생성하는 SAML 1.x 어설션의 대상이 되는 사용자 선택
목차
casso127kkr
목차
2
casso127kkr
어설션 당사자 측에서 수행되는 구성의 일부로, 어설션 생성기가 생성하는 SAML 어설션의 대상이 되는 사용자 및 그룹 목록을 포함하십시오. 어설션 당사자는 SAML 1.x 생산자, SAML 2.0 아이덴티티 공급자 또는 WS 페더레이션 계정 파트너입니다.
가맹 도메인에 있는 디렉터리의 사용자 및 그룹만 추가할 수 있습니다.
페더레이션된 트랜잭션에 대한 사용자 및 그룹을 지정하려면
- 구성하고 있는 파트너에 대한 "사용자" 설정으로 이동합니다."사용자 디렉터리" 페이지가 열리면서 정책 도메인의 각 사용자 디렉터리에 대한 항목이 표시됩니다.
- 사용자 디렉터리의 사용자 또는 그룹을 정책에 추가합니다.각 사용자 디렉터리 테이블에서 "구성원 추가", "항목 추가", "모두 추가"를 선택할 수 있습니다. 선택하는 방법에 따라 사용자를 추가할 수 있는 대화 상자가 열립니다.
- "구성원 추가"를 선택하는 경우 "사용자/그룹" 창이 열립니다. 개별 사용자는 자동으로 표시되지 않습니다. 검색 유틸리티를 사용하여 디렉터리 중 하나에서 특정 사용자를 찾을 수 있습니다.
- "항목 추가"를 선택하는 경우 "User Directory Search Express Edit"(사용자 디렉터리 검색 빠른 편집) 대화 상자에서 수동 입력을 통해 사용자를 선택합니다.
- 아무 방법이나 사용하여 개별 사용자, 사용자 그룹 또는 둘 다를 선택하고 "확인"을 클릭합니다."사용자 디렉터리" 페이지가 다시 열리면서 새 사용자가 사용자 디렉터리 테이블에 나열됩니다.
리소스에 액세스하지 못하도록 사용자 또는 그룹 제외
casso127kkr
어설션을 획득하지 못하도록 사용자 또는 사용자 그룹을 제외할 수 있습니다.
다음 단계를 수행하십시오.
- "사용자" 설정으로 이동합니다.
- 특정 사용자 디렉터리에 대한 목록에서 사용자 또는 그룹을 선택합니다.
- "제외"를 클릭하여 선택한 사용자 또는 그룹을 제외합니다.선택 사항이 관리 UI에 반영됩니다.
- "확인"을 클릭하여 변경 내용을 저장합니다.
리소스에 대한 중첩된 그룹 액세스 허용
casso127kkr
LDAP 사용자 디렉터리에는 하위 그룹이 있는 그룹이 포함될 수 있습니다. 복합 디렉터리에서는 다른 그룹의 계층 구조에 중첩된 그룹을 사용하여 많은 양의 사용자 정보를 구성할 수 있습니다.
중첩된 그룹에 있는 사용자를 검색하도록 설정하는 경우 요청된 사용자 레코드가 모든 중첩된 그룹에서 검색됩니다. 중첩된 그룹이 사용되도록 설정하지 않은 경우에는 지정하는 그룹만 검색됩니다.
중첩된 그룹에서 검색하도록 설정하려면
- "사용자" 설정으로 이동합니다.연결된 가맹 도메인에 여러 사용자 디렉터리가 포함된 경우 각 사용자 디렉터리가 자체 섹션에 나타납니다.
- "중첩된 그룹 허용" 확인란을 선택하여 중첩된 그룹에서 검색하도록 설정합니다.
수동 입력으로 사용자 추가
casso127kkr
어설션 생성을 위해 사용자를 지정할 때 선택할 수 있는 옵션 중 하나는 수동 입력으로 사용자를 식별하는 것입니다.
다음 단계를 수행하십시오.
- 구성하고 있는 파트너에 대한 "사용자" 설정으로 이동합니다.가맹 도메인에 여러 사용자 디렉터리가 포함된 경우 모든 디렉터리가 "사용자 디렉터리" 페이지에 나타납니다.
- "항목 추가"를 클릭합니다."User Directory Search Express Edit"(사용자 디렉터리 검색 빠른 편집) 페이지가 표시됩니다.
- 검색 옵션을 선택하고 해당 검색 옵션에 대한 필드에 데이터를 입력합니다.
- 검색 위치
- DN 유효성 검사LDAP 검색이 디렉터리에서 이 DN을 찾습니다.
- 사용자 검색LDAP 검색이 일치하는 사용자 항목으로 제한됩니다.
- 그룹 검색LDAP 검색이 일치하는 그룹 항목으로 제한됩니다.
- 조직 검색LDAP 검색이 일치하는 조직 항목으로 제한됩니다.
- 모든 항목 검색LDAP 검색이 일치하는 사용자, 그룹 및 조직 항목으로 제한됩니다.
- Microsoft SQL Server, Oracle 및 WinNT 디렉터리의 경우 "수동 입력" 필드에 사용자 이름을 입력할 수 있습니다.
- Microsoft SQL Server 또는 Oracle의 경우 SQL 쿼리를 대신 입력할 수 있습니다. 예를 들면 다음과 같습니다.SELECT NAME FROM EMPLOYEE WHERE JOB ='MGR';정책 서버는 사용자 디렉터리에 대한 "연결 자격 증명" 탭의 "사용자 이름" 필드에 지정된 데이터베이스 사용자로 쿼리를 수행합니다. "수동 입력" 필드에 대한 SQL 문을 작성하는 경우 사용자 디렉터리에 대한 데이터베이스 스키마를 숙지해야 합니다. 예를 들어 SmSampleUsers 스키마를 사용하고 있는 경우 특정 사용자를 추가하려면 SmUser 테이블에서 사용자 항목을 선택합니다.
- LDAP 디렉터리의 경우 모든 디렉터리 항목을 추가하려면 "수동 입력" 필드에all을 입력합니다.
- "확인"을 클릭하여 변경 내용을 저장합니다.