사용자 특성 매핑

정책 서버에서 사용자 디렉터리로의 연결을 구성할 때 다음과 같은 7개의 기본 제공 특성을 디렉터리별 사용자 특성 이름에 매핑할 수 있습니다.
casso127kkr
정책 서버에서 사용자 디렉터리로의 연결을 구성할 때 다음과 같은 7개의 기본 제공 특성을 디렉터리별 사용자 특성 이름에 매핑할 수 있습니다.
  • 유니버설 ID
  • 비활성화된 플래그
  • 암호 특성
  • 암호 데이터
  • 익명 ID
  • 전자 메일
  • 챌린지/응답
사용자 특성 매핑을 사용하면
Single Sign-On
에 일반 이름을 정의하고 각 이름을 사용자 특성 이름에 매핑할 수 있습니다. 특성 이름은 다른 기본 스키마를 사용하는 여러 사용자 디렉터리에 있을 수 있습니다.
2
사용자 특성 매핑 개요
사용자 특성 매핑의 5개 유형은 다음과 같습니다.
  • 별칭
  • 그룹 이름
  • 마스크
  • 상수
명명된 식의 유형은 다음과 같습니다.
  • 가상 사용자 특성
  • 사용자 클래스
사용자 특성 매핑은 명명된 식과 유사하지만 다음과 같은 차이점이 있습니다.
  • 액세스
    • 사용자 특성 매핑의 일부 유형은 읽기 전용(R)이며 사용자 특성 값에 매핑됩니다. 이러한 특성은 변경되지 않습니다. 사용자 특성 매핑의 다른 유형은 읽기/쓰기(RW)이며 사용자 특성 값에 매핑됩니다. 이러한 특성은 수정할 수 있습니다.
    • 명명된 식은 모두 읽기 전용(R)입니다.
  • 데이터 형식
    • 사용자 특성 매핑은 지정된 데이터 형식의 사용자 특성에 매핑됩니다.
    • 명명된 식은 실행 시 지정된 데이터 형식으로 값을 반환합니다.
  • 가시성
    • 사용자 특성 매핑은 전역 설정이 아니므로 매핑을 적용할 각 사용자 디렉터리에 대해 정의해야 합니다.
    • 명명된 식은 전역 설정이므로 모든 사용자 디렉터리의 모든 사용자에게 적용될 수 있습니다.
  • 접두사
    • 사용자 특성 매핑은 사용자 특성 이름과 동일한 구문 규칙을 따릅니다.
    • 명명된 식은 사용자 특성 이름과 동일한 구문 규칙을 따르되 접두사를 사용합니다.
      • 가상 사용자 특성은 "파운드" 기호(#)로 시작해야 합니다.
      • 사용자 클래스는 "at" 기호(@)로 시작해야 합니다.
다음 표에는 이러한 차이점이 요약되어 있습니다.
사용자 특성 매핑 유형
사용자 특성 매핑 유형
데이터 형식
가시성
접두사
별칭(RW)
문자열, 숫자, 부울
디렉터리별
없음
그룹 이름(RW)
부울
디렉터리별
없음
마스크(RW)
부울
디렉터리별
없음
상수(R)
문자열, 숫자, 부울
디렉터리별
없음
식(R)
문자열, 숫자, 부울
디렉터리별
없음
 
명명된 식 유형
명명된 식 유형
데이터 형식
가시성
접두사
가상 사용자 특성(R)
문자열, 숫자, 부울
global
#
사용자 클래스(R)
부울
global
@
특성 매핑의 작동 방식
사용자 특성 매핑의 목적은 유니버설 스키마를 정의하여 동일한 사용자 정보의 공통 보기를 생성하는 데 있습니다. 이 유니버설 스키마는 여러 사용자 디렉터리에서 사용자 정보를 확인합니다. 사용자 특성을 식별하는 기본 디렉터리 스키마에
일반 이름
을 매핑하여 사용자 특성 매핑을 정의할 수 있습니다. 사용 환경에 포함된 각 사용자 디렉터리의 기본 스키마에 동일한 일반 이름을 매핑하면 사용자 특성에 대한 유니버설 스키마가 생성됩니다.
이러한 보기를 만들면 디렉터리 유형에 관계없이 사용자 특성을 참조합니다. 여러 사용자 디렉터리를 고려하여 구성되어야 하는 정책 또는 다른 개체의 수를 크게 줄일 수 있습니다. 각 사용자 특성 매핑은 해당 사용자 특성 매핑이 정의된 사용자 디렉터리에 대해 적용됩니다.
다음 그림은 사용자 특성 매핑의 기본 개념을 보여 줍니다.
Attribute mapping overview use case
  1. 두 사용자 디렉터리에서 사용자의 이름은 서로 다르게 식별됩니다.
    • 디렉터리 A는 givenname을 사용하여 사용자의 이름을 식별합니다.
    • 디렉터리 B는 u_givenname을 사용하여 사용자의 이름을 식별합니다.
    이 구성을 사용하면 동일한 사용자 정보가 서로 다른 방식으로 표현되고 표시됩니다.
  2. FirstName은 기본 디렉터리 스키마에 매핑된 일반 이름입니다.
    • 디렉터리 A에서는 FirstName이 givenname에 매핑됩니다.
    • 디렉터리 B에서는 FirstName이 u_givenname에 매핑됩니다.
  3. FirstName를 사용하면 동일한 사용자 정보의 공통 보기가 생성됩니다. 디렉터리별 스키마에 관계없이 사용자의 이름을 사용해야 하는 정책, 식 또는 기타 개체를 정의할 때 FirstName을 참조할 수 있습니다. 디렉터리는 기능적으로 동일합니다.
특성 매핑 정의
다음과 같은 특성 매핑 유형 중 하나 이상을 사용할 수 있습니다.
별칭
별칭
특성 매핑은 읽거나 변경할 수 있는 사용자 특성 값에 일반 이름을 매핑합니다. 이러한 유형의 액세스를 읽기/쓰기(RW)라고 합니다.
별칭
특성 매핑은 다음과 같은 데이터 형식의 사용자 특성에 매핑할 수 있습니다.
  • 문자열
  • 숫자
  • 부울
별칭 특성 사용 사례
이 사용 사례에서는 사용자의 성을 식별하지만 각각 기본 스키마가 서로 다른 두 LDAP 사용자 디렉터리를 보여 줍니다. 다음 그림에서는 별칭 특성 매핑을 두 개 사용하여 동일한 사용자 정보의 공통 보기를 생성하는 방법을 보여 줍니다.
Alias use case, attribute mapping
  1. 두 사용자 디렉터리에서 사용자의 성은 서로 다르게 식별됩니다.
    • 디렉터리 A는 sn을 사용하여 사용자의 성을 식별합니다.
    • 디렉터리 B는 lastname을 사용하여 사용자의 성을 식별합니다.
    이 구성을 사용하면 동일한 사용자 정보가 서로 다른 방식으로 표시됩니다.
  2. LastName은 기본 디렉터리 스키마에 매핑된 일반 이름 또는
    별칭
    입니다.
    • 디렉터리 A에서는 LastName이 sn에 매핑됩니다.
    • 디렉터리 B에서는 LastName이 lastname에 매핑됩니다.
LastName를 사용하면 동일한 사용자 정보의 공통 보기가 생성됩니다. LastName은 성을 사용해야 하는 정책, 식 또는 기타 개체를 정의할 때 사용합니다.
별칭 특성 매핑 만들기
사용자 디렉터리의 기본 스키마에 지정된 사용자 특성 이름에 일반 이름 또는
별칭
을 매핑할 수 있습니다. 사용자 특성 매핑은 디렉터리별로 적용됩니다.
다음 단계를 수행하십시오.
  1. "사용자 디렉터리:
    이름
    " 창으로 이동합니다.
  2. "특성 매핑 목록" 그룹 상자에서 "만들기"를 클릭합니다.
    "특성 매핑 만들기" 창이 열립니다.
  3. "Create a new object"(새 개체 만들기)가 선택되어 있는지 확인하고 "확인"을 클릭합니다.
    "특성 매핑 만들기:
    이름
    " 창이 열립니다.
  4. "일반" 그룹 상자의 필드에 특성 매핑의 일반 이름과 설명을 입력합니다.
    참고:
    일반 이름은 사용자 특성 이름과 동일한 규칙을 따라야 합니다.
  5. "속성" 그룹 상자에서 "별칭"을 선택합니다.
  6. "속성" 그룹 상자의 "정의" 상자에 정의를 입력합니다.
    • 예를 들면 다음과 같습니다.
      이름: FirstName
      정의: givenname
      설명: 일반 이름 FirstName은 사용자 특성 이름 givenname에 매핑됩니다.
  7. (선택 사항) "사용 안 함"을 선택하여 이 특성 매핑이 사용되지 않도록 설정합니다.
  8. "확인"을 클릭합니다.
    처리를 위해 "특성 매핑 만들기" 태스크가 제출되고 "특성 매핑 목록" 그룹 상자의 목록에 새 특성 매핑이 추가됩니다.
그룹 이름
그룹 이름
특성을 사용하여 사용자가 특정 그룹에 속해 있는지 여부를 식별하는 기본 디렉터리 스키마에 일반 이름을 매핑할 수 있습니다. 그룹 이름 특성 매핑은 읽거나 변경할 수 있는 사용자 특성에 일반 이름을 매핑합니다.
그룹 이름 특성 매핑의 결과는 부울 값입니다. 사용자가 지정된 그룹의 구성원인 경우 매핑 결과는 TRUE 값입니다. 그렇지 않은 경우 매핑 결과는 FALSE입니다.
그룹 이름 특성 매핑과 명명된 식의 한 유형인 사용자 클래스는 다음과 같은 유사점이 있습니다.
  • 둘 모두 그룹 구성원 자격을 확인하는 데 사용됩니다.
  • 둘 모두 부울 값을 반환합니다.
그룹 이름 특성 매핑과 사용자 클래스에는 다음과 같은 차이점이 있습니다.
  • 그룹 이름 특성 매핑은 특정 사용자 디렉터리에 대해 정의됩니다. 사용자 클래스는 전역 설정이므로 모든 사용자 디렉터리의 모든 사용자에 적용될 수 있습니다.
  • 그룹 이름 특성 매핑은 사용자 디렉터리에 있는 그룹의 구성원 자격을 변경할 수 있습니다. 사용자 클래스는 부울 식으로, 변경할 수 없습니다.
  • 사용자 클래스는 "at" 기호(@)로 시작해야 합니다. 그룹 이름 매핑은 "at" 기호로 시작되지 않습니다.
그룹 이름 사용 사례
이 사용 사례에서는 관리자 그룹에 속한 사용자를 식별하는 데 서로 다른 기본 스키마를 사용하는 두 개의 LDAP 사용자 디렉터리를 보여 줍니다.
다음 그림에서는 그룹 이름 특성 매핑을 두 개 사용하여 동일한 사용자 정보의 공통 보기를 생성하는 방법을 보여 줍니다.
Group membership use case, attribute mapping
  1. 두 사용자 디렉터리는 관리자 그룹의 구성원을 서로 다르게 식별합니다.
    • 디렉터리 A는 관리자 그룹의 구성원을 cn=Administrators,ou=groups,o=acme.com으로 식별합니다.
    • 디렉터리 B는 관리자 그룹의 구성원을 cn=Admin,ou=groups,o=acme.com으로 식별합니다.
    이 구성을 사용하면 동일한 사용자 정보가 서로 다른 방식으로 표시됩니다.
  2. IsAdmin은 기본 디렉터리 스키마에 매핑된 일반 이름입니다.
    • 디렉터리 A에서는 IsAdmin이 cn=Administrators,ou=groups,o=acme.com에 매핑됩니다.
    • 디렉터리 B에서는 IsAdmin이 cn=Admin,ou=groups,o=acme.com에 매핑됩니다.
따라서 IsAdmin을 사용하면 관리자 그룹의 공통 보기가 생성됩니다. 관리자 그룹에 적용되는 정책, 식 또는 기타 개체를 정의할 때 IsAdmin을 참조할 수 있습니다.
그룹 이름 특성 매핑 만들기
그룹 이름 특성을 정의하여 사용자가 특정 그룹에 속해 있는지 여부를 식별하는 기본 디렉터리 스키마에 일반 이름을 매핑할 수 있습니다. 그룹 이름 특성 매핑의 결과는 부울 값입니다. 그룹 이름 특성 매핑을 사용하여 사용자 디렉터리의 사용자 그룹 이름을 읽거나 변경할 수 있습니다. 사용자 특성 매핑은 디렉터리별로 적용됩니다.
다음 단계를 수행하십시오.
  1. "사용자 디렉터리:
    이름
    " 창으로 이동합니다.
  2. "특성 매핑 목록" 그룹 상자에서 "만들기"를 클릭합니다.
    "특성 매핑 만들기" 창이 열립니다.
  3. "Create a new object"(새 개체 만들기)가 선택되어 있는지 확인하고 "확인"을 클릭합니다.
    "특성 매핑 만들기:
    이름
    " 창이 열립니다.
  4. "일반" 그룹 상자의 필드에 특성 매핑의 일반 이름과 설명을 입력합니다.
    참고:
    일반 이름은 사용자 특성 이름과 동일한 규칙을 따라야 합니다.
  5. "속성" 그룹 상자에서 "그룹"을 선택합니다.
  6. "속성" 그룹 상자의 "정의" 상자에 정의를 입력합니다.
    • 예를 들면 다음과 같습니다.
      이름: IsAdmin
      정의: cn=administrators,ou=groups,o=acme.com
      설명: 일반 이름 IsAdmin은 그룹 이름 cn=administrators,ou=groups,o=acme.com에 매핑됩니다. 사용자가 cn=administrators,ou=groups,o=acme.com의 구성원인 경우 IsAdmin은 TRUE입니다.
  7. (선택 사항) "사용 안 함"을 선택하여 이 특성 매핑이 사용되지 않도록 설정합니다.
  8. "확인"을 클릭합니다.
    "특성 매핑 만들기" 태스크가 처리를 위해 제출됩니다. 새 특성 매핑은 "특성 매핑 목록" 그룹 상자의 목록에 나타납니다.
마스크
마스크
특성 매핑을 사용하면 비트 패턴을 저장하는 사용자 특성을 식별하는 데 사용되는 이름에 일반 이름을 매핑할 수 있습니다.
마스크
특성은 읽거나 변경할 수 있는 사용자 특성에 일반 이름을 매핑합니다.
마스크
특성 매핑의 결과는 부울 값입니다. 사용자 디렉터리의 비트 패턴이 지정된 마스크와 일치할 경우 매핑 결과는 TRUE 값입니다. 그렇지 않은 경우 매핑 결과는 FALSE입니다.
마스크 사용 사례
일부 디렉터리 구현에서는 특성의 개별 비트를 사용하여 계정 상태와 같은 특성 관련 정보를 제공합니다. 특성에 비트 마스크를 적용할 수 있습니다.
이 사용 사례에서는 비활성화된 사용자 계정을 식별하는 두 개의 Active Directory 사용자 저장소를 보여 줍니다. 각 계정에는 서로 다른 기본 스키마가 있습니다.
다음 그림에서는 마스크 특성 매핑을 두 개 사용하여 동일한 사용자 정보의 공통 보기를 생성하는 방법을 보여 줍니다.
Mask use case, attribute mapping
  1. 두 사용자 디렉터리에는 AccountStatus라는 사용자 특성이 포함되어 있습니다. AccountStatus는 사용자 정보를 각 비트가 플래그인 비트 패턴으로 저장합니다.
    • 디렉터리 A에서는 두 번째 비트가 비활성화된 계정에 플래그를 설정합니다. 두 번째 비트가 1인 경우 해당 계정은 비활성화된 것입니다.
    • 디렉터리 B에서는 세 번째 비트가 비활성화된 계정에 플래그를 설정합니다. 세 번째 비트가 1인 경우 해당 계정은 비활성화된 것입니다.
    이 구성을 사용하면 동일한 사용자 정보가 서로 다른 방식으로 표시됩니다.
  2. IsDisabled는 기본 디렉터리 스키마에 매핑된 일반 이름입니다. 두 디렉터리 모두에서 IsDisabled는 AccountStatus에 매핑됩니다.
    • 디렉터리 A에서는 비트 마스크 2(10진수)가 AccountStatus의 두 번째 비트가 설정되어 있고 계정이 비활성화되었는지 여부를 확인합니다.
    • 디렉터리 B에서는 비트 마스크 4(10진수)가 AccountStatus의 세 번째 비트가 설정되어 있고 계정이 비활성화되었는지 여부를 확인합니다.
IsDisabled를 사용하면 비활성화된 사용자 계정의 공통 보기가 생성됩니다. 사용자의 계정 상태가 필요한 정책, 식 또는 기타 개체를 정의할 때 IsDisabled를 참조할 수 있습니다.
마스크 특성 매핑 만들기
사용자 디렉터리의 기본 스키마에 지정된 사용자 특성 이름에 해당하는 비트 패턴에 일반 이름을 매핑할 수 있습니다. 마스크 특성 매핑의 결과는 부울 값입니다. 마스크 매핑을 사용하여 사용자 디렉터리의 사용자 특성 값을 읽거나 변경할 수 있습니다. 사용자 특성 매핑은 디렉터리별로 적용됩니다.
마스크 유형의 사용자 특성 매핑을 생성하려면
  1. "사용자 디렉터리:
    이름
    " 창으로 이동합니다.
  2. "특성 매핑 목록" 그룹 상자에서 "만들기"를 클릭합니다.
    "특성 매핑 만들기" 창이 열립니다.
  3. "Create a new object"(새 개체 만들기)가 선택되어 있는지 확인하고 "확인"을 클릭합니다.
    "특성 매핑 만들기:
    이름
    " 창이 열립니다.
  4. "일반" 그룹 상자의 필드에 특성 매핑의 일반 이름과 설명을 입력합니다.
    참고:
    일반 이름은 사용자 특성 이름과 동일한 규칙을 따라야 합니다.
  5. "속성" 그룹 상자에서 "마스크"를 선택합니다.
  6. "속성" 그룹 상자의 "정의" 상자에 정의를 입력합니다.
    • 예를 들면 다음과 같습니다.
      이름: IsDisabled
      정의: AccountStatus:4
      설명:
      일반 이름 IsDisabled는 사용자 특성 이름 AccountStatus에 매핑됩니다. AccountStatus는 하나 이상의 상태를 비트 패턴으로 저장합니다. 예를 들어 AccountStatus는 계정 상태를 세 번째 비트에 저장합니다. 계정이 비활성화된 경우 세 번째 비트는 1로 설정됩니다. 반대로 계정이 활성화된 경우에는 세 번째 비트가 0으로 설정됩니다.
      Single Sign-On
      은 AccountStatus와 지정된 상태 또는
      마스크
      (이 예의 경우 4)에 대해 bitwise AND 연산을 수행하여 계정이 비활성화되어 있는지 확인합니다. 계정이 비활성화된 경우 IsDisabled는 TRUE입니다.
  7. (선택 사항) "사용 안 함"을 선택하여 이 특성 매핑이 사용되지 않도록 설정합니다.
  8. "확인"을 클릭합니다.
    처리를 위해 "특성 매핑 만들기" 태스크가 제출되고 "특성 매핑 목록" 그룹 상자의 목록에 새 특성 매핑이 추가됩니다.
마스크 특성 매핑의 비트 마스크
비트 마스크 특성 매핑은 사용자 특성의 다른 비트 값을 마스크하여 하나 이상의 비트 값을 테스트합니다.
마스크 특성 매핑은 다음과 같이 정의됩니다.
user_attribute_name:bit_mask
예를 들어 사용자 특성 이름이 AccountStatus라고 가정합니다. AccountStatus 특성은 다음 세 플래그의 상태를 비트 패턴으로 저장합니다.
비트 패턴
플래그
00?
계정 비활성화 여부
0?0
암호 만료 여부
?00
골드 구성원 여부
비트가 1인 경우 플래그는 TRUE입니다. 다음 표에서는 결과를 보여 줍니다.
비트 패턴
계정 상태
000 (0)
어떤 플래그도 TRUE가 아님
001 (1)
계정 비활성화됨
010 (2)
암호 만료됨
100 (4)
골드 구성원
011 (3)
암호 만료됨, 계정 비활성화됨
101 (5)
골드 구성원, 계정 비활성화됨
110 (6)
골드 구성원, 암호 만료됨
111 (7)
골드 구성원, 암호 만료됨, 계정 비활성화됨
참고:
해당하는 10진수 값은 괄호 안에 표시되어 있습니다.
사용자가 골드 구성원인지 여부만 테스트하려 한다고 가정합니다. 이 비트를 테스트하려면 비트 마스크로 골드 구성원에 해당하는 비트 패턴, 즉 100(이진수)을 선택하고 해당 값을 4(10진수)로 지정하십시오. 결과 마스크 특성 매핑은 다음과 같이 정의됩니다.
AccountStatus:4
그러면 AccountStatus에 대한 bitwise AND 연산이 비트 마스크에 대해 수행되고 결과가 비트 마스크와 같은지 여부가 테스트됩니다. 결과가 같으면 테스트된 비트의 값이 1이고 플래그가 TRUE임을 의미합니다. 다음 표에서는 결과를 보여 줍니다.
계정 상태
비트 마스크
bitwise AND 결과
골드 구성원 여부
000 (0)
100 (4)
000 (0)
FALSE
001 (1)
100 (4)
000 (0)
FALSE
010 (2)
100 (4)
000 (0)
FALSE
011 (3)
100 (4)
000 (0)
FALSE
100 (4)
100 (4)
100 (4)
TRUE
101 (5)
100 (4)
100 (4)
TRUE
110 (6)
100 (4)
100 (4)
TRUE
111 (7)
100 (4)
100 (4)
TRUE
참고:
해당하는 10진수 값은 괄호 안에 표시되어 있습니다.
비트 마스크를 사용하여 비트 집합 또는 여러 비트의 값을 한 번에 테스트할 수도 있습니다. 계정이 비활성화되어 있고 암호가 만료되었는지를 확인하려 한다고 가정합니다. 이러한 비트를 테스트하려면 비트 마스크를 011(이진수) 또는 3(10진수)으로 지정하십시오. 결과 마스크 특성 매핑은 다음과 같이 정의됩니다.
AccountStatus:3
그러면 AccountStatus에 대한 bitwise AND 연산이 비트 마스크에 대해 수행되고 결과가 비트 마스크와 같은지 여부가 테스트됩니다. 결과가 같으면 테스트된 두 비트의 값이 모두 1이고 두 플래그가 모두 TRUE임을 의미합니다. 다음 표에서는 결과를 보여 줍니다.
계정 상태
비트 마스크
bitwise AND 결과
두 플래그가 모두 설정되었는지 여부
000 (0)
011 (3)
000 (0)
FALSE
001 (1)
011 (3)
001 (1)
FALSE
010 (2)
011 (3)
010 (2)
FALSE
011 (3)
011 (3)
011 (3)
TRUE
100 (4)
011 (3)
000 (0)
FALSE
101 (5)
011 (3)
001 (1)
FALSE
110 (6)
011 (3)
010 (2)
FALSE
111 (7)
011 (3)
011 (3)
TRUE
참고:
해당하는 10진수 값은 괄호 안에 표시되어 있습니다.
상수
상수
특성 매핑을 사용하면 디렉터리의 모든 사용자에 대해 동일하거나
상수
인 값에 일반 이름을 매핑할 수 있습니다.
상수
특성 매핑은 읽기 전용(R)인 상수에 일반 이름을 매핑하므로 시스템 관리자를 제외하고는 이를 변경할 수 없습니다.
상수
특성 매핑은 다음과 같은 데이터 형식의 상수에 매핑할 수 있습니다.
  • 문자열
  • 숫자
  • 부울
상수 사용 사례
이 사용 사례는 하나의 사용자 디렉터리가 고객만 저장하고 다른 사용자 디렉터리가 직원만 저장하는 시나리오를 나타냅니다. 다음 그림은 두 개의 상수 특성 매핑이 다른 사용자 디렉터리에 대해 다른 값을 나타낼 수 있는 방법을 설명합니다.
Constant use case, attribute mapping
  1. 디렉터리 A에는 고객만 저장됩니다. 디렉터리 B에는 직원만 저장됩니다.
  2. IsCust는 서로 다른 디렉터리의 각기 다른 값에 매핑된 일반 이름입니다.
    • 디렉터리 A에서는 IsCust가 TRUE에 매핑됩니다.
    • 디렉터리 B에서는 IsCust가 FALSE에 매핑됩니다.
  3. 정책, 식 또는 기타 개체를 정의할 때 IsCust를 참조합니다. 일반 이름을 사용하면 시스템이 사용자가 저장된 특정 디렉터리에 관계없이 사용자가 고객인지 여부를 확인할 수 있습니다. 이 매핑은 디렉터리 A의 모든 사용자가 고객인 반면 디렉터리 B의 모든 사용자는 고객이 아님을 나타냅니다.
상수 특성 매핑 만들기
디렉터리의 모든 사용자에 대한 정보를 전달하는 상수 값에 일반 이름을 매핑할 수 있습니다. 상수의 데이터 형식은 문자열, 숫자 또는 부울일 수 있습니다. 상수 특성 매핑을 사용하여 사용자 디렉터리의 모든 사용자에게 적용되는 사용자 특성 값을 읽을 수 있습니다. 사용자 특성 매핑은 디렉터리별로 적용됩니다.
다음 단계를 수행하십시오.
  1. "사용자 디렉터리:
    이름
    " 창으로 이동합니다.
  2. "특성 매핑 목록" 그룹 상자에서 "만들기"를 클릭합니다.
    "특성 매핑 만들기" 창이 열립니다.
  3. "Create a new object"(새 개체 만들기)가 선택되어 있는지 확인하고 "확인"을 클릭합니다.
    "특성 매핑 만들기:
    이름
    " 창이 열립니다.
  4. "일반" 그룹 상자의 필드에 특성 매핑의 일반 이름과 설명을 입력합니다.
    참고:
    일반 이름은 사용자 특성 이름과 동일한 규칙을 따라야 합니다.
  5. "속성" 그룹 상자에서 "상수"를 선택합니다.
  6. "속성" 그룹 상자의 "정의" 상자에 정의를 입력합니다.
    • 예를 들면 다음과 같습니다.
      이름: IsCustomer
      정의: TRUE
      설명: 일반 이름 IsCustomer는 상수 값 TRUE에 매핑됩니다. 이 사용자 디렉터리에는 고객만 저장되므로 사용자는 항상 고객이고 IsCustomer는 항상 TRUE에 매핑됩니다.
  7. (선택 사항) "사용 안 함"을 선택하여 이 특성 매핑이 사용되지 않도록 설정합니다.
  8. "확인"을 클릭합니다.
    "특성 매핑 만들기" 태스크가 처리를 위해 제출됩니다. 새 특성 매핑은 "특성 매핑 목록" 그룹 상자에 나타납니다.
특성 매핑을 사용하면 식에 일반 이름을 매핑할 수 있습니다. 이 식은 기본 스키마에 의해 지정되는 하나 이상의 사용자 특성 이름을 포함할 수 있습니다. 이 식은
Single Sign-On
식의 구문 규칙을 따릅니다.
식 특성 매핑은 읽을 수만 있고 변경할 수는 없는 식에 일반 이름을 매핑합니다. 이러한 유형의 액세스를 읽기 전용(R)이라고 합니다. 이 식은 실행 시 문자열, 숫자 또는 부울 값을 반환합니다.
식 특성 매핑과 명명된 식의 한 유형인 가상 사용자 특성은 다음과 같은 유사점이 있습니다.
  • 둘 모두
    Single Sign-On
    식입니다.
  • 둘 모두 읽기 전용(R)입니다.
  • 둘 모두 다음 데이터 형식 중 하나를 반환합니다.
    • 문자열
    • 숫자
    • 부울
식 특성 매핑과 가상 사용자 특성은 다음과 같은 차이점이 있습니다.
  • 식 특성 매핑은 특정 사용자 디렉터리에 대해 정의됩니다. 가상 사용자 특성은 전역 설정이므로 모든 사용자 디렉터리의 모든 사용자에 적용될 수 있습니다.
  • 가상 사용자 특성은 파운드 기호(#)로 시작해야 합니다. 식 매핑은 그렇지 않습니다.
식 사용 사례
이 사용 사례에서는 식 특성 매핑을 사용하여 한 디렉터리의 여러 사용자 특성에 대한 참조를 단순화하는 방법을 보여 줍니다. 보호된 리소스에는 각 사용자의
정렬 이름
(성, 이름)이 필요합니다. 사용자 디렉터리는 이 특성을 고유하게 참조하지 않습니다. 대신 이 디렉터리에는 각 사용자의 성이 surname으로, 각 사용자의 이름이 givenname으로 저장됩니다.
다음 그림에서는 식 특성 매핑을 사용하여 동일한 사용자 정보의 공통 보기를 생성하는 방법을 자세히 설명합니다.
Attribute mapping expression case
단일 사용자 디렉터리에서는 일반 이름이 디렉터리의 사용자 특성 이름을 사용하여 정렬 이름을 생성하는 식에 매핑됩니다.
  • 디렉터리 A에는 모든 사용자 레코드가 포함되어 있습니다.
  • 매핑의 이름은
    SortName
    입니다.
  • SortName을 정의하는 식은 다음과 같습니다.
    {surname + "," + givenname}
    참고
    식은
    Single Sign-On
    식의 구문 규칙을 따릅니다.
  • SortName은 surname 및 givenname 특성을 포함하는 식에 매핑된 일반 이름입니다.
디렉터리별 스키마에 관계없이 사용자의 정렬 이름을 사용해야 하는 정책, 식 또는 기타 개체를 정의할 때 SortName을 참조합니다.
식 특성 매핑 만들기
기본 스키마에 의해 지정된 사용자 특성 이름을 하나 이상 참조하는 식에 일반 이름을 매핑할 수 있습니다. 식 특성 매핑 데이터 형식은 문자열, 숫자 또는 부울입니다. 식 특성 매핑을 사용하여 식의 결과를 읽을 수 있지만 사용자 디렉터리에 값을 쓸 수는 없습니다.
참고:
사용자 특성 매핑은 디렉터리별로 적용됩니다. 식으로 정의된 전역 개체를 생성하려면 명명된 식을 생성하십시오.
다음 단계를 수행하십시오.
  1. "사용자 디렉터리:
    이름
    " 창으로 이동합니다.
  2. "특성 매핑 목록" 그룹 상자에서 "만들기"를 클릭합니다.
    "특성 매핑 만들기" 창이 열립니다.
  3. "Create a new object"(새 개체 만들기)가 선택되어 있는지 확인하고 "확인"을 클릭합니다.
    "특성 매핑 만들기:
    이름
    " 창이 열립니다.
  4. "일반" 그룹 상자의 필드에 특성 매핑의 일반 이름과 설명을 입력합니다.
    참고:
    일반 이름은 사용자 특성 이름과 동일한 규칙을 따라야 합니다.
  5. "속성" 그룹 상자에서 "식"을 선택합니다.
    참고:
    "식"을 선택하면 "편집" 단추가 활성화됩니다. "편집"을 클릭하면 식 편집기가 열립니다. 식은
    Single Sign-On
    식의 구문 규칙을 따라야 합니다.
  6. "속성" 그룹 상자의 "정의" 상자에 정의를 입력합니다.
    • 예를 들면 다음과 같습니다.
      이름: SortName
      정의: (surname + ',' + givenname)
      설명: 일반 이름 SortName은 사용자 특성 이름 surname 및 givenname을 참조하는 식에 매핑됩니다.
  7. (선택 사항) "사용 안 함"을 선택하여 이 특성 매핑이 사용되지 않도록 설정합니다.
  8. "확인"을 클릭합니다.
    "특성 매핑 만들기" 태스크가 처리를 위해 제출됩니다. 새 특성 매핑은 "특성 매핑 목록" 그룹 상자에 나타납니다.
고급 사용자 특성 매핑 예
다음 예에서는 보다 복잡한 사용자 특성 매핑 구성을 보여 줍니다.
이 예의 배포 대상은 서로 다른 유형의 사용자 디렉터리 두 개를 사용하는 소매 의류업체입니다.
  • 디렉터리 A
    직원 전용의 내부 LDAP 사용자 디렉터리입니다.
  • 디렉터리 B
    고객 전용의 ODBC 사용자 디렉터리입니다.
각 사용자 특성 매핑은 해당 사용자 특성 매핑이 정의된 사용자 디렉터리에 대해 적용됩니다.
다음 표에서는 디렉터리 A와 디렉터리 B에서 동일한 사용자 정보가 식별되는 방식을 자세히 설명합니다. 함께 제공되는 사용 사례에서는 서로 다른 특성 매핑을 사용하여 동일한 사용자 정보의 공통 보기를 정의하는 방법에 대해 설명합니다. 공통 보기는 디렉터리의 작동 방식이 동일하게 만드는 유니버설 스키마의 역할을 합니다.
특성 설명
디렉터리 A 특성(LDAP)
디렉터리 B 특성(ODBC)
각 사용자의 이름
givenname
u_first_name
각 사용자의 성
surname
u_last_name
각 사용자의 정렬 이름(성, 이름)
사용자 디렉터리에는 사용자 특성이 고유하게 저장되지 않습니다.
sort_name
고객인 사용자
group:cn=customer,ou=groups,o=acme.com
사용자가 항상 고객입니다.
사용자 계정의 상태
AccountStatus 특성(플래그 집합).
두 번째 비트는 비활성화된 계정입니다.
u_disabled
 
별칭 매핑 유형을 사용하여 이름 특성 매핑
별칭 특성 매핑을 두 개 사용하여 디렉터리 A와 디렉터리 B의 이름 사용자 특성을 나타낼 수 있습니다.
배포
디렉터리 A는 givenname을 사용하여 사용자의 이름을 식별합니다. 디렉터리 B는 u_first_name을 사용하여 사용자의 이름을 식별합니다.
해결책
  1. 디렉터리 A에 대한 별칭 특성 매핑을 생성합니다.
    • 이름
      FirstName
    • 매핑 유형
      별칭
    • 정의
      givenname
  2. 디렉터리 B에 대한 별칭 특성 매핑을 생성합니다.
    • 이름
      FirstName
    • 매핑 유형
      별칭
    • 정의
      u_first_name
디렉터리 A의 사용자를 참조할 때는 FirstName이 givenname에 매핑됩니다. 디렉터리 B의 사용자를 참조할 때는 FirstName이 u_first_name에 매핑됩니다.
별칭 매핑 유형을 사용하여 성 특성 매핑
별칭 특성 매핑을 두 개 사용하여 디렉터리 A와 디렉터리 B의 성 사용자 특성을 나타낼 수 있습니다.
배포
사용자 디렉터리 A는 surname을 사용하여 사용자의 성을 식별합니다. 디렉터리 B는 u_last_name을 사용하여 사용자의 성을 식별합니다.
해결책
  1. 디렉터리 A에 대한 별칭 특성 매핑을 생성합니다.
    • 이름
      LastName
    • 매핑 유형
      별칭
    • 정의
      surname
  2. 디렉터리 B에 대한 별칭 특성 매핑을 생성합니다.
    • 이름
      LastName
    • 매핑 유형
      별칭
    • 정의
      u_last_name
디렉터리 A의 사용자를 참조할 때는 공통 보기에서 사용자의 성이 surname으로 식별되는지 확인합니다. 디렉터리 B의 사용자를 참조할 때는 공통 보기에서 사용자의 성이 u_last_name으로 식별되는지 확인합니다.
식 및 별칭 매핑 유형을 사용하여 정렬 이름 특성 매핑
디렉터리 A와 디렉터리 B에서 사용자의 정렬 이름을 나타내려면 식 특성 매핑과 별칭 특성 매핑을 사용하십시오.
배포
  • 디렉터리 A는 각 사용자의 정렬 이름을 고유하게 식별하지 않습니다. 디렉터리 A에는 각 사용자에 대해 이름이 givenname으로, 성이 surname으로 저장됩니다.
  • 디렉터리 B는 sort_name을 사용하여 정렬 이름을 식별합니다.
해결책
  1. 디렉터리 A에 대한 식 특성 매핑을 생성합니다.
    • 이름
      SortName
    • 매핑 유형
    • 정의
      (surname + "," + givenname)
    참고
    식은 식 구문 규칙을 따라야 합니다.
  2. 디렉터리 B에 대한 별칭 특성 매핑을 생성합니다.
    • 이름
      SortName
    • 매핑 유형
      별칭
    • 정의
      sort_name
디렉터리 A의 사용자를 참조할 때는 정렬 이름이 지정된 식을 기반으로 계산됩니다. 디렉터리 B의 사용자를 참조할 때는 정렬 이름이 sort_name 특성으로 표시됩니다.
그룹 및 상수 매핑 유형을 사용하여 고객 매핑
디렉터리 A와 디렉터리 B의 고객을 식별하려면 그룹 및 상수 특성 매핑을 사용하십시오.
배포
  • 디렉터리 A에는 직원이 저장됩니다. 회사의 직원은 고객일 수도 있으므로 디렉터리 A는 고객을 다음 그룹에 속해 있는 직원으로 식별합니다.
    cn=Customers,ou=Groups,o=acme.com
  • 디렉터리 B에는 고객만 저장됩니다. 디렉터리 B에는 고객을 식별하는 사용자 특성이 없습니다. 디렉터리 B에 사용자를 저장한다는 것은 사용자가 곧 고객임을 의미합니다.
해결책
  1. 디렉터리 A에 대한 그룹 특성 매핑을 생성합니다.
    • 이름
      IsCustomer
    • 매핑 유형
      그룹
    • 정의
      cn=Customers,ou=Groups,o=acme.com
  2. 디렉터리 B에 대한 상수 특성 매핑을 생성합니다.
    • 이름
      IsCustomer
    • 매핑 유형
      상수
    • 정의
      TRUE
디렉터리 A를 참조할 때는 cn=Customers,ou=Groups,o=acme.com에 속한 사용자가 고객으로 간주됩니다. 디렉터리 B를 참조할 때는 모든 사용자가 고객입니다.
마스크 및 식 매핑 유형을 사용하여 계정 상태 매핑
디렉터리 A와 디렉터리 B에서 비활성화된 사용자 계정을 식별하려면 마스크 특성 매핑과 식 특성 매핑을 사용하십시오.
배포
  • 디렉터리 A는 플래그 집합인 AccountStatus라는 사용자 특성을 사용하여 비활성화된 계정을 식별합니다. 두 번째 비트는 비활성화된 계정을 나타냅니다.
  • 디렉터리 B는 u_disabled라는 사용자 특성을 사용하여 비활성화된 계정을 식별합니다. u_disabled가 "y"이면 계정이 비활성화된 것입니다. u_disabled가 "n"이면 계정이 활성 상태입니다.
해결책
  1. 디렉터리 A에 대한 마스크 특성 매핑을 생성합니다.
    • 이름
      IsDisabled
    • 매핑 유형
      마스크
    • 정의
      AccountStatus:2
      이 정의는 AccountStatus에 비트 패턴이 저장되며 비트 마스크가 2(10진수)임을 나타냅니다.
  2. 디렉터리 B에 대한 식 특성 매핑을 생성합니다.
    • 이름
      IsDisabled
    • 매핑 유형
    • 정의
      (u_disabled = "y")
      u_disabled는 부울 식입니다.
디렉터리 A를 참조할 때는 비트 패턴이 사용자 비활성화 여부를 확인합니다. 디렉터리 B를 참조할 때는 식이 사용자 비활성화 여부를 확인합니다.