이 릴리스의 새로운 기능

Access Manager 패치 릴리스의 새로운 기능에 대한 목록은 Access Manager 7 2005Q4 패치 릴리스를 참조하십시오. 최초 릴리스의 Access Manager 7 2005Q4에 포함된 이 릴리스의 새로운 기능은 다음과 같습니다.

• Access Manager 모드

• 새 Access Manager 콘솔

• Identity 저장소

• Access Manager 정보 트리

• 세션 페일오버 변경 사항

• 세션 등록 정보 변경 알림

• 세션 할당량 제약 조건

• 분산 인증

• 복수 인증 모듈 인스턴스 지원

• 인증 “명명된 구성” 또는 “연결” 이름 공간

• 정책 모듈 향상

• 사이트 구성

• 대량 연합

• 로깅 향상

Access Manager 모드

Access Manager 7 2005Q4는 영역 모드 및 레거시 모드를 포함합니다. 두 모드는 다음을 지원합니다.

• Access Manager 7 2005Q4의 새로운 기능

• 다음과 같은 제한을 제외한 Access Manager 6 2005Q1 기능

  • 영역이 생성되면 해당 조직은 Sun Java System Directory Server에 생성되지 않습니다.

  • 새 Access Manager 7 2005Q4 콘솔에서는 CoS(Class of Service) 템플리트 우선 순위를 설정할 수 없습니다. 새 Access Manager 콘솔에서 CoS 템플리트 우선 순위를 설정할 수 없습니다(6309262).를 참조하십시오.

• Sun Java System Directory Server 및 다른 데이터 저장소의 Identity 저장소

다음의 경우 레거시 모드가 필요합니다.

• Sun Java System Portal Server

• Messaging Server, Calendar Server, Instant Messaging 또는 Delegated Administrator를 포함한 Sun Java System Communications Services 서버

• Access Manager 6 2005Q1 및 Access Manager 7 2005Q4가 동일한 Directory Server에 액세스할 때의 동시 배포

새 Access Manager 콘솔

Access Manager 콘솔은 이번 릴리스에서 다시 설계되었습니다. 그러나 Access Manager를 Portal Server, Messaging Server, Calendar Server, Instant Messaging 또는 Delegated Administrator와 함께 배포하는 경우 Access Manager를 레거시 모드로 설치하고 Access Manager 6 2005Q1 콘솔을 사용해야 합니다.

자세한 내용은 호환성 문제를 참조하십시오.

Identity 저장소

Access Manager Identity 저장소는 사용자, 그룹 및 역할 등을 식별하는 데 필요한 정보를 포함합니다. Access Manager나 Sun Java System Identity Manager 등의 다른 프로비저닝 제품을 사용하여 Identity 저장소를 만들고 유지 관리할 수 있습니다.

현재 릴리스에서 Identity 저장소는 Sun Java System Directory Server 또는 Microsoft Active Directory에 있을 수 있습니다. Access Manager는 Identity 저장소에 대한 읽기/쓰기 권한 또는 읽기 전용 권한을 가질 수 있습니다.

Access Manager 정보 트리

Access Manager 정보 트리는 시스템 액세스에 관한 정보를 포함합니다. Access Manager의 각 인스턴스는 Sun Java System Directory Server에 개별적으로 정보 트리를 만들고 유지 관리합니다. Access Manager 정보 트리는 어떤 이름(접미사)이든지 가질 수 있습니다. Access Manager 정보 트리에는 다음 절에서 설명하는 영역을 포함합니다(필요한 경우 하위 영역 포함).

Access Manager 영역

영역 및 모든 하위 영역은 Access Manager 정보 트리의 일부이며 일련의 사용자 및/또는 그룹, 사용자가 인증하는 방법, 사용자가 액세스할 수 있는 자원, 사용자에게 자원에 대한 권한이 부여된 후 응용 프로그램에서 사용할 수 있는 정보를 정의하는 구성 정보를 포함할 수 있습니다. 영역 또는 하위 영역은 국제화 구성, 비밀번호 재설정 구성, 세션 구성, 콘솔 구성 및 사용자 기본 설정 등의 기타 구성 정보도 포함할 수 있습니다. 영역 또는 하위 설정은 비워둘 수 있습니다.

Access Manager 콘솔이나 amadmin CLI 유틸리티를 사용하여 영역을 만들 수 있습니다. 자세한 내용은 콘솔 온라인 도움말 또는 Sun Java System Access Manager 7 2005Q4 관리 설명서의 14 장, amadmin 명령줄 도구를 참조하십시오.

세션 페일오버 변경 사항

Access Manager는 통신 브로커로 Sun Java System Message Queue(Message Queue)를 사용하고 세션 저장소 데이터베이스로 Sleepycat Software, Inc.의 Berkeley DB를 사용하는 웹 컨테이너 독립 세션 페일오버 구현을 제공합니다. Access Manager 7 2005Q4의 향상된 기능에는 세션 페일오버 환경을 구성하는 amsfoconfig 스크립트와 Message Queue 브로커 및 Berkeley DB 클라이언트를 시작하고 중지시키는 amsfo 스크립트가 포함됩니다.

자세한 내용은 Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide의 Implementing Access Manager Session Failover을 참조하십시오.

세션 등록 정보 변경 알림

세션 등록 정보 변경 알림 기능을 사용하면 특정 세션 등록 정보가 변경되었을 때 Access Manager가 알림 메시지를 특정 listener로 전송할 수 있습니다. 이 기능은 Access Manager 관리자 콘솔에서 “등록 정보 변경 알림 사용 가능” 속성이 설정된 경우 적용됩니다. 예를 들어, 단일 사인온(SSO) 환경에서는 하나의 Access Manager 세션을 여러 응용 프로그램에서 공유할 수 있습니다. “알림 등록 정보” 목록에 정의된 특정 세션 등록 정보에 변경이 발생한 경우 Access Manager는 모든 등록된 listener에 알림을 전송합니다.

자세한 내용은 Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide의 Enabling Session Property Change Notifications을 참조하십시오.

세션 할당량 제약 조건

세션 할당량 제약 조건 기능을 사용하면 Access Manager 관리자(amadmin)가 “활성 사용자 세션” 속성을 설정하여 사용자에게 허용되는 최대 동시 세션 수를 제한할 수 있습니다. 관리자는 모든 사용자 또는 하나 이상의 특정 사용자에만 적용되는 조직, 영역, 역할이나 사용자와 같은 엔터티에 대해 전역 수준에서 세션 할당량을 설정할 수 있습니다.

기본적으로 세션 할당량 제약 조건은 사용 불가(OFF)로 설정되어 있지만 관리자는 Access Manager 관리자 콘솔의 “할당량 제약 조건 사용 가능” 속성을 설정하여 사용 가능하게 할 수 있습니다.

또한 관리자는 “세션 할당량이 모두 사용된 경우의 결과 동작” 속성을 설정하여 세션 제약 조건 할당량을 모두 사용한 경우 수행할 동작을 구성할 수 있습니다.

• DENY_ACCESS. Access Manager가 새 세션에 대한 로그인 요청을 거부합니다.

• DESTROY_OLD_SESSION. Access Manager가 동일한 사용자에 대해 다음에 만료되는 기존 세션을 삭제하고 새 로그인 요청이 성공적으로 수행되도록 합니다.

“제약 조건 검사에서 최상위 관리자 제외” 속성은 “최상위 수준 관리자 역할”을 가진 관리자에게 세션 제약 조건 할당량이 적용되는지 여부를 지정합니다.

자세한 내용은 Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide의 Setting Session Quota Constraints을 참조하십시오.

분산 인증

Access Manager 7 2005Q4에는 배포된 두 방화벽을 통한 안전한 분산 인증을 제공하는 원격 인증 UI 구성 요소인 분산 인증 UI가 포함되어 있습니다. 분산 인증 UI 구성 요소가 없으면 Access Manager 서비스 URL이 최종 사용자에게 노출될 수 있습니다. 이러한 노출 문제는 프록시 서버를 사용하여 막을 수도 있지만 배포 상태에 따라 프록시 서버가 적절한 해결책이 되지 못할 수도 있습니다.

분산 인증 UI 구성 요소는 Access Manager가 배포된 비보안(DMZ) 계층에 속한 하나 이상의 서버에 설치됩니다. 분산 인증 UI 서버는 Access Manager를 실행하지 않으며 웹 브라우저를 통해 최종 사용자에게 인증 인터페이스를 제공하기 위한 목적으로만 존재합니다.

최종 사용자가 HTTP 요청을 분산 인증 UI에 보내면 그에 대한 응답으로 사용자에게 로그인 페이지를 표시합니다. 그 다음 분산 인증 구성 요소가 두 번째 방화벽을 통해 사용자의 요청을 Access Manager 서버에 전송하므로 최종 사용자와 Access Manager 서버 사이의 방화벽에서 틈이 생기는 것을 차단해줍니다.

자세한 내용은 Technical Note: Using Access Manager Distributed Authentication을 참조하십시오.

복수 인증 모듈 인스턴스 지원

모든 인증 모듈(초기 상태)은 콘솔 UI 지원을 사용하여 하위 스키마를 지원하도록 확장됩니다. 복수 인증 모듈 인스턴스는 각 모듈 유형(모듈 클래스가 로드된 상태)에 대해 만들 수 있습니다. 예를 들어 LDAP 모듈 유형에 대해 이름이 ldap1 및 ldap2인 인스턴스의 경우 각 인스턴스는 서로 다른 LDAP 디렉토리 서버를 가리킬 수 있습니다. 유형과 같은 이름을 가진 모듈 인스턴스는 역방향 호환성이 지원됩니다. 호출 형식은 다음과 같습니다.

server_deploy_uri/UI/Login?module=module-instance-name

인증 “명명된 구성” 또는 “연결” 이름 공간

조직/영역에 별도의 이름 공간이 생성되어 인증 모듈 인스턴스들의 체인 역할을 합니다. 동일한 체인을 조직/영역, 역할 또는 사용자에 재사용 및 할당할 수 있습니다. 인증 서비스 인스턴스는 인증 체인과 같으며호출 형식은 다음과 같습니다.

server_deploy_uri/UI/Login?service=authentication-chain-name

정책 모듈 향상

개인화 속성

규칙, 주제 및 조건 외에도, 정책은 이제 개인화 속성(IDResponseProvider)을 가질 수 있습니다. 정책 평가에서 클라이언트로 전송된 정책 결정은 이제 정책 기반 응답 개인화 속성을 적용 가능한 정책에 포함합니다. 두 가지 유형의 개인화 속성이 지원됩니다.

• 정적 속성. 사용자가 정책에 속성 이름과 값을 정의합니다.

• 동적 속성. 사용자가 정책에 속성 이름을 나열하고 값은 정책 평가 시 Identity 저장소의 데이터 저장소에서 불러옵니다.

Policy Enforcement Points(에이전트)는 보통 이런 속성 값을 HTTP 헤더나 쿠키 또는 요청 속성으로 보호된 응용 프로그램에 전달합니다.

Access Manager 7 2005Q4는 고객에 의한 응답 공급자 인터페이스의 사용자 정의 구현을 지원하지 않습니다.

세션 등록 정보 조건

세션 정책 조건 구현(SessionPropertyCondition)은 사용자의 Access Manager 세션에서 등록 정보 설정 값을 기반으로 요청에 정책을 적용할 수 있는지 여부를 결정합니다. 정책 평가 시, 조건은 사용자 Access Manager 세션이 조건에 정의된 모든 등록 정보 값을 갖는 경우에만 “true”를 반환합니다. 조건에서 여러 값으로 정의된 등록 정보의 경우 사용자 세션에 해당 조건에 있는 등록 정보에 대해 나열된 값이 최소 하나 이상 있으면 됩니다.

정책 주제

정책 주제 구현(Access Manager Identity 주제)은 사용자가 구성된 Identity 저장소에 있는 항목을 정책 주제 값으로 사용할 수 있게 합니다.

정책 내보내기

amadmin 명령을 사용하여 정책을 XML 형식으로 내보낼 수 있습니다. amAdmin.dtd 파일의 새로운 GetPolices 및 RealmGetPolicies 요소가 이 기능을 지원합니다.

정책 상태

이제 정책은 활성 또는 비활성으로 설정할 수 있는 상태 속성을 갖게 되었습니다. 비활성 정책은 정책 평가 중에 무시됩니다.

사이트 구성

Access Manager 7 2005Q4는 Access Manager 배포를 위한 중앙 구성 관리를 제공하는 “사이트 개념”을 도입했습니다. Access Manager가 사이트로 구성되면 클라이언트 요청은 항상 클라이언트와 백엔드 Access Manager 서버 사이의 방화벽과 같은 문제점을 해결하고 배포를 단순화시키는 로드 밸런서를 통과하게 됩니다.

자세한 내용은 Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide의 Configuring an Access Manager Deployment as a Site을 참조하십시오.

대량 연합

Access Manager 7 2005Q4는 비즈니스 파트너로 아웃소싱할 응용 프로그램에 사용자 계정의 대량 연합을 제공합니다. 이전에는 서비스 공급자(SP)와 Identity 공급자(IDP) 간의 계정 연합 시 사용자가 SP와 IDP 사이트를 모두 방문하여 계정이 없는 경우 계정을 만들고 두 계정을 웹 링크를 통해 연합해야 했습니다. 이 과정은 많은 시간이 소요되었습니다. 또한 기존 계정을 이용한 배포나 Identity 공급자 자체로 동작하는 사이트 또는 인증 공급자로 파트너 중 하나를 사용하는 사이트에 대해 이 과정이 항상 적합한 것은 아니었습니다.

자세한 내용은 Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide를 참조하십시오.

로깅 향상

Access Manager 7 2005Q4는 여러 가지 새롭게 향상된 로깅 기능을 포함합니다.

• 새 필드(또는 열): MessageID 필드는 로깅된 이벤트에 대한 메시지 식별자를 포함합니다. ContextID 필드는 세션 식별자와 유사하고 특정 사용자 로그인 세션에 대한 모든 이벤트에 적용되는 컨텍스트 식별자를 포함합니다. 사용자의 특정 로그인 세션의 경우 로깅된 이벤트에 대해 모든 로그 파일에서 ContextID가 동일하게 됩니다.

• 로깅 API. API에는 DB로 로깅이 설정된 경우 데이터베이스(DB)로부터 읽기를 포함한 로그 레코드 읽기용 추가 기능이 포함됩니다. 플랫 파일 또는 DB 테이블 저장소에서 로그 레코드의 검색을 보여주는 /opt/SUNWam/samples/logging 디렉토리의 LogReaderSample.java를 참조하십시오.

---

주의 –

보통 데이터베이스 테이블은 플랫 파일 로그보다 큽니다. 따라서 데이터의 양이 많으면 Access Manager 서버의 모든 자원을 소비할 수 있으므로 해당 요청에서 데이터베이스 테이블의 모든 레코드를 검색하지 마십시오.

---