전역 정책을 구성하는 방법

목차
casso127kkr
목차
2
중요!
동일한 리소스에 영향을 주는 전역 정책과 도메인별 정책을 모두 구성할 수 있습니다. 예를 들어 액세스 제어를 위한 도메인별 정책과 표준 응답 집합을 제공하는 전역 정책을 구성할 수 있습니다. 그러나 전역 정책이 작동하려면 도메인별 정책에 포함된 영역이 이벤트 처리를 허용하도록 구성되어 있어야 합니다.
전역 규칙
전역 규칙은 전역 정책의 일부로, 전역 정책의 처리를 트리거하는 리소스 및 이벤트를 정의합니다. 전역 규칙은 도메인별 규칙과 유사합니다. 전역 규칙은 인증 또는 권한 부여 이벤트와 연결되어야 합니다. 전역 허용/거부 액세스 규칙은 사용할 수 없습니다.
인증 이벤트에 대한 전역 규칙
인증 이벤트가 포함된 전역 규칙을 사용하여 사용자가 리소스에 액세스하기 위해 인증할 때 발생하는 동작(On-Auth 이벤트)을 제어할 수 있습니다.
참고:
OnAuth 이벤트의 결과는 영역마다 다릅니다. 예를 들어 사용자가 영역 A에서 영역 B로 이동하며 영역 A에서 OnAuthAccept 헤더를 갖고 있었던 경우 영역 B에서는 이 헤더를 사용할 수 없습니다. 사용자가 다시 영역 A로 돌아가면 헤더가 다시 설정됩니다.
다음은 사용할 수 있는 On-Auth 이벤트의 목록입니다.
  • On-Auth-Accept
    인증이 성공한 경우 발생합니다. 이 이벤트를 사용하면 인증 성공 후 사용자를 리디렉션할 수 있습니다.
  • On-Auth-Reject
    On-Auth-Reject 규칙을 포함하는 정책에 바인딩된 사용자에 대해 인증이 실패한 경우 발생합니다. 이 이벤트는 인증이 실패한 후 사용자를 리디렉션하는 데 사용될 수도 있습니다.
    OnAuthAccept 및 OnAuthReject 이벤트는 인증 시점(사용자가 사용자 이름 및 암호를 입력할 때)과 유효성 검사 시점(사용자의 쿠키를 읽을 때)에 모두 실행됩니다. 하지만 다음과 같은 몇 가지 특수한 작업은 인증 시점에만 발생합니다.
    • 영역 시간 만료 재정의(EnforceRealmTimeouts가 사용되지 않는 경우)
      EnforceRealmTimeouts 옵션을 지원하는 버전의 웹 에이전트가 있고 해당 옵션이 사용하도록 설정된 경우가 아니면 사용자에 대한 유휴 시간 만료 및 최대 시간 만료는 사용자가 마지막으로 인증된 영역에 대한 값으로 유지되며 사용자가 자격 증명을 다시 입력해야 하는 경우에만 변경됩니다.
    • 리디렉션
      리디렉션은 여러 가지 이유로 인증 시에만 허용되지만 가장 실용적인 점 중 하나는 OnAuth 리디렉션이 유효성 검사 시에도 허용된 경우 무한 리디렉션 루프를 매우 손쉽게 구성할 수 있다는 점입니다.
    • 사용자 암호에 대한 액세스
      암호는 SMSESSION 쿠키에 저장되지 않으므로 이 작업은 사용자가 실제로 암호를 입력할 때(인증 시)에만 사용 가능합니다.
  • On-Auth-Attempt
    사용자가 제품에서 인식되지 않는 사용자라서 거부된 경우에 발생합니다. 예를 들어 등록되지 않은 사용자는 먼저 등록 페이지로 리디렉션될 수 있습니다.
  • On-Auth-Challenge
    사용자 지정 챌린지-응답 인증 체계가 활성화된 경우(예: 토큰 코드) 발생합니다.
사용자가 인증되거나 거부되면 정책 서버는 해당 On-Auth 규칙과 연결된 전역 응답을 다시 요청 에이전트로 전달합니다.
인증 이벤트에 대한 전역 규칙 만들기
사용자가 리소스에 액세스하기 위한 인증이 이루어질 때 수행되는 작업을 제어하기 위한 인증 이벤트에 대한 전역 규칙을 생성할 수 있습니다.
casso127kkr
다음 단계를 수행하십시오.
  1. "정책", "전역"을 차례로 클릭합니다.
  2. "전역 규칙"을 클릭합니다.
  3. "전역 규칙 만들기"를 클릭합니다.
  4. 전역 규칙 이름을 입력합니다.
  5. "영역" 및 "리소스"에서 에이전트 및 리소스 설정을 지정합니다.
    참고
    : 동일한 리소스와 연결된 도메인 관련 규칙을 사용하여 에이전트 그룹을 지정하면 시스템 성능이 저하될 수 있습니다. 전역 규칙에 의해 생성된 리소스를 복제하는 도메인 관련 규칙을 고려하십시오. 정책 서버가 정보를 다시 요청 에이전트에 전달하기 전에 중복 응답을 자동으로 삭제하므로 에이전트에는 하나의 응답만 반환됩니다.
  1. 인증 이벤트를 선택합니다.
  2. "작업" 목록에서 OnAuth 이벤트를 선택합니다.
  3. 제출을 클릭합니다.
    전역 규칙이 저장됩니다.
권한 부여 이벤트에 대한 전역 규칙
Single Sign-On
Single Sign-On
권한 부여 이벤트가 포함된 전역 규칙을 사용하여 사용자에게 요청한 리소스에 대한 권한이 부여되었는지 여부를 기반으로 응답을 호출할 수 있습니다. 리소스를 보호하는 규칙에 On-Access 이벤트가 포함된 경우 권한 부여 이벤트는 사용자가 인증된 후에 발생합니다. 사용자가 자신의 권한에 따라 액세스가 허용 또는 거부될 때 적절한 이벤트가 트리거됩니다.
다음은 사용할 수 있는 On-Access 이벤트의 목록입니다.
  • On-Access-Accept
    성공적인 권한 부여의 결과로 발생합니다. 이 이벤트는 리소스에 대한 액세스 권한이 부여된 사용자를 리디렉션하는 데 사용할 수 있습니다.
  • On-Access-Reject
    실패한 권한 부여의 결과로 발생합니다. 이 이벤트는 리소스에 대한 액세스 권한이 부여되지 않은 사용자를 리디렉션하는 데 사용할 수 있습니다.
사용자가 권한을 부여받거나 거부되면 정책 서버는 해당 On-Access 규칙과 연결된 응답을 다시 요청 에이전트로 전달합니다.
OnAccessReject 규칙에 대한 정책 고려 사항
casso127kkr
OnAccessReject 이벤트가 포함된 전역 규칙을 생성할 때는 OnAccessReject 규칙에 의해 발생하는 특수한 상황과 전역 정책이 정책 서버에서 처리되는 방식을 고려하십시오.
OnAccessReject 규칙은 GET/POST 규칙과 동일한 정책에 있는 경우에는 실행되지 않습니다. 사용자가 인증되면
Single Sign-On
은 사용자의 아이덴티티를 확인합니다. 따라서 OnAccessReject 규칙과 GET/POST 규칙이 동일한 정책에 있는 경우에는 리소스에 대한 액세스가 허용된 사용자와 OnAccessReject 이벤트에서 리디렉션되는 사용자가 동일하게 됩니다. 해당 사용자는 액세스가 허용되었으므로 거부 이벤트가 적용되지 않습니다.
이 모순을 해결하려면 OnAccessReject 규칙에 대한 별도의 정책(다른 이벤트 규칙도 포함될 수 있음)을 생성하고 이 정책을 적용할 사용자를 지정하십시오.
예를 들어 LDAP 사용자 디렉터리에서 User1이 리소스에 액세스할 수 있어야 하고 ou=People, o=company.com 그룹의 다른 모든 사용자는 OnAccessReject 페이지로 리디렉션되어야 하는 경우, 다음 두 개의 정책이 필요합니다.
  • 정책1
    User1의 액세스를 허용하는 GET/POST 규칙을 포함합니다.
  • 정책2
    OnAccessReject 규칙과 리디렉션 응답을 포함하고 ou=People, o=company.com 그룹을 지정합니다.
User1은 권한이 부여되었으므로 User1이 리소스에 액세스할 때는 OnAccessReject 규칙이 실행되지 않습니다. 그러나 ou=People, o=company.com 그룹에 있는 다른 모든 사용자의 경우에는 리소스에 대한 액세스 권한이 부여되지 않았으므로 OnAccessReject 규칙이 실행됩니다.
권한 부여 이벤트에 대한 전역 규칙 만들기
사용자가 리소스에 액세스하기 위한 인증이 이루어질 때 수행되는 작업을 제어하기 위한 권한 부여 이벤트에 대한 전역 규칙을 생성할 수 있습니다.
casso127kkr
다음 단계를 수행하십시오.
  1. "정책", "전역"을 차례로 클릭합니다.
  2. "전역 규칙"을 클릭합니다.
  3. "전역 규칙 만들기"를 클릭합니다.
  4. 전역 규칙 이름을 입력합니다.
  5. "영역" 및 "리소스"에서 에이전트 및 리소스 설정을 지정합니다.
    참고
    : 동일한 리소스와 연결된 도메인 관련 규칙을 사용하여 에이전트 그룹을 지정하면 시스템 성능이 저하될 수 있습니다. 전역 규칙에 의해 생성된 리소스를 복제하는 도메인 관련 규칙을 고려하십시오. 정책 서버가 정보를 다시 요청 에이전트에 전달하기 전에 중복 응답을 자동으로 삭제하므로 에이전트에는 하나의 응답만 반환됩니다.
  1. 권한 부여 이벤트를 선택합니다.
  2. "작업" 목록에서 OnAccess 이벤트를 선택합니다.
  3. 제출을 클릭합니다.
전역 규칙을 사용하거나 사용하지 않도록 설정
사용자가 지정된 리소스를 액세스할 때 규칙이 실행되도록 하려면 전역 규칙을 활성화하십시오. 사용자가 지정된 리소스를 액세스할 때 규칙이 실행되지 않도록 하려면 전역 규칙을 비활성화하십시오.
다음 단계를 수행하십시오.
  1. 전역 규칙을 엽니다.
  2. 다음 태스크 중 하나를 수행합니다.
    • "사용" 확인란을 선택하여 규칙을 활성화하십시오.
    • "사용" 확인란의 선택을 취소하여 규칙을 비활성화하십시오.
  3. 제출을 클릭합니다.
    규칙이 저장됩니다.
전역 규칙에 시간 제한 추가
특정 시간으로 한정하려면 전역 정책에 시간 제한을 추가하십시오. 사용자가 지정된 기간 이외에 리소스를 액세스하려고 시도하면 정책이 시행되지 않습니다.
다음 단계를 수행하십시오.
  1. 전역 정책을 엽니다.
  2. "시간 제한" 그룹 상자에서 "설정"을 클릭합니다.
  3. 시작 날짜와 만료 날짜를 지정합니다.
  4. "Hourly Restrictions"(시간별 제한) 표에서 시간 제한을 지정합니다.
    참고
    : 각 확인란은 1시간을 나타냅니다. 확인란을 선택하면 해당 시간 중에 규칙이 실행됩니다. 규칙은 지정된 리소스에 적용됩니다. 확인란의 선택을 취소하면 규칙이 해당 시간 중에 실행되지 않습니다. 규칙은 지정된 리소스에 적용되지 않습니다.
  5. "확인"을 클릭합니다.
활성 전역 규칙 구성
casso127kkr
외부 비즈니스 논리를 기반으로 동적 권한 부여에 대한 활성 규칙을 구성합니다. 정책 서버가 고객이 제공한 공유 라이브러리에서 함수를 호출합니다. 이 공유 라이브러리는 소프트웨어 개발 키트에서 제공되는 권한 부여 API에 지정된 인터페이스를 준수해야 합니다.
다음 단계를 수행하십시오.
  1. "활성 규칙" 그룹 상자의 필드에서 라이브러리 이름, 함수 이름 및 함수 매개 변수를 지정합니다.
    활성 규칙 문자열이 "활성 규칙" 필드에 표시됩니다.
  2. 제출을 클릭합니다.
    활성 규칙이 저장됩니다.
전역 규칙 삭제
전역 규칙을 삭제하면 사용하는 모든 전역 정책에서 규칙이 자동으로 제거됩니다. 전역 정책은 시스템에 유지됩니다. 삭제된 규칙 없이도 전역 정책이 작동하는지 확인하십시오.
모든 전역 정책에는 규칙이 하나 이상 포함되어야 합니다.
전역 응답 개체
전역 응답은 사용자에게 반환되는 특성을 정의하는 전역 정책의 일부입니다. 이러한 특성은 사용자가 전역 규칙에 지정된 인증 또는 권한 부여 이벤트를 트리거한 후에 반환됩니다.
참고:
도메인 정책에 전역 응답을 사용할 수 있습니다. 전역 응답이 반환되도록 하려면 도메인별 정책이나 전역 정책에 전역 응답을 추가해야 합니다. 정책 내에서 전역 응답은 도메인별 응답과 마찬가지로 처리됩니다.
전역 응답 구성
전역 응답을 구성하여 연결된 전역 규칙에서 인증 또는 권한 부여 이벤트가 수행된 후 반환되는 특성을 정의할 수 있습니다.
다음 단계를 수행하십시오.
  1. "정책", "전역"을 차례로 클릭합니다.
  2. "전역 응답"을 클릭합니다.
  3. "전역 응답 만들기"를 클릭합니다.
  4. 전역 응답 이름을 입력합니다.
  5. 에이전트 유형 목록에서 에이전트 유형을 선택합니다.
  6. 제출을 클릭합니다.
    전역 응답이 저장됩니다. 이제 응답에 응답 특성을 추가할 수 있습니다.
전역 응답에 대한 응답 특성
Single Sign-On
전역 응답에는 응답 특성이 하나 이상 포함될 수 있습니다. 응답 특성은 정책 서버가
Single Sign-On
에이전트에 전달하는 정보의 일부를 식별합니다. 각
Single Sign-On
에이전트 유형마다 서로 다른 응답 특성을 허용할 수 있습니다.
전역 응답 특성 유형
Single Sign-On
에서는 여러 응답 특성 유형을 지원합니다. 응답 특성의 유형에 따라 정책 서버가 응답 특성의 올바른 값을 찾는 위치가 결정됩니다. 전역 응답에 대해 구성할 수 있는 응답 특성의 유형은 도메인별 응답에 대해 구성할 수 있는 응답 특성의 유형과 동일합니다.
전역 웹 에이전트 응답 특성 구성
정책 서버가
Single Sign-On
에이전트에 전달하는 정보의 일부를 저장하도록 응답 특성을 구성할 수 있습니다. 웹 에이전트 응답 특성은 HTTP 헤더 변수, 쿠키 변수, 다른 리소스로의 리디렉션, 텍스트 및 시간 만료 값을 지원합니다.
casso127kkr
다음 단계를 수행하십시오.
  1. "응답 특성 만들기"를 클릭합니다.
  2. 응답 특성을 선택합니다.
  3. 특성 유형을 선택합니다.
    "특성 필드"의 상세 정보가 지정한 특성 유형에 맞게 업데이트됩니다.
  4. "특성 필드"에서 상세 정보를 입력합니다.
    참고:
    응답에서 사용할 수 있는 자동으로 생성된
    Single Sign-On
    사용자 특성의 목록은 CA Single Sign-On 생성 사용자 특성에 있습니다.
  5. (선택 사항) "스크립트" 필드에서 특성을 편집합니다.
    참고:
    "고급" 섹션에서 특성을 편집할 경우 "특성 설정" 섹션이 닫힙니다.
  6. "캐시 값" 또는 "값 재계산 간격"을 초 단위로 지정합니다.
    참고:
    입력할 수 있는 최대 시간 제한은 3600초입니다.
  7. 제출을 클릭합니다.
    응답 특성 만들기 태스크가 처리를 위해 제출되고 해당 응답 특성이 "응답" 페이지의 "특성 목록"에 추가됩니다.
전역 정책 개체를 구성하는 방법
전역 정책을 구성하려면 다음 절차를 완료해야 합니다.
전역 정책 만들기
전역 정책을 생성하여 사용자가 리소스와 상호 작용하는 방법을 정의할 수 있습니다.
다음 단계를 수행하십시오.
  1. "정책", "전역"을 차례로 클릭합니다.
  2. "전역 정책"을 클릭합니다.
  3. "전역 정책 만들기"를 클릭합니다.
  4. 전역 정책 이름을 입력합니다.
  5. 전역 규칙 및 전역 응답을 추가합니다.
  6. 제출을 클릭합니다.
전역 정책에 전역 규칙 추가
전역 규칙은 전역 정책에 포함된 특정 리소스를 나타냅니다. 전역 정책에 전역 규칙을 하나 이상 추가하십시오.
다음 단계를 수행하십시오.
  1. "규칙" 탭을 클릭합니다.
    "규칙" 그룹 상자가 열립니다.
  2. "규칙 추가"를 클릭합니다.
    "사용 가능한 규칙" 창이 열리고 사용 가능한 전역 규칙의 목록이 표시됩니다.
    참고
    필요한 전역 규칙이 나타나지 않을 경우 "New Rule"(새 규칙)을 클릭하십시오. 이 방법으로 생성하는 규칙은 전역 정책에 추가됩니다.
  3. 추가할 전역 규칙을 선택하고 "확인"을 클릭합니다.
    "규칙" 그룹 상자에 선택한 규칙 및 규칙 그룹의 목록이 표시됩니다.
  4. (선택 사항) 규칙을 응답 또는 응답 그룹과 연결합니다.
전역 규칙을 응답과 연결
전역 응답은 규칙이 실행될 때 발생하는 작업을 나타냅니다. 규칙이 실행되면 연결된 응답도 실행됩니다.
다음 단계를 수행하십시오.
  1. 응답을 연결할 전역 규칙에 대해 "응답 추가"를 클릭합니다.
  2. 응답, 응답 그룹 또는 전역 응답을 선택하고 "확인"을 클릭합니다.
    참고:
    필요한 응답이 없는 경우 "새 응답"을 클릭하여 응답을 생성하십시오.
전역 정책을 사용하거나 사용하지 않도록 설정
관리 UI에서 전역 정책을 사용하거나 사용하지 않도록 설정할 수 있습니다. 기본적으로 전역 정책을 생성하면 해당 정책이 사용되도록 설정됩니다. 전역 정책에 포함된 모든 전역 규칙은 사용자가 해당 규칙에 지정된 리소스에 액세스하려고 시도할 때 실행됩니다.
전역 정책을 사용하지 않을 경우에는 정책에 포함된 규칙이 실행되지 않습니다.
casso127kkr
다음 단계를 수행하십시오.
  1. 관리 UI에서 정책을 엽니다.
  2. "사용" 확인란을 선택하거나 선택 취소합니다.
    확인란을 선택하면 정책을 사용할 수 있습니다. 확인란을 선택 취소하면 정책을 사용할 수 없습니다. 해제된 정책은 실행되지 않습니다.
  3. 제출을 클릭합니다.
    정책이 저장됩니다.
전역 활성 정책 구성
활성 정책은 외부 비즈니스 논리를 기반으로 한 동적 권한 부여에 사용됩니다. 활성 정책은 정책 서버가 고객이 제공한 공유 라이브러리의 함수를 호출하도록 함으로써 권한 부여 결정에 포함됩니다.
이 공유 라이브러리는 소프트웨어 개발 키트와는 별도로 제공되는 권한 부여 API에 지정된 인터페이스를 따라야 합니다.
전역 정책에 대한 활성 정책을 구성하는 과정은 도메인별 정책에 대한 활성 정책을 구성하는 과정과 동일합니다.
casso127kkr
다음 단계를 수행하십시오.
  1. 전역 정책을 엽니다.
  2. "고급" 그룹 상자에서 "활성 정책 편집" 확인란을 선택합니다.
    활성 정책 설정이 나타납니다.
  3. "라이브러리 이름" 필드에 공유 라이브러리의 이름을 입력합니다.
  4. 활성 정책을 구현할 공유 라이브러리의 함수 이름을 입력합니다.
  5. 제출을 클릭합니다.
    정책이 저장됩니다.