일반 정책 수정

정책 탭을 통해 액세스 권한을 정의하는 일반 정책을 수정할 수 있습니다. 여러 규칙, 주제, 조건 및 자원 비교기를 정의 및 구성할 수 있습니다. 이 절에서는 이를 수행하는 단계를 나열하고 설명합니다.

규칙을 일반 정책에 추가하거나 수정하려면

단계

1. 이미 정책을 만든 경우 규칙을 추가하려는 정책의 이름을 누릅니다. 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. 규칙 메뉴에서 새로 만들기를 누릅니다.

3. 규칙에 대해 다음 기본 서비스 유형 중 하나를 선택합니다. 정책에 대해 사용 가능한 서비스가 많은 경우 목록이 더 클 수도 있습니다.

   검색 서비스

   검색 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

   리버티 개인 프로필 서비스

   리버티 개인 프로필 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

   URL 정책 에이전트

   정책 집행을 위해 URL 정책 에이전트 서비스를 제공합니다. 이 서비스를 사용하여 관리자는 정책 집행자 또는 정책 에이전트를 통해 정책을 만들고 관리할 수 있습니다.

4. 다음을 누르십시오.

5. 규칙에 대한 이름 및 자원 이름을 입력합니다.

   현재 정책 에이전트는 http:// 및 https:// 자원만 지원하고 호스트 이름 대신 IP 주소를 사용하는 것을 지원하지 않습니다.

   호스트, 포트 및 자원 이름에 와일드카드가 지원됩니다. 예를 들면 다음과 같습니다.

   http*://*:*/*.html

   URL 정책 에이전트 서비스의 경우 포트 번호를 입력하지 않으면 기본 포트 번호는 http://의 경우 80이고 https://의 경우 443입니다.

6. 규칙의 작업을 선택합니다. URL 정책 에이전트 서비스를 사용하는 경우 다음을 선택할 수 있습니다.

   • GET

   • POST

7. 작업 값 선택

   • 허용— 규칙에 정의된 자원과 일치하는 자원에 액세스할 수 있게 합니다.

   • 거부— 규칙에 정의된 자원과 일치하는 자원에 대한 액세스를 거부합니다.

   • 거부 규칙은 허용 규칙보다 항상 우선됩니다. 예를 들어, 주어진 자원에 대해 두 개의 정책, 즉 액세스를 거부하는 정책과 액세스를 허용하는 정책이 있을 경우 결과적으로 액세스가 거부됩니다(두 정책에 대한 조건이 충족될 경우). 정책 간에 잠재적인 충돌이 일어날 수 있으므로 거부 정책을 사용할 때는 매우 주의해야 합니다. 정책 정의 프로세스에서는 허용 규칙만 사용해야 합니다. 자원에 적용할 수 있는 정책이 없는 경우 액세스는 자동으로 거부됩니다.

     명시적 거부 규칙이 사용될 경우 다른 주제(예: 역할 및/또는 그룹 구성원)를 통해 주어진 사용자에 할당되는 정책은 하나 이상의 정책에 액세스를 허용할 경우 자원에 대한 액세스가 거부될 수 있습니다. 예를 들어, 사원 역할에 적용할 수 있는 자원에 대한 거부 정책이 있고 관리자 역할에 적용할 수 있는 동일한 자원에 대한 허용 정책이 있는 경우 사원 역할과 관리자 역할이 모두 할당된 사용자에 대한 정책 결정이 거부됩니다.

     이러한 문제를 해결하는 한 가지 방법은 조건 플러그 인을 사용하여 정책을 설계하는 것입니다. 위의 경우에 사원 역할에 인증된 사용자에게 거부 정책을 적용하고 관리자 역할에 인증된 사용자에게 허용 정책을 적용하는 “역할 조건”을 지정하여 두 정책을 차별화할 수 있습니다. 다른 방법은 인증 수준 조건을 사용하는 것입니다. 이 조건에서는 관리자 역할이 더 높은 인증 수준으로 인증됩니다.

8. 마침을 누릅니다.

주제를 일반 정책에 추가하거나 수정하려면

단계

1. 이미 정책을 만든 경우 주제를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. 주제 목록에서 새로 만들기를 누릅니다.

3. 다음 기본 주제 유형 중 하나를 선택합니다. 주제 유형에 대한 설명은 주제를 참조하십시오.

4. 다음을 누르십시오.

5. 주제의 이름을 입력합니다.

6. 단독 필드를 선택하거나 선택 취소합니다.

   이 필드를 선택하지 않을 경우(기본값) 주제의 구성원인 Identity에 정책이 적용됩니다. 이 필드를 선택할 경우 정책은 주제의 구성원이 아닌 Identity에 적용됩니다.

   정책에 여러 개의 주제가 있는 경우 Identity가 최소한 하나 이상 주제의 구성원이면 정책은 Identity에 적용됩니다.

7. 주제에 추가할 Identity를 표시하기 위해 검색을 수행합니다. 이 단계는 인증된 사용자 주제 또는 웹 서비스 클라이언트 주제에는 적용되지 않습니다.

   기본(*) 검색 패턴은 모든 항목을 표시합니다.

8. 주제에 대해 추가할 개별 Identity를 선택하거나 모두 추가를 눌러 모든 Identity를 한 번에 추가합니다. 추가를 눌러 Identity를 선택 목록으로 이동합니다. 인증된 사용자 주제에 대해서는 이 단계가 해당되지 않습니다.

9. 마침을 누릅니다.

10. 정책에서 주제를 제거하려면 해당 주제를 선택하고 삭제를 누릅니다. 주제 이름을 눌러 주제 정의를 편집할 수 있습니다.

일반 정책에 조건을 추가하려면

단계

1. 이미 정책을 만든 경우 조건을 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. 조건 목록에서 새로 만들기를 누릅니다.

3. 조건 유형을 선택하고 다음을 누릅니다.

4. 조건 유형의 필드를 정의합니다. 조건 유형에 대한 설명은 조건을 참조하십시오.

5. 마침을 누릅니다.

일반 정책에 응답 공급자를 추가하려면

단계

1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. 응답 공급자 목록에서 새로 만들기를 누릅니다.

3. 응답 공급자의 이름을 입력합니다.

4. 다음 값을 정의합니다.

   StaticAttribute

   IDResponseProvider 인스턴스에 정의되고 정책에 저장된 이름 및 값을 가진 응답 속성입니다.

   DynamicAttribute

   여기에서 선택한 응답 속성은 먼저 해당 영역의 정책 구성 서비스에 정의되어야 합니다. 지정한 속성 이름은 구성된 데이터 저장소에 있는 이름과 같아야 합니다. 속성을 정의하는 방법에 대한 자세한 내용은 Access Manager 온라인 도움말의 정책 구성 속성 정의를 참조하십시오.

5. 마침을 누릅니다.

6. 정책에서 응답 공급자를 제거하려면 해당 주제를 선택하고 삭제를 누릅니다. 이름을 눌러 응답 공급자 정의를 편집할 수 있습니다.