test

Sun Java System Access Manager 7 2005Q4 관리 설명서

정책 관리

일단 일반 또는 참조 정책을 만들어 Access Manager에 추가하면 Access Manager 콘솔을 통해 규칙, 주제, 조건 및 참조를 수정하여 정책을 관리할 수 있습니다.

일반 정책 수정

정책 탭을 통해 액세스 권한을 정의하는 일반 정책을 수정할 수 있습니다. 여러 규칙, 주제, 조건 및 자원 비교기를 정의 및 구성할 수 있습니다. 이 절에서는 이를 수행하는 단계를 나열하고 설명합니다.

Procedure규칙을 일반 정책에 추가하거나 수정하려면

단계

  1. 이미 정책을 만든 경우 규칙을 추가하려는 정책의 이름을 누릅니다. 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

  2. 규칙 메뉴에서 새로 만들기를 누릅니다.

  3. 규칙에 대해 다음 기본 서비스 유형 중 하나를 선택합니다. 정책에 대해 사용 가능한 서비스가 많은 경우 목록이 더 클 수도 있습니다.

    검색 서비스

    검색 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

    리버티 개인 프로필 서비스

    리버티 개인 프로필 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

    URL 정책 에이전트

    정책 집행을 위해 URL 정책 에이전트 서비스를 제공합니다. 이 서비스를 사용하여 관리자는 정책 집행자 또는 정책 에이전트를 통해 정책을 만들고 관리할 수 있습니다.

  4. 다음을 누르십시오.

  5. 규칙에 대한 이름 및 자원 이름을 입력합니다.

    현재 정책 에이전트는 http://https:// 자원만 지원하고 호스트 이름 대신 IP 주소를 사용하는 것을 지원하지 않습니다.

    호스트, 포트 및 자원 이름에 와일드카드가 지원됩니다. 예를 들면 다음과 같습니다.


    http*://*:*/*.html

    URL 정책 에이전트 서비스의 경우 포트 번호를 입력하지 않으면 기본 포트 번호는 http://의 경우 80이고 https://의 경우 443입니다.

  6. 규칙의 작업을 선택합니다. URL 정책 에이전트 서비스를 사용하는 경우 다음을 선택할 수 있습니다.

    • GET

    • POST

  7. 작업 값 선택

    • 허용— 규칙에 정의된 자원과 일치하는 자원에 액세스할 수 있게 합니다.

    • 거부— 규칙에 정의된 자원과 일치하는 자원에 대한 액세스를 거부합니다.

    • 거부 규칙은 허용 규칙보다 항상 우선됩니다. 예를 들어, 주어진 자원에 대해 두 개의 정책, 즉 액세스를 거부하는 정책과 액세스를 허용하는 정책이 있을 경우 결과적으로 액세스가 거부됩니다(두 정책에 대한 조건이 충족될 경우). 정책 간에 잠재적인 충돌이 일어날 수 있으므로 거부 정책을 사용할 때는 매우 주의해야 합니다. 정책 정의 프로세스에서는 허용 규칙만 사용해야 합니다. 자원에 적용할 수 있는 정책이 없는 경우 액세스는 자동으로 거부됩니다.

      명시적 거부 규칙이 사용될 경우 다른 주제(예: 역할 및/또는 그룹 구성원)를 통해 주어진 사용자에 할당되는 정책은 하나 이상의 정책에 액세스를 허용할 경우 자원에 대한 액세스가 거부될 수 있습니다. 예를 들어, 사원 역할에 적용할 수 있는 자원에 대한 거부 정책이 있고 관리자 역할에 적용할 수 있는 동일한 자원에 대한 허용 정책이 있는 경우 사원 역할과 관리자 역할이 모두 할당된 사용자에 대한 정책 결정이 거부됩니다.

      이러한 문제를 해결하는 한 가지 방법은 조건 플러그 인을 사용하여 정책을 설계하는 것입니다. 위의 경우에 사원 역할에 인증된 사용자에게 거부 정책을 적용하고 관리자 역할에 인증된 사용자에게 허용 정책을 적용하는 “역할 조건”을 지정하여 두 정책을 차별화할 수 있습니다. 다른 방법은 인증 수준 조건을 사용하는 것입니다. 이 조건에서는 관리자 역할이 더 높은 인증 수준으로 인증됩니다.

  8. 마침을 누릅니다.

Procedure주제를 일반 정책에 추가하거나 수정하려면

단계

  1. 이미 정책을 만든 경우 주제를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

  2. 주제 목록에서 새로 만들기를 누릅니다.

  3. 다음 기본 주제 유형 중 하나를 선택합니다. 주제 유형에 대한 설명은 주제를 참조하십시오.

  4. 다음을 누르십시오.

  5. 주제의 이름을 입력합니다.

  6. 단독 필드를 선택하거나 선택 취소합니다.

    이 필드를 선택하지 않을 경우(기본값) 주제의 구성원인 Identity에 정책이 적용됩니다. 이 필드를 선택할 경우 정책은 주제의 구성원이 아닌 Identity에 적용됩니다.

    정책에 여러 개의 주제가 있는 경우 Identity가 최소한 하나 이상 주제의 구성원이면 정책은 Identity에 적용됩니다.

  7. 주제에 추가할 Identity를 표시하기 위해 검색을 수행합니다. 이 단계는 인증된 사용자 주제 또는 웹 서비스 클라이언트 주제에는 적용되지 않습니다.

    기본(*) 검색 패턴은 모든 항목을 표시합니다.

  8. 주제에 대해 추가할 개별 Identity를 선택하거나 모두 추가를 눌러 모든 Identity를 한 번에 추가합니다. 추가를 눌러 Identity를 선택 목록으로 이동합니다. 인증된 사용자 주제에 대해서는 이 단계가 해당되지 않습니다.

  9. 마침을 누릅니다.

  10. 정책에서 주제를 제거하려면 해당 주제를 선택하고 삭제를 누릅니다. 주제 이름을 눌러 주제 정의를 편집할 수 있습니다.

Procedure일반 정책에 조건을 추가하려면

단계

  1. 이미 정책을 만든 경우 조건을 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

  2. 조건 목록에서 새로 만들기를 누릅니다.

  3. 조건 유형을 선택하고 다음을 누릅니다.

  4. 조건 유형의 필드를 정의합니다. 조건 유형에 대한 설명은 조건을 참조하십시오.

  5. 마침을 누릅니다.

Procedure일반 정책에 응답 공급자를 추가하려면

단계

  1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

  2. 응답 공급자 목록에서 새로 만들기를 누릅니다.

  3. 응답 공급자의 이름을 입력합니다.

  4. 다음 값을 정의합니다.

    StaticAttribute

    IDResponseProvider 인스턴스에 정의되고 정책에 저장된 이름 및 값을 가진 응답 속성입니다.

    DynamicAttribute

    여기에서 선택한 응답 속성은 먼저 해당 영역의 정책 구성 서비스에 정의되어야 합니다. 지정한 속성 이름은 구성된 데이터 저장소에 있는 이름과 같아야 합니다. 속성을 정의하는 방법에 대한 자세한 내용은 Access Manager 온라인 도움말의 정책 구성 속성 정의를 참조하십시오.

  5. 마침을 누릅니다.

  6. 정책에서 응답 공급자를 제거하려면 해당 주제를 선택하고 삭제를 누릅니다. 이름을 눌러 응답 공급자 정의를 편집할 수 있습니다.

참조 정책 수정

참조 정책을 사용하여 정책 정의와 영역 결정을 다른 영역으로 위임할 수 있습니다. 사용자 정의 참조는 정책 대상 지점에서 정책 결정을 가져오는 데 사용됩니다. 참조 정책을 만들면 관련된 규칙, 참조 및 자원 공급자를 추가 또는 수정할 수 있습니다.

Procedure규칙을 참조 정책에 추가하거나 수정하려면

단계

  1. 이미 정책을 만든 경우 규칙을 추가하려는 정책의 이름을 누릅니다. 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 참조 정책을 만들려면 을 참조하십시오.

  2. 규칙 목록에서 새로 만들기를 누릅니다.

  3. 규칙에 대해 다음 기본 서비스 유형 중 하나를 선택합니다. 정책에 대해 사용 가능한 서비스가 많은 경우 목록이 더 클 수도 있습니다.

    검색 서비스

    검색 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

    리버티 개인 프로필 서비스

    리버티 개인 프로필 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

    URL 정책 에이전트

    정책 집행을 위해 URL 정책 에이전트 서비스를 제공합니다. 이 서비스를 사용하여 관리자는 정책 집행자 또는 정책 에이전트를 통해 정책을 만들고 관리할 수 있습니다.

  4. 다음을 누르십시오.

  5. 규칙에 대한 이름 및 자원 이름을 입력합니다.

    현재 정책 에이전트는 http://https:// 자원만 지원하고 호스트 이름 대신 IP 주소를 사용하는 것을 지원하지 않습니다.

    자원 이름, 포트 번호 및 프로토콜에 와일드카드가 지원됩니다. 예를 들면 다음과 같습니다.


    http://*:*/*.html

    URL 정책 에이전트 서비스의 경우 포트 번호를 입력하지 않으면 기본 포트 번호는 http://의 경우 80이고 https://의 경우 443입니다.

    자원을 http://host*:*로 정의하여 특정 시스템에 설치된 모든 서비스에 대한 자원 관리를 허용할 수 있습니다. 또한 다음 자원을 정의하여 관리자에게 조직의 모든 서비스에 대한 특정 조직 권한을 부여할 수 있습니다.


    http://*.subdomain.domain.topleveldomain

  6. 마침을 누릅니다.

Procedure참조를 정책에 추가 또는 수정하려면

단계

  1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 참조 정책을 만들려면 을 참조하십시오.

  2. 규칙 목록에서 새로 만들기를 누릅니다.

  3. 서비스 유형을 선택합니다.

  4. 규칙 필드에서 자원을 정의합니다. 필드는 다음과 같습니다.

    Referral— 현재 참조 유형을 표시합니다.

    Name— 참조 이름을 입력합니다.

    Resource Name— 자원 이름을 입력합니다.

    Filter— 값 필드에 표시될 조직 이름에 대한 필터를 지정합니다. 기본적으로 이 필드에는 모든 조직 이름이 표시됩니다.

    Value — 참조의 조직 이름을 선택합니다.

  5. 마침을 누릅니다.

    정책에서 참조를 제거하려면 참조를 선택하고 삭제를 누릅니다.

    참조 이름 옆에 있는 편집 링크를 눌러 모든 참조 정의를 편집할 수 있습니다.

Procedure참조 정책에 응답 공급자를 추가하려면

단계

  1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

  2. 응답 공급자 목록에서 새로 만들기를 누릅니다.

  3. 응답 공급자의 이름을 입력합니다.

  4. 다음 값을 정의합니다.

    StaticAttribute

    IDResponseProvider 인스턴스에 정의되고 정책에 저장된 이름 및 값을 가진 응답 속성입니다.

    DynamicAttribute

    정책의 IDResponseProvider 인스턴스에 선택된 이름만 가진 응답 속성입니다. 값은 정책 평가 중 사용자 아이디 요청에 따라 IDRepostitories에서 읽습니다.

  5. 마침을 누릅니다.

  6. 정책에서 응답 공급자를 제거하려면 해당 주제를 선택하고 삭제를 누릅니다. 이름을 눌러 응답 공급자 정의를 편집할 수 있습니다.