정책 유형

Access Manager를 사용하여 다음 두 가지 유형의 정책을 구성할 수 있습니다.

• 일반 정책

• 참조 정책

일반 정책

Access Manager에서 액세스 권한을 정의하는 정책을 일반 정책이라고 합니다. 일반 정책은 규칙 , 주제, 조건 및 응답 공급자로 구성됩니다.

규칙

하나의 규칙에는 하나의 자원, 하나 이상의 작업 및 하나의 값이 포함됩니다. 각 작업에는 하나 이상의 값이 있을 수 있습니다.

• 자원은 인적 자원 서비스를 사용하여 액세스되는 HTML 페이지 또는 사용자의 급여 정보 등 보호 대상인 특정 객체를 정의합니다.

• 작업은 자원에 대해 수행될 수 있는 작업의 이름입니다. 예를 들어, 웹 서버 작업으로는 POST 또는 GET 등이 있습니다. 인적 자원 서비스에는 예를 들어 집 전화 번호 변경 작업 등이 허용될 수 있습니다.

• 값은 작업에 대한 권한(예: 허용 또는 거부)을 정의합니다.

일부 서비스에 대해 자원 없이 작업을 정의할 수 있습니다.

주제

주제는 정책이 영향을 주는 사용자 또는 사용자 집합(예: 그룹 또는 특정 역할 소유자들)을 정의합니다. 주제는 정책에 지정됩니다. 사용자가 적어도 정책의 한 주제의 구성원일 경우에만 정책이 적용되는 것이 일반적인 규칙입니다. 기본 주제는 다음과 같습니다.

AM Identity 주제

사용자가 영역 주제 탭에서 만들고 관리하는 Identity를 해당 주제의 값으로 추가할 수 있습니다.

Access Manager 역할

LDAP 역할을 이 주제의 값으로 추가할 수 있습니다. LDAP 역할은 Directory Server 역할 기능을 사용하는 임의의 역할 정의입니다. 이러한 역할은 Directory Server 역할 정의에 의해 위임되는 객체 클래스를 가집니다. 정책 구성 서비스에서 LDAP 역할 검색 필터를 수정하여 범위를 좁히고 성능을 향상시킬 수 있습니다.

인증된 사용자

유효한 SSO 토큰을 가진 사용자가 이 주제의 구성원입니다. 인증된 사용자는 정책이 정의된 조직과 다른 조직에 인증한 경우에도 모두 이 주제의 구성원이 됩니다. 이는 자원 소유자가 관리되는 자원에 대한 액세스 권한을 다른 조직의 사용자에게 제공하는 경우에 유용합니다.

LDAP 그룹

LDAP 그룹의 구성원은 이 주제의 값으로 추가할 수 있습니다.

LDAP 역할

LDAP 역할을 이 주제의 값으로 추가할 수 있습니다. LDAP 역할은 Directory Server 역할 기능을 사용하는 임의의 역할 정의입니다. 이러한 역할은 Directory Server 역할 정의에 의해 위임되는 객체 클래스를 가집니다. 정책 구성 서비스에서 LDAP 역할 검색 필터를 수정하여 범위를 좁히고 성능을 향상시킬 수 있습니다.

LDAP 사용자

LDAP 사용자를 이 주제의 값으로 추가할 수 있습니다.

조직

조직의 구성원은 이 주제의 구성원입니다.

웹 서비스 클라이언트

유효한 값은 로컬 JKS 키 저장소에 있는 신뢰할 수 있는 인증서(신뢰할 수 있는 WSC의 인증서에 해당)의 DN입니다. 이 주제는 리버티 웹 서비스 프레임워크에 대해 종속성을 가지며 리버티 서비스 공급자가 WSC를 인증하기 위해서만 사용해야 합니다. SSO 토큰에 포함된 기본의 DN이 이 주제의 선택된 임의 값과 일치할 경우 SSO 토큰으로 식별된 웹 서비스 클라이언트(WSC)는 이 주제의 구성원입니다.

이 주제를 정책에 추가하기 전에 키 저장소를 만들어야 합니다. 키 저장소 설정에 대한 내용은 다음 사이트를 참조하십시오.

AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html

Access Manager 역할 대 LDAP 역할

Access Manager 역할은 Access Manager를 사용하여 작성됩니다. 이러한 역할은 Access Manager에 의해 위임되는 객체 클래스를 가집니다. LDAP 역할은 Directory Server 역할 기능을 사용하는 역할 정의입니다. 이러한 역할은 Directory Server 역할 정의에 의해 위임되는 객체 클래스를 가집니다. 모든 Access Manager 역할은 Directory Server 역할로 사용될 수 있습니다. 그러나 모든 Directory Server 역할이 Access Manager 역할은 아닙니다. 정책 구성 서비스를 구성하여 기존 디렉토리에서 LDAP 역할을 활용할 수 있습니다. Access Manager 역할은 Access Manager 정책 서비스를 호스트하는 방법으로만 액세스할 수 있습니다. 정책 구성 서비스에서 LDAP 역할 검색 필터를 수정하여 범위를 좁히고 성능을 향상시킬 수 있습니다.

중첩된 역할

중첩된 역할은 정책 정의의 주제에서 LDAP 역할로 올바르게 평가될 수 있습니다.

조건

조건을 사용하면 정책에서 제약 조건을 정의할 수 있습니다. 예를 들어, 급여 응용 프로그램에 대한 정책을 정의할 경우 지정된 시간 동안만 응용 프로그램에 대한 액세스를 제한하는 조건을 현재 작업에서 정의할 수 있습니다. 또는 주어진 IP 주소 집합이나 회사 인트라넷에서 요청을 보낸 경우에만 작업을 허가하는 조건을 정의할 수 있습니다.

조건을 추가로 사용하여 동일한 도메인에서 다른 URL에 대한 다른 정책을 구성할 수 있습니다. 예를 들어 http://org.example.com/hr/*jsp는 org.example.net에서 오전 9시부터 오후 5시까지만 액세스할 수 있고 http://org.example.com/finance/*.jsp는 org.example2.net에서 오전 5시부터 오후 11시까지 액세스할 수 있습니다. 이렇게 하려면 IP 조건과 함께 시간 조건을 사용합니다. 규칙 자원을 http://org.example.com/hr/*.jsp로 지정할 경우 http://org.example.com/hr 및 하위 디렉토리에 있는 모든 JSP 정책이 적용됩니다.

용어 참조, 규칙, 자원, 주제, 조건, 작업 및 값은 policy.dtd의 Referral, Rule, ResourceName, Subject, Condition, Attribute 및 Value 요소에 해당합니다.

추가할 수 있는 기본 조건은 다음과 같습니다.

인증 수준

사용자의 인증 수준이 조건에 설정된 인증 수준보다 높거나 같은 경우에 정책이 적용됩니다.

이 속성은 인증의 트러스트 수준을 나타냅니다.

인증 수준 조건은 해당 영역의 등록된 인증 모듈 수준이 아닌 다른 수준을 지정하는 데 사용됩니다. 다른 영역에서 인증된 사용자에게 정책을 적용할 때 유용합니다.

LE 인증은 사용자의 인증 수준이 조건에 설정된 인증 수준보다 높거나 같은 경우에 정책을 적용합니다. 인증 수준 조건은 해당 영역의 등록된 인증 모듈 수준이 아닌 다른 수준을 지정하는 데 사용됩니다. 다른 영역에서 인증된 사용자에게 정책을 적용할 때 유용합니다.

인증 방식

풀 다운 메뉴에서 조건에 대한 인증 방식을 선택합니다. 이러한 인증 방식은 영역에서 핵심 인증 서비스에 정의된 인증 모듈입니다.

IP 주소

IP 주소의 범위를 기반으로 조건을 설정합니다. 정의할 수 있는 필드는 다음과 같습니다.

• 보내는/받는 IP 주소 — IP 주소 범위를 지정합니다.

• DNS 이름 — DNS 이름을 지정합니다. 이 필드는 정규화된 호스트 이름이나 다음 형식의 문자열이 될 수 있습니다.

  domainname

  *.domainname

세션

사용자 세션 데이터에 따라 조건을 설정합니다. 수정할 수 있는 필드는 다음과 같습니다.

• 최대 세션 시간 — 세션이 시작될 때부터 정책을 적용할 수 있는 최대 기간을 지정합니다.

• 세션 종료 — 선택된 경우 세션 시간이 최대 세션 시간 필드에 정의된 최대 허용 시간을 초과하면 사용자 세션이 종료됩니다.

  이 조건으로 민감한 자원을 보호하여 인증 이후 제한된 시간 동안만 자원을 사용할 수 있도록 합니다.

세션 등록 정보

사용자의 Access Manager 세션에 설정된 등록 정보 값에 따라 정책을 요청에 적용할 수 있는지 여부를 결정합니다. 정책 평가 중 조건에 정의된 모든 등록 정보 값이 사용자의 세션에 있는 경우에만 true를 반환합니다. 조건에 여러 값으로 정의된 등록 정보의 경우 조건의 등록 정보에 대해 나열된 값이 토큰에 하나 이상 있으면 충분합니다. 예를 들어 이 조건을 사용하여 외부 저장소의 속성에 따라 정책을 적용할 수 있습니다. 인증 사후 플러그인은 외부 속성에 따라 세션 등록 정보를 설정할 수 있습니다.

시간

시간 제약 조건에 따라 조건을 설정합니다. 필드는 다음과 같습니다.

• 시작/끝 날짜 — 날짜 범위를 지정합니다.

• 시간 — 하루 중 시간의 범위를 지정합니다.

• 요일 — 요일의 범위를 지정합니다.

• 시간대 — 표준 또는 사용자 정의 표준 시간대를 지정합니다. 사용자 정의 표준 시간대는 Java에서 구성한 표준 시간대 아이디(예: PST)만 될 수 있습니다. 지정된 값이 없을 경우 기본값은 Access Manager JVM에 설정된 표준 시간대입니다.

응답 공급자

응답 공급자는 정책 기반 응답 속성을 제공하는 플러그인입니다. 응답 공급자 속성은 정책 결정과 함께 PEP로 전송됩니다. Access Manager에는 하나의 구현인 IDResponseProvider가 포함되어 있습니다. 사용자 정의 응답 공급자는 이 버전의 Access Manager에서 지원되지 않습니다. 에이전트, PEP는 보통 이러한 응답 속성을 헤더로 응용 프로그램에 전달합니다. 응용 프로그램은 일반적으로 이러한 속성을 사용하여 포털 페이지와 같은 응용 프로그램 페이지를 사용자 설정합니다.

정책 권고

조건에 따라 결정한 대로 정책을 적용할 수 없을 때는 그 조건에서 해당 정책을 요청에 적용할 수 없는 이유를 나타내는 권고 메시지를 만듭니다. 이러한 권고 메시지는 정책 적용 지점에 대한 정책 결정에 전달됩니다. 정책 적용 지점은 이 권고를 검색하고 더 높은 수준으로 인증하는 인증 메커니즘으로 사용자를 리디렉션하는 등의 적당한 조치를 취하게 됩니다. 적합한 조치가 취해진 후 정책이 적용 가능하게 되면 사용자에게 더 높은 수준의 인증에 관한 프롬프트가 나타나 자원에 액세스할 수 있게 됩니다.

자세한 내용은 다음 클래스를 참조하십시오.

com.sun.identity.policy.ConditionDecision.getAdvices()

해당 조건이 충족되지 않으면 AuthLevelCondiiton 및 AuthSchemeCondition 에서 권고를 제공합니다.

AuthLevelCondition 권고는 다음 키와 관련되어 있습니다.

com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_LEVEL_CONDITION_ADVICE

AuthSchemeCondition 권고는 다음 키와 관련되어 있습니다.

com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_SCHEME_CONDITION_ADVICE

사용자 정의한 조건도 권고를 만들 수 있습니다. 그러나 Access Manager 정책 에이전트는 인증 수준 권고와 인증 방식 권고에만 응답합니다. 사용자 정의 에이전트를 작성하고 기존 Access Manager 에이전트를 확장하여 더 많은 권고를 이해하고 응답할 수 있습니다. 자세한 내용은 Sun Java System Access Manager Policy Agent 2.2 User’s Guide를 참조하십시오.

참조 정책

관리자는 한 영역의 정책 정의와 결정을 다른 영역에 위임해야 할 수 있습니다. 또는 자원에 대한 정책 결정을 다른 정책 제품에 위임할 수 있습니다. 참조 정책은 정책 작성과 평가를 위해 이 정책 위임을 제어합니다. 이 정책은 하나 이상의 규칙과 하나 이상의 참조로 구성됩니다.

규칙

규칙은 정책 정의와 평가가 참조되는 자원을 정의합니다.

참조

참조는 정책 평가가 참조되는 조직을 정의합니다. 기본적으로 참조에는피어 영역과 하위 영역의 두 가지 유형이 있습니다. 이러한 참조는 각각 동일한 수준의 영역과 하위 수준의 영역에 위임됩니다. 자세한 내용은 피어 영역 및 하위 영역에 대한 정책 만들기 를 참조하십시오.

참조 대상 영역은 참조된 자원 또는 그 하위 자원에 대해서만 정책을 정의하거나 평가할 수 있습니다. 그러나 이 제한은 최상위 영역에는 적용되지 않습니다.