전역 정책

목차
casso127kkr
목차
2
표준 정책은 단일 정책 도메인의 컨텍스트에서 생성됩니다. 대규모 프로덕션 환경에는 수천 개의 도메인이 포함되어 있을 수 있습니다. 이러한 환경에서는 많은 도메인에 공통적인 동작(정책이 나타내는 동작)을 정의하는 것이 유용할 수 있습니다. 표준 정책을 사용하려면 동일한 동작이 필요한 각 도메인에 대해 동일한 정책을 다시 생성해야 합니다. 전역 정책을 사용하면 정책과 관련 규칙 및 응답을 모든 도메인에 적용되는 시스템 수준 개체로 구성할 수 있습니다.
다음 용어는 전역 정책을 설명하는 데 사용됩니다.
  • 액세스 규칙
    액세스 규칙은 리소스에 대한 액세스를 허용하거나 거부합니다. 전역 정책에는 액세스 규칙이 포함되지 않습니다. 전역 정책에는 이벤트 규칙만 추가됩니다.
  • 이벤트 규칙
    이벤트 규칙은 인증 또는 권한 부여 이벤트가 발생할 때 호출됩니다. 모든 도메인에서 공통적으로 구현되는 동작은 이벤트 규칙과 연결되며 전역 정책에 포함될 수 있습니다.
  • 전역 정책
    시스템 개체로 정의되는 정책입니다.
  • 전역 규칙
    시스템 개체로 정의되는 규칙입니다.
  • 전역 응답
    시스템 개체로 정의되는 응답입니다.
  • 정책 링크
    정책 정의에 사용되는 논리적 엔터티입니다. 이 엔터티는 규칙/응답 쌍으로 구성됩니다. 정책에는 정책 링크가 하나 이상 포함될 수 있습니다.
전역 정책 개체 특성
다음 섹션에서는 전역 정책 개체의 특성을 설명하고, 전역이 아닌 표준 정책 개체와 비교했을 때의 기본적인 유사점과 차이점을 간략하게 설명합니다.
  • 표준 응답과 비교한 전역 응답
    차이점
    • 시스템 수준에서 정의됩니다. 시스템 수준 관리자만 전역 응답을 정의할 수 있습니다.
    • 이러한 응답은 변수 기반 특성을 사용할 수 없습니다.
    • 모든 전역 또는 도메인별 정책에서 사용됩니다.
    • 특정 에이전트 유형과 연관됩니다.
    • 이러한 응답은 응답 그룹에 추가할 수 없습니다. 전역 응답 그룹은 금지됩니다.
    유사점
    • 이러한 응답은 활성 식을 사용할 수 있습니다.
    • 응답은 특정 정책에 지정된 경우에만 반환됩니다.
  • 표준 규칙과 비교한 전역 규칙
    차이점
    • 시스템 수준에서 정의됩니다. 시스템 수준 관리자만 전역 규칙을 정의할 수 있습니다.
    • 전역 규칙에 대한 필터는 특정 영역에 바인딩되지 않습니다. 전역 규칙에 대한 필터는 절대 필터입니다. 정규식은 허용됩니다.
    • 특정 에이전트 또는 에이전트 그룹에 바인딩됩니다. 에이전트는 규칙이 생성될 때 명시적으로 지정됩니다.
    • Single Sign-On
      에이전트에만 사용할 수 있습니다. RADIUS 에이전트는 인증 및 권한 부여 이벤트를 지원하지 않으므로 RADIUS 에이전트에는 전역 규칙을 연결할 수 없습니다.
    • 인증 또는 권한 부여 이벤트에 대해서만 정의됩니다.
    • 전역 정책에서만 사용됩니다.
    • 이러한 규칙은 규칙 그룹에 추가할 수 없습니다. 전역 규칙 그룹은 존재하지 않습니다.
    • 이러한 전역 정책 처리를 사용하는 모든 도메인의 리소스에 대해 실행될 수 있습니다.
  • 표준 정책과 비교한 전역 정책
    차이점
    • 시스템 수준에서 정의됩니다. 시스템 수준 관리자만 전역 정책을 정의할 수 있습니다.
    • 모든 사용자에게 바인딩됩니다. 전역 정책에서 특정 사용자를 포함하거나 제외할 수 없습니다.
      참고:
      개별 도메인에 대해 전역 정책 처리를 사용하거나 사용하지 않도록 명시적으로 설정할 수 있습니다.
    • 전역 규칙, 전역 응답 및 이러한 전역 개체의 그룹을 사용해서만 정의됩니다.
    • 이러한 정책은 변수 기반 특성 또는 변수 식을 사용할 수 없습니다.
    • 이러한 정책은 허용/거부 액세스 규칙을 포함할 수 없습니다. 전역 정책에는 이벤트 규칙만 허용됩니다.
    • 이러한 정책은 전역 정책에서 특정 리소스/영역을 포함하거나 제외할 수 없습니다. 이러한 전역 정책은 관련 도메인에서 정책에 대해 정의된 하나 이상의 규칙 필터와 일치하는 모든 리소스에 적용됩니다.
    • Java 정책 관리 API를 통해서는 지원되지 않습니다.
    유사점
    • 이러한 정책은 활성 식을 사용할 수 있습니다.
    • 특정 에이전트와 연관됩니다. 하지만 동일 유형의 모든 에이전트를 포함하는 그룹을 생성하고 이 그룹에 전역 규칙을 바인딩할 수는 있습니다.
전역 정책이 처리될 때는 실행된 전역 규칙에 대해 정의된 응답이 다른 응답 목록에 추가됩니다. 전역 규칙은 다음과 같은 조건을 충족하는 경우에 실행됩니다.
액세스할 리소스가 전역 규칙에 대해 정의된 절대 리소스 필터와 일치합니다.
  • 발생한 이벤트가 전역 규칙에 대해 정의된 것과 같습니다.
  • 규칙에 대해 지정된 동일한 에이전트/에이전트 그룹이 리소스를 보호합니다.
  • 액세스할 리소스/영역이 전역 정책 처리를 사용하는 도메인에 속합니다.
중요!
다음 조건이 충족될 때 표준 정책이 전역 정책보다 우선 적용됩니다.
도메인에 대해 전역 정책 처리가 활성화되어 있습니다.
  • 표준 규칙 및 전역 규칙 모두가 동일한 에이전트 또는 그룹에 바인딩되어 있습니다.
CA Single Sign-on
전역 정책 개념
이 제품은 정책 기반 액세스 제어 모델을 사용합니다. 정책은 특정 리소스에 대한 사용자의 액세스 유형과 사용자가 리소스에 액세스할 때 발생하는 작업을 정의합니다. 각 표준 정책은 여러 사용자와 여러 리소스 사이를 연결합니다. 정책은 사용자, 규칙, 응답을 바인딩하여 리소스를 보호하도록 설계되었습니다. 모든 정책에서는 정책이 적용되는 사용자나 사용자 그룹을 지정해야 합니다. 사용자는 정책에 포함되거나 정책에서 제외될 수 있습니다.
표준 정책에는 규칙 또는 규칙 그룹이 하나 이상 포함되어야 합니다. 규칙은 보호되는 리소스와 규칙이 트리거되도록 유발하는 동작 유형을 결정합니다. 규칙은 문자열 기반
리소스 필터
작업
의 조합을 사용하여 정책에 포함된 리소스를 식별합니다. 필터는
영역 필터
규칙 필터
로 구성됩니다.
정책 개체에는 시스템 수준 개체와 도메인 수준 개체라는 두 가지 유형이 있습니다. 전역이 아닌 표준 정책에서는 모든 정책 개체가 특정 도메인의 컨텍스트에서 생성되어야 합니다. 그러나 전역 정책은 제품 배포 환경의 모든 도메인에 적용될 수 있는 시스템 수준 정책입니다. 시스템 수준 권한이 있는 관리자는 전역 규칙과 전역 응답이 포함된 전역 정책을 정의할 수 있습니다. 이러한 전역 정책은 모든 도메인의 모든 리소스에 적용될 수 있습니다.
전역 개체는 도메인별로 적용되는 표준 개체와 유사합니다. 전역 정책 정의에 있는 전역 개체의 역할은 도메인 관련 정책 개체와 다릅니다. 그러나 전역 도메인이나 전역 영역 개체는 없습니다.
전역 정책 처리
다음 조건을 충족할 경우 전역 정책에 포함된 모든 전역 규칙이 실행됩니다.
  • 요청된 리소스가 전역 정책 처리가 사용되지 않는 도메인에 속해 있습니다.
  • 요청된 리소스가 전역 규칙에 대해 정의된 절대 리소스 필터와 일치합니다. 전역 규칙에 대한 필터가 영역이 아닌 규칙에서 획득되었습니다.
  • 발생하는 이벤트가 전역 규칙에 대해 정의된 것과 동일합니다.
  • 동일한 에이전트 또는 그룹이 규칙에 대해 정의된 요청된 리소스를 보호합니다.
인증 또는 권한 부여 이벤트가 발생할 때마다 실행된 전역 규칙에 대해 정의된 응답이 다른 응답 목록에 추가됩니다.