응용 프로그램 만들기" 페이지에서 "응답" 탭을 클릭합니다.
  2. "응답 그룹 만들기"를 클릭합니다.
  3. 응답 그룹의 이름을 입력합니다.
  4. "추가/제거"를 클릭합니다.
    "응답 그룹 구성원" 페이지가 표시됩니다. "사용 가능한 구성원" 열에 응용 프로그램 개체에 정의된 모든 응답 및 응답 그룹이 나열됩니다.
     
  5. "사용 가능한 구성원" 목록에서 응답 또는 응답 그룹을 하나 이상 선택하고 오른쪽 방향 화살표를 클릭합니다.
    응답이 "사용 가능한 구성원" 목록에서 제거되고 "선택한 구성원" 목록에 추가됩니다.
    참고:
    한 번에 여러 구성원을 선택하려면 Ctrl 키를 누른 채 추가 구성원을 클릭하십시오. 구성원 블록을 선택하려면 첫 번째 구성원을 클릭한 다음 Shift 키를 누른 채 블록의 마지막 구성원을 클릭하십시오.
  6. "확인"을 클릭합니다.
    선택된 응답이 응답 그룹에 추가됩니다.
  7. "확인"을 클릭합니다.
    응답 그룹이 생성됩니다.
리소스를 사용자 역할과 연결하도록 정책 구성
각 리소스에 액세스할 수 있는 권한이 있는 사용자를 정의하려면 응용 프로그램 정책에서 리소스와 사용자 역할을 연결하십시오. 또한 리소스가 액세스될 때 권한 부여 에이전트에 데이터를 반환하려는 경우에는 정책에서 응답과 리소스를 연결하십시오.
다음 단계를 수행하십시오.
  1. "응용 프로그램 만들기" 페이지에서 "정책" 탭을 클릭합니다.
    "정책" 탭에는 두 개의 테이블이 있는데, 하나는 리소스 및 역할을 나열하고 다른 하나는 리소스 및 응답을 나열합니다.
  2. 리소스 테이블에서 각 리소스와 연결할 역할을 선택합니다. 선택한 역할의 사용자에만 해당 리소스에 액세스할 수 있는 권한이 부여됩니다.
  3. 응답 테이블에서 각 리소스와 연결할 응답 및 응답 그룹을 선택합니다. 연결된 리소스가 액세스될 때 선택한 응답에 정의된 데이터가 반환됩니다.
    참고
    역할/리소스 테이블 항목을 선택하기 전에는 응답 테이블에 응답이 표시되지 않습니다.
  4. 제출을 클릭합니다.
    확인 화면이 표시됩니다. 응용 프로그램 보안 정책이 생성됩니다.
(선택 사항) 고급 응용 프로그램 옵션 구성
응용 프로그램 보안 정책에 대해 다음과 같은 고급 옵션을 구성할 수도 있습니다.
(선택 사항) 사용자 지정 특성을 구성하여 응용 프로그램에 대한 메타데이터 추가
사용자 지정 특성을 정의하여 응용 프로그램에 대한 고유 식별 메타데이터를 추가할 수 있습니다. 메타데이터는 응용 프로그램을 생성한 사용자의 이름 또는 응용 프로그램의 용도와 같은 정보를 추가하여 응용 프로그램을 설명합니다.
다음 단계를 수행하십시오.
  1. "응용 프로그램 만들기" 페이지에서 "사용자 지정 특성" 탭을 클릭합니다.
    "사용자 지정 특성" 탭에는 기존 메타데이터의 이름과 값이 포함된 테이블이 표시됩니다.
  2. "만들기"를 클릭합니다.
    "사용자 지정 특성" 테이블에 빈 항목이 추가됩니다.
  3. 추가할 메타데이터의 이름과 값을 입력합니다.
  4. "만들기"를 클릭합니다.
    사용자 지정 특성이 테이블에 추가되고 비어 있는 새 항목이 추가됩니다.
  5. 추가할 각 사용자 지정 특성에 대해 3~4 단계를 반복합니다.
응용 프로그램에서 신뢰 수준 구성
Single Sign-On
은 지원되는 리스크 분석 엔진과 통합되는 경우 신뢰 수준을 응용 프로그램 개체에 사용할 수 있습니다. 신뢰 수준은 사용자 인증의 일부로 완료된 위험 평가의 결과를 포함하도록 응용 프로그램을 확장합니다. 정책 서버에서는 권한 부여 결정을 할 때 이러한 결과를 사용할 수 있습니다.
신뢰 수준을 다음 개체에 적용할 수 있습니다.
  • 응용 프로그램 구성 요소
    응용 프로그램 구성 요소에서 구성하는 신뢰 수준은 해당 구성 요소와 연결된 모든 리소스에 적용됩니다. 신뢰 수준은 기본적인 응용 프로그램 설정에서 제공하는 것보다 더 높은 수준의 세분성을 나타냅니다. 응용 프로그램 구성 요소의 고급 설정을 사용하여 신뢰 수준을 적용할 수 있습니다.
    참고:
    신뢰 수준을 응용 프로그램 구성 요소에 적용하려면 신뢰 수준 지원을 활성화해야 합니다.
  • 응용 프로그램 역할
    응용 프로그램 역할의 일부로 구성하는 신뢰 수준을 통해 좀 더 세부적으로 권한 부여 결정을 내릴 수 있습니다. 신뢰 수준은 리소스에 액세스할 수 있는 사용자 그룹을 좀 더 자세하게 정의하는 데 사용할 수 있는 활성 구성 요소를 나타냅니다. 신뢰 수준은 기본적인 역할 구성원 자격이 제공하는 것보다 더 높은 수준의 세분성을 나타냅니다. 역할에 신뢰 수준을 추가하려면 SM_USER_CONFIDENCE_LEVEL
    Single Sign-On
    생성 특성을 참조하는 명명된 식을 사용하십시오.
    참고:
    신뢰 수준을 응용 프로그램에 적용하는 기능은 이전 릴리스부터 계속 지원되므로 기본적으로 활성화되어 있습니다.
응용 프로그램에서 CA DataMinder 콘텐츠 분류 구성
CA DataMinder와
Single Sign-On
이 통합된 경우 응용 프로그램 개체에 콘텐츠 분류를 사용할 수 있습니다. 콘텐츠 분류는 사용자가 요청하는 콘텐츠 유형을 포함하도록 응용 프로그램을 확장합니다. 정책 서버는 CA DataMinder 콘텐츠 분석 결과에 따라 권한 부여를 결정할 수 있습니다.
참고:
응용 프로그램 구성 요소에 콘텐츠 분류를 적용하려면 사용 환경에서 CA DataMinder 통합이 사용되도록 설정해야 합니다.
다음 개체에 CA DataMinder 콘텐츠 분류를 적용할 수 있습니다.
  • 응용 프로그램 구성 요소:
    • 응용 프로그램 구성 요소에 적용하는 콘텐츠 분류는 해당 구성 요소와 연관된 모든 리소스에 적용됩니다.
    • 기본적으로 CA DataMinder Content Classification Service는 응용 프로그램 구성 요소에 모든 콘텐츠 분류를 제공합니다. 정책 서버가 권한 부여를 결정할 때 하나 이상의 분류를 무시하도록 하려면 응용 프로그램에서 해당 분류를 제거하십시오.
    • Single Sign-On
      관리자는 콘텐츠 분류를 관리할 수 없습니다. 변경이 필요한 경우 CA DataMinder 관리자와 상의하여 변경하십시오.
  • 응용 프로그램 역할:
    • 응용 프로그램 역할에 콘텐츠 분류를 적용하면 더 세부적으로 권한 부여를 결정할 수 있습니다. 콘텐츠 분류는 리소스에 액세스할 수 있는 하나 이상의 사용자 그룹을 추가로 정의하는 데 사용할 수 있는 활성 구성 요소를 나타냅니다. 콘텐츠 분류는 기본 역할 구성원 자격이 제공하는 상위 수준의 세분성을 나타냅니다.
    • 역할과 콘텐츠 분류 간의 관계는 누적 적용됩니다. 사용자가 동일한 응용 프로그램에서 여러 역할의 구성원일 경우 해당 역할과 연결된 모든 문서에 액세스할 수 있습니다.
응용 프로그램에 대한 고급 정책 구성 요소 구성
응용 프로그램 개체는 다음 유형의 사용자가
Single Sign-On
구성 요소의 기본 설정을 수정할 수 있는 구성 옵션을 제공합니다.
  • r12 이전의
    Single Sign-On
    릴리스에서 사용되는 정책 디자인과 인터페이스에 익숙하고 정책의 여러 가지 측면을 세부적으로 조정하려는 사용자
  • 정책에서 기본 설정이 제공하는 것보다 더 높은 수준의 세분성을 원하는 사용자
  • 응용 프로그램 개체를 사용하여 구현한 정책이 조직의 요구 사항 또는 조직에서 준수해야 하는 규정을 충족하는지 여부를 결정하려는 감사자 및 기타 사용자
다음 단계를 수행하십시오.
  1. "응용 프로그램"을 클릭합니다.
  2. "응용 프로그램 만들기"를 클릭합니다.
  3. "일반" 및 "구성 요소" 섹션에 정보를 입력하고 "고급 설정"을 클릭합니다.
    "구성 요소 수정" 페이지가 표시됩니다. "구성 요소 수정" 페이지에는 정책 영역의 고급 기능 및 세션이 포함되어 있습니다. 예를 들어 신뢰 수준 지원이 사용되도록 설정한 경우 구성 요소에 최소 신뢰 수준을 추가할 수 있습니다.
  4. 다음 단계 중 하나를 수행합니다.
    • 구성 요소에 대해 하나 이상의 고급 설정을 구성합니다.
    • 레거시 권한 부여 디렉터리 매핑을 선택합니다.
    • 하위 구성 요소를 생성하려면"하위 구성 요소 만들기"를 클릭하여 "구성 요소 만들기" 화면을 엽니다. 하위 구성 요소를 만드는 작업은 하위 또는 중첩된 영역을 만드는 것과 같습니다.
  5. 완료되면 "확인"을 클릭하여 변경 내용을 저장하고 응용 프로그램의 나머지 부분을 계속 구성합니다.