역할

역할은 그룹의 개념과 비슷한 Directory Server 항목 체계입니다. 그룹이 구성원을 가지므로 역할도 구성원을 가집니다. 역할의 구성원은 역할을 소유하는 LDAP 항목입니다. 역할의 기준 자체는 속성과 함께 LDAP 항목으로 정의되며 항목의 고유 이름(DN) 속성에 의해 식별됩니다. Directory Server에는 여러 가지 유형의 역할이 있지만 Access Manager는 그 중에서관리 대상 역할만 관리할 수 있습니다.

다른 Directory Server 역할 유형은 Access Manager 콘솔에서 관리할 수는 없지만 디렉토리를 배포하는 데 사용할 수 있습니다. 정책의 주제 정의에 다른 Directory Server 유형을 사용할 수 있습니다. 정책 주제에 대한 자세한 내용은 정책 만들기를 참조하십시오.

사용자는 하나 이상의 역할을 소유할 수 있습니다. 예를 들어, 세션 서비스 및 비밀번호 재설정 서비스의 속성을 갖는 계약자 역할을 만들 수 있습니다. 새 계약직 직원이 회사에 합류하면 관리자는 계약자 항목에 개별 속성을 설정하는 대신 이 역할을 할당할 수 있습니다. 계약자가 엔지니어링 부서에서 일하며, 엔지니어링 직원이 사용할 수 있는 서비스와 액세스 권한을 요구하는 경우, 관리자는 계약자를 계약자 역할 외에 엔지니어링 역할에도 지정할 수 있습니다.

Access Manager는 역할을 사용하여 액세스 제어 명령을 적용합니다. 처음 설치되면 Access Manager는 관리자 사용 권한을 정의하는 액세스 제어 명령(ACI)을 구성합니다. 그런 다음 이러한 ACI는 사용자에게 할당될 때 사용자의 액세스 권한을 정의하는 역할(예: 조직 관리자 역할 및 조직 도움말 데스크 관리자 역할)에 지정됩니다.

사용자는 관리 서비스에서 사용자 프로필 페이지에 역할 표시 속성이 사용 가능하게 된 경우에만 할당된 역할을 볼 수 있습니다.

참조 무결성 플러그 인을 사용하려면 Access Manager를 Directory Server와 함께 구성해야 합니다. 참조 무결성 플러그 인을 사용할 수 있는 경우에는 삭제 또는 이름 바꾸기 작업 직후 지정된 속성에 대해 무결성 업데이트가 이루어집니다. 이렇게 하면 관련된 항목들 간의 관계가 데이터베이스 전체를 통해 유지됩니다. 데이터베이스 색인을 사용하면 Directory Server의 검색 성능이 향상됩니다. 플러그인 활성화에 대한 자세한 내용은 Sun Java System Access Manager 6 2005Q1 Migration Guide를 참조하십시오.

다음과 같은 두 가지 역할 유형이 있습니다.

• 정적 — 정적 역할은 역할을 만들 때 사용자 추가 없이 만듭니다. 역할이 만들어진 다음 해당 역할에 특정 사용자를 추가할 수 있습니다. 따라서 주어진 역할에 사용자를 추가할 때 더 많은 것을 제어할 수 있습니다.

• 동적 – 동적 역할은 LDAP 필터를 사용하여 만듭니다. 모든 사용자가 필터를 통해 걸러져 역할 작성 시 역할에 할당됩니다. 필터는 항목의 임의 속성 값 쌍(예: ca=user*)을 찾아 해당 속성을 포함하는 사용자를 역할에 자동으로 할당합니다.

정적 역할을 만들려면

단계

1. 역할을 만들 조직으로 이동합니다.

2. 역할 탭을 누릅니다.

   기본 역할 세트는 조직이 구성될 때 만들어지며 역할 목록에 표시됩니다. 기본 역할은 다음과 같습니다.

   컨테이너 도움말 데스크 관리자.컨테이너 도움말 데스크 관리자 역할은 조직 구성 단위의 모든 항목에 대한 읽기 권한과 이 컨테이너 단위에 한하여 사용자 항목의 userPassword 속성에 대한 쓰기 권한을 가집니다.

   조직 도움말 데스크 관리자.조직의 도움말 데스크 관리자는 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.

   ---

   주 –

   하위 조직을 만들 때 관리 역할이 상위 조직이 아닌 하위 조직에서 만들어진다는 점에 주의하십시오.

   ---

   컨테이너 관리자.컨테이너 관리자 역할은 LDAP 조직 구성 단위의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. Access Manager에서 LDAP 조직 구성 단위를 흔히 컨테이너라고 부릅니다.

   조직 정책 관리자.조직 정책 관리자는 모든 정책에 대한 읽기 및 쓰기 권한을 가지며 해당 조직 내의 모든 정책을 작성, 할당, 수정 및 삭제할 수 있습니다.

   사용자 관리자.기본적으로 새로 만든 조직의 모든 사용자 항목은 해당 조직에 속한 구성원입니다. 사용자 관리자는 조직의 모든 사용자 항목에 대한 읽기 및 쓰기 권한을 가집니다. 이 역할은 역할 및 그룹 DN을 포함하는 속성에 대한 읽기 및 쓰기 권한을 갖지 않으므로 역할 또는 그룹의 속성을 수정하거나 역할 또는 그룹에서 사용자를 제거할 수 없다는 점에 주의하십시오.

   ---

   주 –

   Access Manager에서 다른 컨테이너를 구성하여 사용자 항목, 그룹 항목 또는 다른 컨테이너를 포함할 수 있습니다. 조직이 이미 구성된 후에 만든 컨테이너에 관리자 역할을 할당하면 컨테이너 관리자 역할 또는 컨테이너 도움말 데스크 관리자 기본값이 사용됩니다.

   ---

   그룹 관리자.그룹이 만들어질 때 생성된 그룹 관리자는 특정 그룹의 모든 구성원에 대한 읽기 및 쓰기 권한을 가지며 새 사용자 작성, 관리하는 그룹에 사용자 할당, 작성한 그룹에서 사용자 삭제 등의 작업을 수행할 수 있습니다.

   그룹이 만들어지면 해당 그룹을 관리하는 데 필요한 권한과 함께 그룹 관리자 역할이 자동으로 생성됩니다. 이 역할은 그룹 구성원에 자동으로 할당되지 않습니다. 따라서 그룹 작성자나 그룹 관리자 역할에 대한 액세스 권한을 가진 누군가가 이 역할을 할당해야 합니다.

   최상위 수준 관리자.최상위 수준 관리자는 최상위 수준 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. 즉, 이 최상위 수준 관리자 역할은 Access Manager 응용 프로그램 내의 모든 구성 기본에 대한 권한을 가집니다.

   조직 관리자.조직 관리자는 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. 조직이 만들어지면 해당 조직을 관리하는 데 필요한 권한과 함께 조직 관리자 역할이 자동으로 생성됩니다.

3. 새 정적 버튼을 누릅니다.

4. 역할의 이름을 입력합니다.

5. 역할에 대한 설명을 입력합니다.

6. 유형 메뉴에서 역할 유형을 선택합니다.

   역할은 관리 역할 또는 서비스 역할이 될 수 있습니다. 역할 유형은 콘솔에서 사용자를 시작할 위치를 파악하기 위해 사용됩니다. 관리 역할은 역할 소유자가 관리 권한을 갖고 있다는 것을 콘솔에 알리고 서비스 역할은 역할 소유자가 최종 사용자라는 것을 콘솔에 알립니다.

7. 액세스 권한 메뉴에서 역할에 적용할 기본 사용 권한 집합을 선택합니다. 이러한 사용 권한은 조직 내의 항목에 대한 액세스를 제공합니다. 기본 사용 권한은 특별한 순서 없이 표시됩니다. 다음과 같은 권한이 있습니다.

   사용 권한 없음

   역할에 사용 권한이 설정되지 않습니다.

   조직 관리자

   조직 관리자는 구성된 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다.

   조직 도움말 데스크 관리자

   조직의 도움말 데스크 관리자는 구성된 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.

   조직 정책 관리자

   조직 정책 관리자는 조직의 모든 정책에 대한 읽기 및 쓰기 권한을 가집니다. 조직 정책 관리자는 피어 조직에 대한 참조 정책을 만들 수 없습니다.

   일반적으로 서비스 역할에는 사용 권한 없음 ACI가 할당되고 관리 역할에는 임의의 기본 ACI가 할당됩니다.

정적 역할에 사용자를 추가하려면

단계

1. 사용자를 추가할 역할의 이름을 누릅니다.

2. 구성원 목록의 작업 선택 메뉴에서 사용자 추가를 선택합니다.

3. 검색 조건에 대한 정보를 입력합니다. 하나 이상의 표시된 필드에 기초하여 사용자를 검색할 수 있습니다. 이러한 필드는 다음과 같습니다.

   일치

   필터에 포함할 필드를 선택할 수 있습니다. ALL은 지정된 모든 필드에 해당하는 사용자를 반환합니다. ANY는 지정된 필드 중 하나 이상에 해당하는 사용자를 반환합니다.

   이름

   이름을 기준으로 사용자를 검색합니다.

   사용자 아이디

   사용자 아이디를 기준으로 사용자를 검색합니다.

   성

   성을 기준으로 사용자를 검색합니다.

   전체 이름

   성명을 기준으로 사용자를 검색합니다.

   사용자 상태

   상태(활성 또는 비활성)를 기준으로 사용자를 검색합니다.

4. 다음을 눌러 검색을 시작합니다. 검색 결과가 표시됩니다.

5. 아이디 옆에 있는 확인란을 선택하여 반환된 이름에서 사용자를 선택합니다.

6. 마침을 누릅니다.

   사용자가 이제 역할에 할당됩니다.

동적 역할을 만들려면

단계

1. 역할을 만들 조직으로 이동합니다.

2. 역할 탭을 누릅니다.

   기본 역할 세트는 조직이 구성될 때 만들어지며 역할 목록에 표시됩니다. 기본 역할은 다음과 같습니다.

   컨테이너 도움말 데스크 관리자.컨테이너 도움말 데스크 관리자 역할은 조직 구성 단위의 모든 항목에 대한 읽기 권한과 이 컨테이너 단위에 한하여 사용자 항목의 userPassword 속성에 대한 쓰기 권한을 가집니다.

   조직 도움말 데스크 관리자.조직의 도움말 데스크 관리자는 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.

   ---

   주 –

   하위 조직을 만들 때 관리 역할이 상위 조직이 아닌 하위 조직에서 만들어진다는 점에 주의하십시오.

   ---

   컨테이너 관리자.컨테이너 관리자 역할은 LDAP 조직 구성 단위의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. Access Manager에서 LDAP 조직 구성 단위를 흔히 컨테이너라고 부릅니다.

   조직 정책 관리자.조직 정책 관리자는 모든 정책에 대한 읽기 및 쓰기 권한을 가지며 해당 조직 내의 모든 정책을 작성, 할당, 수정 및 삭제할 수 있습니다.

   사용자 관리자.기본적으로 새로 만든 조직의 모든 사용자 항목은 해당 조직에 속한 구성원입니다. 사용자 관리자는 조직의 모든 사용자 항목에 대한 읽기 및 쓰기 권한을 가집니다. 이 역할은 역할 및 그룹 DN을 포함하는 속성에 대한 읽기 및 쓰기 권한을 갖지 않으므로 역할 또는 그룹의 속성을 수정하거나 역할 또는 그룹에서 사용자를 제거할 수 없다는 점에 주의하십시오.

   ---

   주 –

   Access Manager에서 다른 컨테이너를 구성하여 사용자 항목, 그룹 항목 또는 다른 컨테이너를 포함할 수 있습니다. 조직이 이미 구성된 후에 만든 컨테이너에 관리자 역할을 할당하면 컨테이너 관리자 역할 또는 컨테이너 도움말 데스크 관리자 기본값이 사용됩니다.

   ---

   그룹 관리자.그룹이 만들어질 때 생성된 그룹 관리자는 특정 그룹의 모든 구성원에 대한 읽기 및 쓰기 권한을 가지며 새 사용자 작성, 관리하는 그룹에 사용자 할당, 작성한 그룹에서 사용자 삭제 등의 작업을 수행할 수 있습니다.

   그룹이 만들어지면 해당 그룹을 관리하는 데 필요한 권한과 함께 그룹 관리자 역할이 자동으로 생성됩니다. 이 역할은 그룹 구성원에 자동으로 할당되지 않습니다. 따라서 그룹 작성자나 그룹 관리자 역할에 대한 액세스 권한을 가진 누군가가 이 역할을 할당해야 합니다.

   최상위 수준 관리자.최상위 수준 관리자는 최상위 수준 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. 즉, 이 최상위 수준 관리자 역할은 Access Manager 응용 프로그램 내의 모든 구성 기본에 대한 권한을 가집니다.

   조직 관리자.조직 관리자는 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. 조직이 만들어지면 해당 조직을 관리하는 데 필요한 권한과 함께 조직 관리자 역할이 자동으로 생성됩니다.

3. 새 동적 버튼을 누릅니다.

4. 역할의 이름을 입력합니다.

5. 역할에 대한 설명을 입력합니다.

6. 유형 메뉴에서 역할 유형을 선택합니다.

   역할은 관리 역할 또는 서비스 역할이 될 수 있습니다. 역할 유형은 콘솔에서 사용자를 시작할 위치를 파악하기 위해 사용됩니다. 관리 역할은 역할 소유자가 관리 권한을 갖고 있다는 것을 콘솔에 알리고 서비스 역할은 역할 소유자가 최종 사용자라는 것을 콘솔에 알립니다.

7. 액세스 권한 메뉴에서 역할에 적용할 기본 사용 권한 집합을 선택합니다. 이러한 사용 권한은 조직 내의 항목에 대한 액세스를 제공합니다. 기본 사용 권한은 특별한 순서 없이 표시됩니다. 다음과 같은 권한이 있습니다.

   사용 권한 없음

   역할에 사용 권한이 설정되지 않습니다.

   조직 관리자

   조직 관리자는 구성된 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다.

   조직 도움말 데스크 관리자

   조직의 도움말 데스크 관리자는 구성된 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.

   조직 정책 관리자

   조직 정책 관리자는 조직의 모든 정책에 대한 읽기 및 쓰기 권한을 가집니다. 조직 정책 관리자는 피어 조직에 대한 참조 정책을 만들 수 없습니다.

   일반적으로 서비스 역할에는 사용 권한 없음 ACI가 할당되고 관리 역할에는 임의의 기본 ACI가 할당됩니다.

8. 검색 조건에 대한 정보를 입력합니다. 필드는 다음과 같습니다.

   일치

   필터에 포함할 임의의 필드에 대한 연산자를 포함할 수 있습니다. ALL은 지정된 모든 필드에 해당하는 사용자를 반환합니다. ANY는 지정된 필드 중 하나 이상에 해당하는 사용자를 반환합니다.

   이름

   이름을 기준으로 사용자를 검색합니다.

   사용자 아이디

   사용자 아이디를 기준으로 사용자를 검색합니다.

   성

   성을 기준으로 사용자를 검색합니다.

   전체 이름

   성명을 기준으로 사용자를 검색합니다.

   사용자 상태

   상태(활성 또는 비활성)를 기준으로 사용자를 검색합니다.

9. 확인을 눌러 필터 조건에 기초한 검색을 시작합니다. 필터 조건에서 정의된 사용자가 자동으로 역할에 할당됩니다.

역할에서 사용자를 제거하려면

단계

1. 수정할 역할을 포함하는 조직으로 이동합니다.

   Identity 관리 모듈의 보기 메뉴에서 조직을 선택하고 역할 탭을 선택합니다.

2. 수정할 역할을 선택합니다.

3. 보기 메뉴에서 사용자를 선택합니다.

4. 제거할 각 사용자 옆에 있는 확인란을 선택합니다.

5. 작업 선택 메뉴에서 사용자 제거를 누릅니다.

   사용자가 이제 역할에서 제거됩니다.

정책에 역할을 추가하려면

Access Manager 객체는 정책의 주제 정의를 통해 정책에 추가됩니다. 정책을 작성하거나 수정할 때 정책의 주제 페이지에서 조직, 역할, 그룹 및 사용자를 주제로 정의할 수 있습니다. 주제가 정의되고 나면 정책이 객체에 적용됩니다. 자세한 내용은 정책 관리를 참조하십시오.