Sun Java 로고     이전      목차      다음     

Sun 로고
Sun Java System Identity Manager 2005Q4M3 관리  

5

구성

이 장에서는 관리자 인터페이스를 사용하여 Identity Manager 객체를 설정하기 위한 정보와 절차에 대해 설명합니다.

이 장에서는 다음과 같은 내용을 설명합니다.


역할의 이해

Identity Manager에서 역할을 설정하는 방법은 이 절을 참조하십시오.

역할이란?

Identity Manager 역할은 계정이 관리되는 일련의 자원을 정의합니다. 역할을 사용하여 사용자의 클래스에 대한 프로필을 만들고 Identity Manager 사용자를 유사한 특성에 따라 그룹화합니다.

각 사용자를 하나 이상의 역할에 할당하거나, 전혀 할당하지 않을 수 있습니다. 역할에 할당된 모든 사용자는 자원의 동일한 기본 그룹에 대한 액세스를 공유합니다.

역할과 연결된 모든 자원은 해당 사용자에게 간접적으로 할당됩니다. 간접 할당은 자원이 명시적으로 해당 사용자용으로 선택되는 직접 할당과는 다릅니다.

역할을 작성하거나 편집하면 Identity Manager는 ManageRole 작업 흐름을 실행합니다. 이 작업 흐름은 새로 작성되거나 업데이트된 역할을 저장소에 저장하므로 역할을 작성하거나 저장하기 전에 승인이나 다른 작업을 삽입할 수 있습니다.

관리자 인터페이스 사용자 생성 및 편집 페이지에서 역할을 사용자에게 할당합니다.

역할 생성

역할을 만들려면 다음과 같이 합니다.

  1. 메뉴 표시줄에서 역할을 선택합니다.
  2. 역할 목록 페이지에서 새로 만들기를 누릅니다.

역할 생성 페이지에서 다음의 작업을 수행할 수 있습니다.

할당된 자원 속성 값 편집

역할 생성 페이지의 할당된 자원 영역에서 속성 값 설정을 눌러 해당 역할에 할당된 각 자원의 속성 목록을 표시합니다. 이 속성 편집 페이지에서 각 속성의 새 값을 할당하고 속성 값이 설정되는 방식을 결정할 수 있습니다. Identity Manager에서는 값을 직접 설정하거나 규칙을 사용하여 값을 설정할 수 있습니다. 또한 기존 값을 대체하거나 병합하는 다양한 옵션이 제공됩니다.

역할 편집

역할을 변경하려면 다음과 같이 합니다.

  1. 메뉴 표시줄에서 역할을 선택합니다.
  2. 역할 목록 페이지에서 목록의 역할을 누릅니다.

역할 찾기

역할을 검색하려면 역할 찾기를 사용합니다. 검색 기능은 검색 조건과 일치하는 역할의 목록을 표시합니다.

다음 중 하나 이상의 검색 유형별로 역할을 검색할 수 있습니다.

역할을 검색하려면 역할을 선택한 후 역할 찾기를 선택합니다.

역할 복제

기존 역할의 옵션을 사용하여 새 역할을 만들 수 있습니다. 다음과 같이 합니다.

  1. 편집하려는 역할을 선택합니다.
  2. 이름 필드에 새 이름을 입력한 후 저장을 누릅니다.
  3. Identity Manager에 생성 또는 이름 변경 페이지가 표시됩니다.

  4. 생성을 눌러 새 역할을 만듭니다.

역할 이름 변경

역할의 이름을 변경하려면 다음과 같이 합니다.

  1. 편집하려는 역할을 선택합니다.
  2. 이름 필드에 새 이름을 입력한 후 저장을 누릅니다.
  3. Identity Manager에 생성 또는 이름 변경 페이지가 표시됩니다.

  4. 역할 이름을 변경하려면 이름 변경을 누릅니다.

Identity Manager 역할과 자원 역할 동기화

Identity Manager 역할을 자원에서 내부적으로 생성된 역할과 동기화할 수 있습니다. 동기화될 때 자원은 기본적으로 역할에 할당됩니다. 이 작업은 자원 역할 이름 중 하나와 일치하는 기존 Identity Manager 역할뿐만 아니라 작업으로 만든 역할에도 적용됩니다.

메뉴 표시줄에서 작업을 선택한 후 작업 실행을 선택하여 Identity Manager 역할을 자원 역할과 동기화 작업 페이지에 액세스합니다.


자원의 이해

Identity Manager 자원을 설정하는데 도움이 되는 정보와 절차는 이 절을 참조하십시오.

자원이란?

Identity Manager 자원에는 계정이 만들어진 자원이나 시스템에 연결하는 방법에 대한 정보가 저장됩니다. Identity Manager 자원은 자원에 대한 관련 속성을 정의하며 자원 정보가 Identity Manager에서 표시되는 방식을 지정하는 데 도움을 줍니다.

Identity Manager는 다음을 포함한 다양한 자원 유형에 대한 자원을 제공합니다.

자원 영역

Identity Manager의 자원 페이지에 기존 자원에 대한 정보가 표시됩니다.

자원에 액세스하려면 메뉴 표시줄에서 자원을 선택합니다.

자원은 유형에 따라 그룹화되어 있으며, 이름이 지정된 폴더별 목록으로 표시됩니다. 계층적 보기를 확장하고 현재 정의된 자원을 보려면 폴더 옆에 있는 표시기를 누릅니다. 표시기를 다시 누르면 보기가 축소됩니다.

자원 유형 폴더를 확장하면 포함된 자원 객체의 수를 동적으로 업데이트하여 표시합니다(그룹을 지원하는 자원 유형인 경우).

일부 자원에는 다음과 같이 관리할 수 있는 추가 객체가 있습니다.

자원 목록에서 객체를 선택한 후 다음 옵션 목록 중 하나를 선택하여 관리 작업을 시작합니다.

자원을 생성하거나 편집하면 Identity Manager는 ManageResource 작업 흐름을 실행합니다. 이 작업 흐름은 새로 생성되거나 업데이트된 자원을 저장소에 저장하므로 자원을 생성하거나 저장하기 전에 승인이나 다른 작업을 삽입할 수 있습니다.

자원 목록 관리

만들 자원을 선택할 수 있는 목록은 관리자 인터페이스의 구성 영역에서 관리합니다. 자원 유형 작업 옵션 목록에서 관리된 자원 구성을 선택하여 자원 목록에 포함될 자원을 선택합니다.

관리된 자원 페이지에서 Identity Manager의 자원은 두 가지 범주로 나누어집니다.

사용자 정의 자원을 추가하려면 다음과 같이 합니다.

  1. 사용자 정의 자원 추가를 눌러 테이블에 행을 추가합니다.
  2. 해당 자원의 자원 클래스 경로를 입력하거나 사용자 정의된 자원 이름을 입력합니다.
  3. 저장을 눌러 자원을 자원 목록에 저장합니다.

사용자 정의 자원 클래스 목록은 다음과 같습니다.

사용자 정의
자원

자원 클래스

Access Manager

com.waveset.adapter.AccessManagerResourceAdapter

ACF2

com.waveset.adapter.ACF2ResourceAdapter

ActivCard

com.waveset.adapter.ActivCardResourceAdapter

Active Directory

com.waveset.adapter.ADSIResourceAdapter

Active Directory Active Sync

com.waveset.adapter.ActiveDirectoryActiveSyncAdapter

ClearTrust

com.waveset.adapter.ClearTrustManagerResourceAdapter

DB2

com.waveset.adapter.DB2ResourceAdapter

INISafe Nexess

com.waveset.adapter.INISafeNexessResourceAdapter

Microsoft SQL Server

com.waveset.adapter.MSSQLServerResourceAdapter

MySQL

com.waveset.adapter.MySQLResourceAdapter

Natural

com.waveset.adapter.NaturalResourceAdapter

NDS SecretStore

com.waveset.adapter.NDSSecretStoreResourceAdapter

Oracle

com.waveset.adapter.OracleResourceAdapter

Oracle Financials

com.waveset.adapter.OracleERPResourceAdapter

OS400

com.waveset.adapter.OS400ResourceAdapter

PeopleSoft

com.waveset.adapter.PeopleSoftCompIntfcAdapter
com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter

RACF

com.waveset.adapter.RACFResourceAdapter

SAP

com.waveset.adapter.SAPResourceAdapter

SAP HR

com.waveset.adapter.SAPHRResourceAdapter

SAP Portal

com.waveset.adapter.SAPPortalResourceAdapter

Scripted Host

com.waveset.adapter.ScriptedHostResourceAdapter

SecurID

com.waveset.adapter.SecurIdResourceAdapter
com.waveset.adapter.SecurIdUnixResourceAdapter

Siebel

com.waveset.adapter.SiebelResourceAdapter

SiteMinder

com.waveset.adapter.SiteminderAdminResourceAdapter
com.waveset.adapter.SiteminderLDAPResourceAdapter
com.waveset.adapter.SiteminderExampleTableResourceAdapter

Sun ONE Identity Server

com.waveset.adapter.SunISResourceAdapter

Sybase

com.waveset.adapter.SybaseResourceAdapter

Top Secret

com.waveset.adapter.TopSecretResourceAdapter

자원 생성

자원 마법사를 사용하여 자원을 만들 수 있습니다. 자원 마법사는 자원에서 객체를 관리하기 위한 Identity Manager 자원 어댑터를 만드는 과정을 안내합니다.

자원 마법사를 사용하여 다음을 설정할 수 있습니다.

자원을 만들려면 다음을 수행합니다.

  1. 옵션의 자원 유형 작업 목록에서 새 자원을 선택합니다.
  2. Identity Manager가 새 자원 페이지를 표시합니다.

  3. 자원 유형을 선택한 후 새로 만들기를 눌러 자원 마법사 시작 페이지를 표시합니다.

  4. 주  또는 자원 목록에서 자원 유형을 선택한 다음 자원 유형 작업 목록에서 새 자원을 선택할 수 있습니다. 이 경우 Identity Manager에는 새 자원 페이지가 표시되지 않지만 자원 마법사가 즉시 실행됩니다.

  5. 다음을 눌러 자원 정의를 시작합니다. 자원 마법사의 단계와 페이지 순서는 다음과 같습니다.
    • 자원 매개 변수 — 자원에 대한 매개 변수를 설정합니다. 이 매개 변수는 인증과 자원 어댑터 동작을 제어합니다. 매개 변수를 입력한 후 Test Connection을 눌러 연결이 유효한지 확인합니다. 확인 시 Next를 눌러 계정 속성을 설정합니다.

    • 자원 마법사에서 자원 매개 변수를 설정합니다.

      그림 1. 자원 마법사: 자원 매개 변수

    • Account Attributes(스키마 맵) — Identity Manager 계정 속성을 자원 계정 속성에 매핑합니다.
    • 속성을 추가하려면 Add Attribute를 누릅니다. 속성을 하나 이상 선택한 후 Delete Selected Attributes를 눌러 스키마 맵에서 속성을 삭제합니다. 작업을 완료했으면 New를 눌러 아이디 서식 파일을 설정합니다.


      스키마 맵은 Identity Manager 계정 속성을 자원 계정 속성으로 매핑합니다.

      그림 2. 자원 마법사: 계정 속성(스키마 맵)

    • 아이디 서식 파일 — 사용자용 계정 이름 구문을 정의합니다. 이 기능은 특히 계층적 이름 공간용으로 중요합니다.
    • 속성 삽입 목록에서 속성을 선택합니다. 서식 파일에서 속성을 삭제하려면 목록을 누르고 문자열에서 항목을 하나 이상 삭제합니다. 속성 이름 및 앞뒤의 $(달러 기호) 문자를 삭제합니다.


      아이디 서식 파일은 사용자용 계정 이름의 지정 방식을 정의합니다.

      그림 3. 자원 마법사: 아이디 서식 파일

    • Identity System 매개 변수 — 재시도 및 정책 구성을 포함하여 해당 자원용 Identity Manager 매개 변수를 설정합니다.

    • 재시도 및 정책 구성과 Active Sync 구성을 설정하려면 Identity Manager 매개 변수 페이지를 사용합니다.

      그림 4. 자원 마법사: Identity System 매개 변수

다른 페이지로 이동하려면 NextBack을 사용합니다. 모든 선택을 완료했으면 Save를 눌러 자원을 저장하고 목록 페이지로 되돌아갑니다.

자원 관리

자원 목록에서 자원에 대한 다양한 편집 작업을 수행할 수 있습니다. 각 자원 마법사 페이지에서는 기능을 편집하는 것 외에 다음의 작업을 수행할 수 있습니다.

계정 속성에 대한 작업

Identity Manager 자원은 스키마 맵을 사용하여 외부 자원에서 수신되는 속성(자원 계정 속성)의 이름과 유형을 지정하며, 그런 후 해당 속성을 표준 Identity Manager 계정 속성으로 매핑합니다. 스키마 맵을 설정하여(자원 마법사의 계정 속성 페이지) 다음의 작업을 수행할 수 있습니다.

이러한 값에 액세스하려면 자원 목록에서 해당 자원을 선택한 후 자원 작업 목록에서 자원 스키마 편집을 선택합니다.

스키마 맵의 왼쪽 열(Identity system 사용자 속성)에는 Identity Manager 관리자 및 사용자 인터페이스에서 사용되는 양식이 참조하는 Identity Manager 계정 속성의 이름이 있습니다. 스키마 맵의 오른쪽 열(자원 사용자 속성)에는 외부 소스에서 수신된 속성의 이름이 있습니다.

Identity System 속성 이름을 지정하여 서로 다른 자원의 속성을 공통 이름으로 정의할 수 있습니다. 예를 들어 Active Directory 자원의 경우 Identity Manager의 성 속성이 Active Directory 자원 속성 sn으로 매핑되며, GroupWise의 경우 전체 이름 속성이 GroupWise 속성 Surname으로 매핑될 수 있습니다. 따라서 관리자는 lastname용 값을 사용자가 저장될 때 한 번만 입력하며, 이 값은 서로 다른 이름의 자원으로 전달됩니다.

자원 그룹

또한 자원 영역을 사용하여 자원 그룹을 관리할 수 있습니다. 여기에서는 그룹 자원이 특정한 순서로 업데이트되도록 할 수 있습니다. 그룹에 자원을 포함 및 정렬하고 그룹을 사용자에게 할당함으로써 해당 사용자의 자원을 만들고 업데이트하고, 삭제하는 순서를 결정할 수 있습니다.

작업은 각 자원에 차례로 수행됩니다. 자원에 대한 작업이 실패하는 경우 나머지 자원은 업데이트되지 않습니다. 이러한 형태의 관계는 관련된 자원에서 중요합니다.

예를 들어 Exchange 5.5 자원은 기존 Windows NT 또는 Windows Active Directory 계정에 따라 달라지며, Exchange 계정을 성공적으로 만들려면 반드시 이들 중 하나가 있어야 합니다. Windows NT 자원과 Exchange 5.5 자원을 (순서대로) 포함하는 자원 그룹을 만들면 사용자를 만들 때 올바른 순서를 유지할 수 있습니다. 결과적으로 이 순서에 따라 사용자를 삭제할 때 자원을 올바른 순서로 삭제할 수 있습니다.

자원을 선택한 후 자원 그룹 목록 표시를 선택하여 현재 정의된 자원 그룹의 목록을 표시합니다. 이 페이지에서 새로 만들기를 눌러 자원 그룹을 정의합니다. 자원 그룹을 정의할 때 선택 영역을 사용하여 자원을 선택하고 선택한 자원의 순서를 지정할 뿐 아니라 자원 그룹을 사용할 수 있는 조직을 선택할 수 있습니다.


변경 로그의 이해

Identity Manager 변경 로그 기능에 대한 정보와 변경 로그 구성 및 사용에 관한 절차는 이 절을 참조하십시오.

변경 로그란?

변경 로그는 Identity Manager 자원에 포함된 아이디 속성 정보의 보기를 제공합니다. 아이디 속성 하위 집합에 대한 변경 사항을 캡처하도록 각 변경 로그를 정의합니다.

자원의 속성 데이터가 변경되면 ActiveSync 어댑터는 정보를 캡처한 후 변경 사항을 변경 로그에 기록합니다. 그런 다음 기업의 자원과 상호 작용하도록 특별히 개발된 사용자 정의 스크립트가 변경 로그를 읽고 자원을 업데이트합니다.

변경 로그 기능은 사용자 정의 스크립트를 통해 공급 시스템에서 자원에 간접적으로 통신하므로 Identity Manager의 표준 자원 활성 동기화 및 조정 기능과 다릅니다.

변경 로그 및 보안

Identity Manager의 변경 로그 기능에는 지정된 디렉토리나 로컬 파일 시스템 디렉토리에 대한 쓰기 액세스가 필요합니다. 일부 웹 컨테이너에서는 기본적으로 Identity Manager와 같이 호스트된 웹 모듈에 대한 로컬 파일 시스템 액세스를 허용하지 않습니다.

Java 정책 파일을 편집하여 액세스 권한을 부여합니다. /tmp/changelogs 디렉토리를 사용할 경우 정책 파일은 다음과 같이 구성되어야 합니다.

grant {
    permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

지정한 각 변경 로그 디렉토리에 대해 파일 권한을 정의해야 합니다.

Java용 기본 보안 정책 파일은 다음 위치에 있습니다.

$JAVA_HOME/jre/lib/security/java.policy

해당 파일을 편집하는 것으로 충분할 수 있지만 기본 파일 대신 사용자가 직접 작성한 파일을 사용하고 있는 경우 서버는 다음과 같은 옵션으로 실행됩니다.

-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy

이 경우 java.security.policy 시스템 등록 정보에서 확인한 파일을 편집합니다.


주  보안 정책 파일을 편집한 후에는 웹 컨테이너를 다시 시작해야 합니다.

변경 로그 기능 요구 사항

변경 로그 기능을 사용하려면 아이디 속성을 구성한 후에 변경 로그를 구성해야 합니다.

아이디 속성 구성

다음 정보와 절차를 사용하여 아이디 속성을 구성하고 아이디 속성을 적용할 Identity System 응용 프로그램을 선택할 수 있습니다.

아이디 속성에 대한 작업

아이디 속성을 구성하려면 구성을 선택한 후 Identity Manager 관리자 인터페이스에서 아이디 속성을 선택합니다. 아이디 속성 페이지가 표시됩니다.

아이디 속성을 추가하려면 속성 추가를 누릅니다. 속성이 목록에 추가되면 목록에서 속성 이름을 눌러 아이디 속성을 편집합니다. 하나 이상의 아이디 속성을 제거하려면 해당 속성을 선택한 후 선택한 속성 제거를 누릅니다.


주  작업을 수행하기 전에 반드시 저장을 눌러야 합니다.

응용 프로그램 선택

활성화된 응용 프로그램 영역을 사용하여 아이디 속성을 적용할 Identity System 응용 프로그램을 선택할 수 있습니다. 사용 가능한 응용 프로그램 영역에서 응용 프로그램을 하나 이상 선택하여 사용 응용 프로그램 영역으로 이동합니다. 작업을 수행하기 전에 반드시 저장을 눌러야 합니다.


주  변경 로그 기능을 사용하려면 ActiveSync 응용 프로그램을 사용하도록 설정해야 합니다.

아이디 속성 추가 및 편집

아이디 속성 추가 또는 아이디 속성 편집 페이지에서 다음 옵션을 선택하여 아이디 속성을 추가하거나 편집합니다.

대상 자원 추가


팁  아이디 속성을 변경 로그에 대해서만 사용하려면 아이디 속성에 대한 대상을 설정할 필요가 없습니다. 예를 들어 변경 로그를 사용하면서 표준 "입력 양식"을 사용하여 ActiveSync를 통해 데이터를 보내는 경우 이 작업을 수행합니다. 대상이 없으면 MetaView에서 아이디 속성 값을 계산하고 다른 자원에 대해 아이디 속성을 설정하지 않습니다.

아이디 속성을 설정해야 할 대상 자원을 추가하려면 선택합니다.

대상 자원 제거

하나 이상의 대상 자원을 제거하려면 목록에서 대상을 선택한 후 선택한 대상 제거를 누릅니다.

아이디 속성 가져오기

아이디 속성 가져오기 기능을 사용하면 하나 이상의 양식을 선택하여 아이디 속성 값을 가져와서 채울 수 있습니다. Identity Manager는 가져온 양식 값을 분석하고 "가장 적합한" 아이디 속성을 가정하지만 가져온 후에 이 속성을 편집할 수도 있습니다.

다음과 같은 가져오기 옵션을 선택합니다.

변경 로그 구성

변경 로그 정책 및 변경 로그를 작성하여 변경 로그를 구성합니다. 각 변경 로그에는 연결된 변경 로그 정책이 있어야 합니다. 변경 로그는 ActiveSync에 의해 검색되고 아이디 속성을 통해 푸시되는 변경 사항 중 로그에 기록되는 하위 집합을 정의합니다. 이와 연결된 변경 로그 정책은 변경 로그 파일을 쓰는 방식을 정의합니다. 변경 로그 파일은 사용자 정의 스크립트에 사용됩니다.

변경 로그 및 변경 로그 정책을 구성하려면 구성을 선택한 후 관리자 인터페이스 메뉴 표시줄에서 변경 로그를 선택합니다.

Identity Manager는 두 개의 요약 영역으로 된 변경 로그 구성 페이지를 표시합니다.

변경 로그 구성 페이지에서 변경 로그 및 변경 로그 정책을 구성할 수 있습니다.

그림 5. 변경 로그 구성

변경 로그 정책 요약

변경 로그 정책 요약 영역에는 현재 정의된 변경 로그 정책이 표시됩니다. 기존 변경 로그 정책을 편집하려면 목록에서 해당 이름을 선택합니다. 변경 로그 정책을 작성하려면 Create Policy를 누릅니다.

하나 이상의 변경 로그 정책을 제거하려면 목록에서 선택한 후 Remove Policy를 누릅니다(이 작업은 확인할 필요가 없습니다).

변경 로그 요약

변경 로그 요약 영역에는 현재 정의된 변경 로그가 표시됩니다. 기존 변경 로그를 편집하려면 목록에서 해당 이름을 누릅니다. 변경 로그를 작성하려면 Create ChangeLog를 누릅니다.

변경 로그를 하나 이상 제거하려면 목록에서 선택한 후 Remove ChangeLog를 누릅니다(이 작업은 확인할 필요가 없습니다).

변경 로그 구성 변경 사항 저장

변경 로그 구성, 즉 변경 로그 정책 또는 정의된 변경 로그에 대한 모든 변경 사항은 변경 로그 구성 페이지에서 저장해야 합니다. Save를 눌러 변경 사항을 저장하고 Identity Manager 구성 페이지로 돌아갑니다.

변경 로그 정책 작성 및 편집

변경 로그 정책 편집 페이지에서 입력하고 선택하여 변경 로그 정책을 작성하거나 편집합니다.

확인을 눌러 변경 로그 구성 페이지로 돌아갑니다. 새 변경 로그 정책 또는 기존 정책의 변경 사항을 저장하려면 구성 페이지에서 반드시 확인을 눌러야 합니다.

변경 로그 작성 및 편집

변경 로그 편집 페이지에서 입력하고 선택하여 변경 로그를 작성하거나 편집합니다.

확인을 눌러 변경 로그 구성 페이지로 돌아갑니다. 새 변경 로그 또는 기존 변경 로그의 변경 사항을 저장하려면 구성 페이지에서 반드시 확인을 눌러야 합니다.

예제

이 예제에서는 특정 속성 데이터 집합을 캡처하도록 아이디 속성과 변경 로그를 설정하는 방법을 설명합니다.

예: 아이디 속성 정의

이 예제에서 2개의 Identity Manager 자원(자원 1 및 자원 2)이 소스 데이터를 제3의 자원(자원 3)에 제공합니다. 자원 3은 Identity Manager 시스템에 직접 연결되어 있지 않습니다. 자원 1과 자원 2에서 자원 3으로 데이터 하위 집합을 가져와서 유지 관리하려면 변경 로그가 필요합니다.

자원 1: EmployeeInfo
employeeNumber*
givenname
mi
surname
phone

자원 2: OrgInfo
employeeNum*
managerEmpNum
departmentNumber

자원 3: PhoneList
empId*
fullname
phone
department


주  *는 레코드와 상호 연관시킬 키를 나타냅니다.

아이디 속성은 다음과 같이 정의됩니다.

속성

<==

Resource.Attribute로 시작

employee

<==

EmployeeInfo.employeeNumber

dept

<==

OrgInfo.departmentNumber

reportsTo

<==

OrgInfo.managerEmpNum

firstName

<==

EmployeeInfo.givename

lastName

<==

EmployeeInfo.surname

middleInitial

<==

EmployeeInfo.mi

fullname

<==

firstName + " " + middleInitial + " " + lastName

phoneNumber

<==

EmployeeInfo.phone

예: 변경 로그 구성

아이디 속성을 정의한 후 PhoneList ChangeLog라는 변경 로그를 정의합니다. 이것은 아이디 속성의 하위 집합을 변경 로그 파일에 기록하는 데 필요합니다.

PhoneList ChangeLog의 ChangeLogView

열 이름

유형

아이디 속성

empId

텍스트

employee

fullname

텍스트

fullname

phone

텍스트

phoneNumber

자원 1이나 자원 2의 레코드가 변경되면 변경 로그 레코드의 변경 사항은 물론 전체 데이터 집합(아이디 속성의 모든 데이터)이 변경 로그에 기록됩니다. 사용자 정의 스크립트는 정보를 읽고 이 정보를 사용하여 자원 3을 채웁니다.

CSV 파일 형식

변경 로그에서 기록된 CSV(쉼표로 분리된 값) 파일 형식에 대한 자세한 내용은 이 절을 참조십시오.

변경 로그 파일은 스프레드시트나 데이터베이스 테이블과 같이 행과 열로 생각할 수 있습니다. 각 "행"은 파일의 한 줄입니다.

변경 로그 형식은 처음 두 행을 사용하여 자체 파일을 설명합니다. 이러한 두 행은 "스키마", 즉 테이블 각 "셀"(행의 쉼표 사이 값)의 논리적 이름과 논리적 유형을 정의합니다.

첫 번째 행은 파일의 속성 이름을 지정합니다. 두 번째 행은 속성 값의 유형을 설명합니다. 추가 행은 변경 이벤트에 대한 모든 데이터를 나타냅니다.

변경 로그 파일은 Java UTF-8 형식으로 인코딩됩니다.


파일의 첫 번째 열은 매우 중요합니다. 이 열은 작업 유형, 예를 들어 변경 이벤트가 생성, 수정 또는 삭제 작업인지를 정의합니다. 이 열의 이름은 항상 changeType으로 지정되며 유형 T(텍스트를 나타냄)로 표시됩니다. 값은 ADD, MOD 또는 DEL 중 하나입니다.

단 하나의 열에 항목의 고유 식별자(기본 키)가 포함되어야 합니다. 일반적으로 파일의 두 번째 열이 해당됩니다.

다른 열은 속성의 이름만을 지정합니다. 이름은 ChangeLog View 테이블의 열 이름 값을 사용합니다.

파일의 "스키마"를 정의하는 처음 두 헤더 행 다음에 나오는 나머지 행은 속성 값을 포함합니다. 값은 첫 번째 행의 열 순서로 표시됩니다. 변경 로그는 아이디 속성에서 적용되므로 변경이 검색된 시간에 사용자에 대해 알려진 모든 데이터를 포함합니다.

또한 null을 나타내는 특수 표시 값은 없거나 설정되지 않습니다. 변경이 검색될 때 값이 존재하지 않으면 변경 로그는 빈 문자열을 기록합니다.

값은 파일의 두 번째 행에 지정된 열 유형에 따라 인코딩됩니다. 지원되는 유형은 다음과 같습니다.

텍스트 값

텍스트 값은 다음 두 경우를 제외하고 문자열로 기록됩니다.

텍스트 값에는 새 줄이 포함될 수 없습니다. 파일에 새 줄이 필요할 경우는 이진 값 유형을 사용합니다.

이진 값

이진 값은 Base64로 인코딩됩니다.

다중 텍스트 값

다중 텍스트 값은 텍스트 값과 비슷하게 기록되지만 쉼표로 분리되며 대괄호([ 및 ])를 사용합니다.

다중 이진 값

다중 이진 값은 이진 값과 비슷하게 기록되지만(Base64로 인코딩됨) 쉼표로 분리되며 대괄호([ 및 ])를 사용합니다.

형식 예제

다음 예제에서는 다양한 출력 형식을 보여 줍니다. 각 예제는 다음 형식으로 구성됩니다.

column1, column2, column3, column4

각 예제의 열 3은 예제 텍스트를 나타냅니다.

변경 로그 파일 이름

파일 이름은 다음 형식으로 구성됩니다.

servername_User_timestamp.sequenceNumber.suffix

설명:

회전 및 순서 구성

회전과 순서는 ChangeLogPolicy 객체에 정의되며 변경 로그에서 참조됩니다.

예제

회전을 정의하는 정책:

회전 파일 이름은 다음과 같이 구성됩니다. (각 회전마다 두 개의 순서 파일이 생성됩니다.)

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

1월 1일은 오전 07:00:00에 시작하여 8시간 간격으로 한 3회전을 나타냅니다, 1월 2일도 비슷하지만 20060102 날짜에 해당하는 이름 부분만 다릅니다.

변경 로그 스크립트 작성

이 절에서는 변경 로그 스크립트 작성자에 유용한 내용을 설명합니다.


정책의 이해

정책 구성의 정보와 절차는 이 장을 참조하십시오.

정책이란?

Identity Manager 정책은 Identity Manager 계정 아이디, 로그인 및 비밀번호 특성용 한계를 설정하여 Identity Manager 사용자에 대한 제한을 설정할 수 있습니다.

Identity Manager 정책은 정책 페이지에서 만들고 편집합니다. 메뉴 표시줄에서 구성을 선택한 후 정책을 선택합니다. 표시된 목록 페이지에서 기존 정책을 편집하고 새 정책을 만들 수 있습니다.

정책은 다음과 같이 분류됩니다.

사전 정책

사전 정책은 Identity Manager가 단어 데이터베이스에서 비밀번호를 확인하여 단순한 사전 공격으로부터 비밀번호를 보호할 수 있도록 합니다. Identity Manager는 이 정책을 다른 정책 설정과 함께 사용하여 비밀번호의 길이와 형식을 강제 적용함으로써 사전을 사용하여 시스템에서 생성 또는 변경된 비밀번호를 알아내지 못하도록 합니다.

사전 정책을 사용하여 비밀번호 제외 목록을 설정하고 확장할 수 있습니다. (이 목록은 관리자 인터페이스 비밀번호 편집 정책 페이지의 단어 제외 옵션을 통해 구현됩니다.)

사전 정책 구성

사전 정책을 설정하려면 반드시 다음의 작업을 수행해야 합니다.

다음 단계를 따라 하십시오.

  1. 메뉴 표시줄에서 구성을 선택한 후 정책을 선택합니다.
  2. 사전 구성을 눌러 사전 구성 페이지를 표시합니다.
  3. 데이터베이스 정보를 선택하고 입력합니다.
    • 데이터베이스 유형 — 사전을 저장하는 데 사용할 데이터베이스 유형(Oracle, DB2, SQLServer 또는 MySQL)을 선택합니다.
    • 호스트 — 데이터베이스가 실행될 호스트의 이름을 입력합니다.
    • 사용자 — 데이터베이스에 연결할 때 사용할 사용자 이름을 입력합니다.
    • 비밀번호 — 데이터베이스에 연결할 때 사용할 비밀번호를 입력합니다.
    • 포트 — 데이터베이스의 수신 포트를 입력합니다.
    • 연결 URL — 연결할 때 사용할 URL을 입력합니다. 다음 서식 파일 변수를 사용할 수 있습니다.
      • %h - 호스트
      • %p - 포트
      • %d - 데이터베이스 이름
    • 드라이버 클래스 — 데이터베이스와 상호 작용할 때 사용할 JDBC 드라이버 클래스를 입력합니다.
    • 데이터베이스 이름 — 사전이 로드될 데이터베이스의 이름을 입력합니다.
    • 사전 파일 이름 — 사전을 로드할 때 사용할 파일의 이름을 입력합니다.
  4. 데이터베이스 연결을 테스트하려면 테스트를 누릅니다.
  5. 연결 테스트가 성공적으로 완료되면 단어 로드를 눌러 사전을 로드합니다.

  6. 주  로드 작업을 완료하는 데에는 몇 분 정도 걸릴 수 있습니다.

  7. 사전이 제대로 로드되었는지 확인하려면 테스트를 누릅니다.

사전 정책 구현

Identity Manager 정책 영역에서 사전 정책을 구현합니다. 정책 페이지에서 편집할 비밀번호 정책을 누릅니다. 정책 편집 페이지에서 사전 단어에 대해 비밀번호 확인 옵션을 선택합니다. 사전 정책이 구현되면 변경되거나 생성된 모든 비밀번호를 사전에서 확인합니다.


기능의 이해

기능은 Identity Manager 시스템에 있는 권한의 그룹입니다. 기능은 비밀번호 재설정 또는 사용자 계정 관리 등의 관리 직무 책임을 나타냅니다. 각 Identity Manager 관리 사용자에게는 하나 이상의 기능의 할당되며, 데이터 보호를 손상시키지 않는 한도 내에서 일련의 권한이 부여됩니다.

모든 Identity Manager 사용자에게 권한이 지정되는 것은 아니며, 오직 Identity Manager를 통하여 하나 이상의 관리 작업을 수행하는 사용자에게만 지정됩니다. 예를 들어 사용자가 자신의 비밀번호를 변경하는 경우에는 기능을 지정할 필요가 없으나, 다른 사용자의 비밀번호를 변경할 때는 기능을 지정해야 합니다.

지정된 기능에 따라 액세스할 수 있는 Identity Manager 관리자 인터페이스 영역이 달라집니다. 모든 Identity Manager 관리 사용자는 다음을 포함하여 Identity Manager의 특정 영역에 액세스할 수 있습니다.

기능 범주

Identity Manager에서는 기능을 다음과 같이 구분합니다.

내장 기능(Identity Manager 시스템과 함께 제공되는 기능)은 보호되므로 편집할 수 없습니다. 그러나 이들 기능을 새로 만드는 기능 내에서 사용할 수 있습니다.

보호된(내장) 기능은 목록에서 빨간색 열쇠(또는 빨간색 열쇠 및 폴더) 아이콘으로 표시됩니다. 만들고 편집할 수 있는 기능은 목록에서 녹색 열쇠(또는 녹색 열쇠 및 폴더) 아이콘으로 표시됩니다.

기능에 대한 작업

  1. 메뉴 표시줄에서 구성을 선택합니다.
  2. 기능을 선택하여 Identity Manager 기능 목록을 표시합니다.

기능 생성

기능을 만들려면 새로 만들기를 누릅니다.

기능 편집

보호되지 않는 기능을 편집하려면 목록에서 해당 기능을 마우스 오른쪽 버튼으로 누르고 편집을 선택합니다.


주  내장 기능은 편집할 수 없으나 다른 이름으로 저장하여 자신의 기능으로 만들거나 새로 만드는 기능 내에서 사용할 수 있습니다.

기능 저장 및 이름 변경

기능을 "복제"하려면(다른 이름으로 저장하여 새 기능을 만들려면) 다음과 같이 합니다.

복사된 기능이 보호된 경우에도 새 기능을 편집할 수 있습니다.

기능 할당

사용자 생성 및 편집 페이지에서 기능을 할당합니다.


주  관리 역할을 지정하여 사용자에게 기능을 할당할 수 있으며, 이 경우 보안 영역에서 설정합니다. 자세한 내용은 관리 역할의 이해를 참조하십시오.

기능 계층

작업 기반의 기능은 다음과 같은 기능성 기능 계층에 속하게 됩니다.

계정 관리자
관리 역할 관리자
대량 계정 관리자
대량 계정 관리자 변경
기능 관리자
계정 관리자 변경
가져오기/내보내기 관리자
로그인 관리자
조직 관리자
비밀번호 관리자(유효성 검사 필요)
정책 관리자
조정 관리자
Remedy 통합 관리자
보고서 관리자
자원 관리자
자원 객체 관리자
자원 비밀번호 관리자
역할 관리자
보안 관리자
조직 보기
자원 보기
Waveset 관리자

기능 정의

다음 표에서는 각 작업별 기능에 대해 설명하고 각 기능에서 사용할 수 있는 탭과 하위 탭을 나타냅니다.

모든 기능에서 사용자 또는 관리자는 내 비밀번호 변경내 응답 변경 하위 탭(비밀번호 탭)에 액세스할 수 있습니다.

기능

관리자/사용자에게 다음 허용:

액세스 가능한 탭 및 하위 탭:

계정 관리자

기능 할당을 포함한 사용자에 대한 모든 작업 수행. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시, 사용자 찾기, 파일로 추출, 파일에서 로드, 자원에서 로드 하위 탭

비밀번호 - 모든 하위 탭

승인 - 모든 하위 탭

작업 - 모든 하위 탭

관리 보고서 관리자

관리자 보고서 작성, 편집, 삭제 및 실행

보고서 - 보고서 관리, 보고서 실행 하위 탭(관리자 보고서만)

관리 역할 관리자

관리 역할 작성, 편집 및 삭제

구성 - 관리 역할 하위 탭

승인자

다른 사용자가 시작한 요청 승인 또는 거부

승인 - 모든 하위 탭

사용자 기능 할당

사용자 기능 할당 변경(할당 및 할당 해제)

계정 - 계정 목록 표시(편집만), 사용자 찾기 하위 탭

다른 사용자 관리 기능(예: 사용자 생성, 사용자 사용 가능하게 설정)과 함께 할당되어야 합니다.

감사 보고서 관리자

감사 보고서 작성, 편집, 삭제 및 실행

보고서 - 감사 보고서만

대량 계정 관리자

기능 할당을 포함한 사용자에 대한 주기적 대량 작업 수행

계정 - 모든 하위 탭

비밀번호 - 모든 하위 탭

승인 - 모든 하위 탭

작업 - 모든 하위 탭

대량 계정 관리자 변경

기능 할당을 포함한 사용자에 대한 주기적 대량 작업(기존 사용자 삭제 제외) 수행

계정 - 계정 목록 표시, 사용자 찾기, 대량 작업 실행 하위 탭 사용자를 만들거나 삭제할 수 없습니다.

비밀번호 - 모든 하위 탭

승인 - 모든 하위 탭

작업 - 모든 하위 탭

대량 사용자 계정 관리자 변경

기존 사용자 삭제를 제외한 주기적 대량 작업 수행

계정 - 계정 목록 표시, 사용자 찾기, 대량 작업 실행 하위 탭 사용자 생성, 삭제 또는 기능을 할당할 수 없음

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭

대량 사용자 만들기

자원 할당 및 사용자 작성 요청 시작(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(작성만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자 삭제

Identity Manager 사용자 계정 삭제, 자원 계정 관리 취소, 할당 해제 및 링크 해제(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(작성만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 IDM 사용자 삭제

기존 Identity Manager 사용자 계정 삭제(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(삭제만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자 관리 취소

기존 자원 계정 삭제 및 링크 해제(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(관리 해제만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자
비활성화

기존 사용자 및 자원 계정 사용 불가능(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(비활성화만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자 활성화

기존 사용자 및 자원 계정 사용 가능(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(활성화만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자 할당 해제

기존 자원 계정 할당 해제 및 링크 해제(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(할당 해제만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자 링크 해제

기존 자원 계정 링크 해제(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(링크 해제만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자
업데이트

기존 사용자 및 자원 계정 업데이트(개별 사용자에 대해 대량 작업 사용)

계정 - 계정 목록 표시(업데이트만), 사용자 찾기, 대량 작업 실행 하위 탭

작업 - 모든 하위 탭

대량 사용자 계정 관리자

사용자에 대한 모든 주기적 대량 작업 수행

계정 - 모든 하위 탭

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭

기능 관리자

기능 작성, 수정 및 삭제

구성 - 기능 하위 탭

계정 관리자 변경

기능 할당을 포함한 사용자에 대한 모든 작업(기존 사용자 삭제 제외) 수행. 대량 작업은 포함 안 됨

계정 - 모든 하위 탭. 사용자를 삭제할 수 없습니다.

비밀번호 - 모든 하위 탭

승인 - 모든 하위 탭

작업 - 모든 하위 탭

보고서 - 관리 및 사용자 보고서 작성, 관리 보고서 실행 및 편집, 범위 내 AuditLog 보고서 실행. 조직 범위를 벗어난 관리 및 사용자 보고서는 실행할 수 없음

Active Sync 자원 관리자 변경

Active Sync 자원 매개 변수 변경

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭

자원 - Active Sync 자원의 경우: 작업 메뉴 편집, Active Sync 매개 변수 편집

비밀번호 변경
관리자

사용자 및 자원 계정 비밀번호 변경

계정 - 계정 목록 표시, 사용자 찾기 하위 탭(비밀번호 변경만)

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭. 비밀번호 검색 내보내기 작업만(작업 실행 하위 탭)

비밀번호 변경 관리자(유효성 검사 필요)

사용자의 인증 질문 응답 유효성 검사가 성공한 후에 사용자 및 자원 계정 비밀번호 변경

계정 - 계정 목록 표시, 사용자 찾기 하위 탭(비밀번호 변경만, 작업 전에 유효성 검사 필요)

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭. 비밀번호 검색 내보내기 작업만(작업 실행 하위 탭)

자원 비밀번호 변경 관리자

자원 관리자 계정 비밀번호 변경

작업 - 모든 하위 탭

자원 - 자원 목록 표시 하위 탭 자원 비밀번호만 변경(작업 메뉴의 연결 관리-->비밀번호 변경)

사용자 계정 관리자 변경

기존 사용자 삭제를 제외한 모든 작업 수행. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시, 사용자 찾기 하위 탭. 사용자 생성, 삭제 또는 기능을 할당할 수 없음

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭

감사 구성

시스템에서 감사되는 작업 구성

구성 - 감사 이벤트 하위 탭

Active Sync 자원 관리자 제어

Active Sync 자원 상태(시작, 정지, 새로 고침 등) 제어

작업 - 작업 찾기, 모든 작업, 작업 실행

자원 - Active Sync 자원의 경우: Active Sync 작업 메뉴(모든 옵션)

사용자 생성

자원 할당 및 사용자 작성 요청 시작. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(생성만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 삭제

Identity Manager 사용자 계정 삭제, 자원 계정 관리 취소, 할당 해제 및 링크 해제. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(삭제만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

IDM 사용자 삭제

Identity Manager 사용자 계정 삭제. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(삭제만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 관리 취소

기존 자원 계정 삭제 및 링크 해제. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(관리 취소만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 비활성화

기존 사용자 및 자원 계정을 사용 불가능으로 설정. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(비활성화만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 활성화

기존 사용자 및 자원 계정 사용 가능. 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(활성화만),
사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 가져오기

정의된 자원에서 사용자 가져오기

계정 - 파일로 추출, 파일에서 로드, 자원에서 로드 하위 탭

가져오기/내보내기 관리자

모든 유형의 객체 가져오기 및 내보내기

구성 - 교환 파일 가져오기 하위 탭

라이센스 관리자

Identity System 제품 라이센스 설정

lh license 명령 액세스 제공 (이 기능에서 제공하는 관리자 인터페이스가 없음)

로그인 관리자

지정된 로그인 인터페이스의 로그인 모듈 설정 편집

구성 - 로그인 하위 탭

조직 관리자

조직 작성, 편집 및 삭제

계정 - 계정 목록 표시 하위 탭(조직과 디렉토리 접합 편집 및 생성, 조직 삭제만)

비밀번호 관리자

사용자 및 자원 계정 비밀번호 변경 및 재설정

계정 - 계정 목록 표시(비밀번호 목록 표시, 변경 및 재설정만), 사용자 찾기 하위 탭

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭

비밀번호 관리자(유효성 검사 필요)

사용자의 인증 질문 응답 유효성 검사가 성공한 후에 사용자 및 자원 계정 비밀번호 변경 및 재설정

계정 - 계정 목록 표시(비밀번호 목록 표시, 변경 및 재설정만, 작업 성공 전에 유효성 검사 필요), 사용자 찾기 하위 탭

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭

정책 관리자

정책 작성, 편집 및 삭제

구성 - 정책 하위 탭

조정 관리자

조정 정책 편집 및 조정 작업 제어

작업 - 모든 하위 탭(조정 작업 보기)

자원 - 자원 목록 표시 하위 탭

조정 보고서 관리자

조정 보고서 작성, 편집, 삭제 및 실행

보고서 - 보고서 실행(계정 색인 보고서만), 보고서 관리 하위 탭

조정 요청 관리자

조정 요청 관리

작업 - 모든 하위 탭

자원 - 자원 목록 표시 하위 탭(목록 표시 및 조정 기능만)

Remedy 통합
관리자

Remedy 통합 구성 수정

작업 - 모든 하위 탭(작업 보기, 역할 동기화 실행)

구성 - Remedy 통합 하위 탭

사용자 이름 변경

기존 사용자 및 자원 계정 이름 변경

계정 - 계정 목록 표시 하위 탭(범위 내의 모든 계정 목록 표시, 사용자 이름 변경)

보고서 관리자

감사 설정 구성 및 모든 보고서 유형 실행

작업 - 모든 하위 탭(작업 보기, 역할 동기화 실행)

보고서 - 모든 하위 탭

비밀번호 재설정 관리자

사용자 및 자원 계정 비밀번호
재설정

계정 - 계정 목록 표시, 사용자 찾기 하위 탭(비밀번호 재설정만)

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭. 비밀번호 검색 내보내기 작업만(작업 실행 하위 탭)

비밀번호 재설정 관리자(유효성 검사 필요)

사용자의 인증 질문 응답 유효성 검사가 성공한 후에 사용자 및 자원 계정 비밀번호 재설정

계정 - 계정 목록 표시, 사용자 찾기 하위 탭(비밀번호 재설정만, 작업 성공 전에 유효성 검사 필요)

비밀번호 - 모든 하위 탭

작업 - 모든 하위 탭. 비밀번호 검색 내보내기 작업만(작업 실행 하위 탭)

자원 비밀번호 재설정 관리자

자원 관리자 계정 비밀번호 재설정

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭

자원 - 자원 목록 표시 하위 탭 자원 비밀번호 재설정만(작업 메뉴의 연결 관리
-->비밀번호 재설정
)

자원 관리자

자원 작성, 수정 및 삭제

보고서 - 자원 사용자 보고서, 자원 그룹 보고서가 자원 범위를 벗어날 경우 오류 생성

자원 - 자원 목록 표시 하위 탭(전역 정책 편집, 매개 변수, 자원 그룹 편집. 연결 또는 자원 객체를 관리할 수 없음)

자원 그룹 관리자

자원 그룹 작성, 편집 및 삭제

자원 - 자원 그룹 목록 표시 하위 탭

자원 객체 관리자

자원 객체 작성, 수정 및 삭제

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭(자원 객체 관련 작업 보기)

자원 - 자원 목록 표시 하위 탭(자원 객체 목록 표시 및 관리만)

자원 비밀번호
관리자

자원 프록시 계정 비밀번호 변경 및 재설정

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭

자원 - 자원 목록 표시 하위 탭 자원 비밀번호만 변경(작업 메뉴의 연결 관리-->비밀번호 변경)

자원 보고서 관리자

자원 보고서 작성, 편집, 삭제 및 실행

보고서 - 모든 하위 탭(자원 보고서만)

위험 분석 관리자

위험 분석 작성, 편집, 삭제 및 실행

위험 분석 - 모든 하위 탭

역할 관리자

역할 작성, 수정 및 삭제

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭(역할 동기화)

역할 - 모든 하위 탭

역할 보고서 관리자

자원 보고서 작성, 편집, 삭제 및 실행

보고서 - 역할 보고서만

관리자 보고서 실행

관리자 보고서 실행

보고서 - 관리자 보고서만

감사 보고서 실행

감사 보고서 실행

보고서 - AuditLog 및 사용량 보고서만

조정 보고서 실행

조정 보고서 실행

보고서 - AuditLog 및 사용량 보고서만

자원 보고서 실행

자원 보고서 실행

보고서 - AuditLog 및 사용량 보고서만

위험 분석 실행

위험 분석 실행

 

역할 보고서 실행

역할 보고서 실행

보고서 - 역할 보고서만

작업 보고서 실행

작업 보고서 실행

보고서 - 작업 보고서만

사용자 보고서 실행

사용자 보고서 실행

보고서 - 사용자 보고서만

보안 관리자

기능이 할당된 사용자 작성 및 암호화 키, 로그인 구성, 정책 관리

계정 - 계정 목록 표시(비밀번호 삭제, 생성, 업데이트, 편집, 변경 및 편집), 사용자 찾기 하위 탭(감사 보고서)

비밀번호 - 모든 하위 탭

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭

보고서 - 모든 하위 탭

자원 - 자원 목록 표시(자원 객체 목록 표시 및 제어)

구성 - 정책, 로그인 하위 탭

작업 보고서 관리자

작업 보고서 작성, 편집, 삭제 및 실행

보고서 - 작업 보고서 작성 및 관리

사용자 할당 해제

자원 계정 할당 해제 및 링크 해제 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(할당 해제만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 링크 해제

기존 자원 계정 링크 해제 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(링크 해제만), 사용자 찾기 하위 탭

작업 - 모든 하위 탭

사용자 잠금 해제

잠금 해제를 지원하는 기존 사용자 자원 계정 잠금 해제 대량 작업은 포함 안 됨

계정 - 계정 목록 표시(잠금 해제만), 사용자 찾기 하위 탭

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭

사용자 업데이트

기존 사용자 편집 및 사용자 업데이트 요청 시작

계정 - 사용자 편집 및 업데이트

작업 - 기존 작업 관리(모든 작업 하위 탭)

사용자 계정 관리자

사용자에 대한 모든 작업

계정 - 계정 목록 표시, 사용자 찾기, 파일로 추출, 파일에서 로드, 자원에서 로드 하위 탭. 사용자 기능을 할당할 수 없음(계정 목록 표시 하위 탭의 보안 양식 탭)

작업 - 작업 찾기, 모든 작업, 작업 실행 하위 탭

사용자 보고서
관리자

사용자 보고서 작성, 편집, 삭제 및 실행

보고서 - 사용자 보고서 실행

사용자 보기

개인 사용자 세부 정보 보기

계정 - 목록에서 사용자를 선택하여 개별 사용자 계정 정보 표시 변경 작업은 허용되지 않습니다.

Waveset 관리자

시스템 구성 객체 수정 등 시스템 전체에 대한 작업 수행

작업 - 모든 하위 탭. 역할 동기화, 소스 어댑터 서식 파일 편집 및 보고서 예약

보고서 - 모든 하위 탭

자원 - 자원 목록 표시(목폭 표시만, 변경 작업은 허용되지 않음)

구성 - 감사 이벤트, 전자 메일 서식 파일, 양식 및 프로세스 매핑 하위 탭

표 1. Identity Manager 기능 설명


관리 역할의 이해

관리 역할을 통해 관리자에 의해 관리되는 각 조직 세트에 대한 고유 기능 세트를 할당할 수 있습니다. 관리 역할은 지정된 기능과 제어된 조직으로 관리 사용자에게 할당할 수 있습니다.

다음과 같이 관리 역할에 기능 및 조직을 할당할 수 있습니다.

각 사용자에게 하나 이상의 관리 역할을 할당할 수 있습니다. 관리 역할은 한 명 이상의 사용자에게 할당할 수 있습니다.

사용자 관리 역할

Identity Manager에는 "사용자"라는 내장 관리 역할이 포함되어 있습니다. 기본적으로 이 역할은 기능이나 제어된 조직 할당을 포함하지 않으며 삭제할 수 없습니다. 이 관리 역할은 로그인 시 모든 사용자(최종 사용자 및 관리자)에게 암시적으로 할당됩니다.

관리자 인터페이스를 통해 사용자 관리 역할을 편집할 수 있습니다. 구성, 관리 역할을 차례로 선택합니다.

이 관리 역할을 통해 정적으로 할당된 모든 기능 또는 제어된 조직이 모든 사용자에게 지정되므로 규칙을 통해 기능 및 제어된 조직을 할당하는 것이 좋습니다. 그러면 여러 사용자에게 서로 다른 기능을 할당하거나 기능을 할당하지 않을 수 있습니다. 사용자가 누구인지, 어느 부서 소속인지 또는 규칙 컨텍스트 내에서 쿼리할 수 있는 관리자인지 등의 요소에 따라 할당 범위가 결정됩니다.

사용자 관리 역할은 작업 흐름에서 사용된 authorized=true 플래그를 무시하거나 교체하지 않습니다. 이 플래그는 작업 흐름이 실행 중인 경우를 제외하고 작업 흐름에서 액세스하는 객체에 대한 액세스 권한이 사용자에게 없어도 되는 경우에도 적합합니다. 기본적으로 이 플래그를 통해 사용자는 "수퍼유저로 실행" 모드로 들어갑니다.

그러나 사용자에게 작업 흐름 외부 및 잠재적 내부의 객체 하나 이상에 대한 특정 액세스 권한이 있어야 하는 경우에는 사용자 관리 역할을 통해 기능 및 제어된 조직을 동적으로 할당하면 해당 객체에 대한 세밀한 동적 권한을 부여할 수 있습니다.

예제

다음 예제에서는 동적 환경에서 사용자 관리 역할을 사용하는 방법을 설명합니다.

  1. 2개의 Active Directory 조직 단위 생성:
    • "Chicago Cubs" && "New York Yankees"
  2. 다음 속성 설정으로 각 조직 단위에 3명의 Active Directory 사용자 생성:
    • Chicago Cubs:
      • Dusty Baker (title = 'manager', manager = '')
      • Kerry Woods (title = 'pitcher', manager = 'Dusty Baker')
      • Mark Prior (title = 'pitcher', manager = 'Dusty Baker')
    • New York Yankees
      • Joe Torre (title = 'manager', manager = '')
      • Alex Rodriguiz (title = '3rd', manager = 'Joe Torre')
      • Derek Jeter (title = 'shortstop', manager = 'Joe Torre')
  3. 사용자 관리 역할에 다음 규칙 지정:
    • capabilitesRule ==> If Team Manager Assign Account Admin Capability
    • controlledOrganizationsRule ==> If Team Manager Assign Control of My Team
  4. "My Team"이라는 Identity Manager 조직 생성 및 지정:
    • userMembersRule ==> Get My Team

사용자가 로그인한 경우:

이 설정을 사용하면 사용자 인터페이스에 로그인한 관리자가 직원을 관리하고 직원이 사용자 인터페이스에 로그인한 경우 관리 기능을 수행하지 못하도록 할 수 있습니다.

관리 역할 작성 및 편집

관리 역할을 만들거나 편집하려면 반드시 관리 역할 관리자 기능이 지정되어야 합니다. 관리 역할 영역에 액세스하려면 구성을 누른 후 관리 역할을 누릅니다. 관리 역할 목록 페이지에서 Identity Manager의 관리 역할을 생성, 편집 및 삭제할 수 있습니다.

기존 관리 역할을 편집하려면 목록에서 이름을 누릅니다. New를 눌러 관리 역할을 작성합니다. Identity Manager에 관리 역할 작성 페이지가 표시되면 새 관리 역할의 기능과 범위를 지정합니다.

관리 역할 생성 페이지를 사용하여 관리 역할을 설정합니다.

그림 8. 관리 역할: 생성 페이지

제어된 조직 범위 설정

관리 역할에 포함된 각 직접 지정되고 관리된 조직에 대하여 사용자가 작업할 수 있는 객체의 범위를 정의할 수 있습니다. 사용자가 제어하는 각 조직에서 일반적으로 사용할 수 있는 객체를 하나 이상 포함하거나 제외하도록 선택할 수 있습니다.

예를 들어 조직내의 특정 자원에 대한 광범위한 자원을 포함하는 조직에서 사용자를 생성, 업데이트 및 삭제할 수 있는 사용자의 경우, 해당 사용자의 액세스를 제한하도록 할 수 있습니다. 이렇게 하려면 다음 특성을 포함하여 관리 역할을 만듭니다.

이렇게 하려면 관리 역할 생성 페이지의 포함/제외할 객체 선택 영역에서 항목을 선택합니다.

관리 역할에 대하여 객체를 하나 이상 포함하거나 제외할 수 있습니다.

그림 9. 관리 역할: 제어된 조직용 포함/제외 선택

동일한 항목을 포함 및 제외 목록 모두에 포함하는 경우 해당 항목은 관리 역할에서 제외됩니다.

관리 역할에 사용자 양식 할당

사용자 양식을 관리 역할의 속성으로 지정할 수 있습니다. 관리 역할이 할당된 관리자가 해당 관리 역할로 제어되는 조직에서 사용자를 생성하거나 편집할 때 이 사용자 양식을 사용합니다. 관리 역할을 통해 할당된 사용자 양식은 관리자가 구성원인 조직에서 상속된 모든 사용자 양식을 대체합니다. 그러나 관리자에게 직접 할당된 사용자 양식은 대체하지 않습니다.

사용자를 편집할 때 사용할 사용자 양식은 다음과 같은 우선 순위로 결정됩니다.

관리자에게 할당된 둘 이상의 관리 역할이 동일한 조직을 제어하지만 서로 다른 사용자 양식을 지정하는 경우에 관리자가 해당 조직에 사용자를 생성하거나 편집하려고 하면 오류가 표시됩니다. 관리자가 동일한 조직을 제어하지만 서로 다른 사용자 양식을 지정하는 관리 역할을 둘 이상 할당하려고 하면 오류가 표시됩니다. 충돌이 해결될 때까지 변경 사항을 저장할 수 없습니다.

기능 규칙 및 제어된 조직 규칙

다음 예는 관리 역할이 지정된 사용자에게 부여된 지정된 기능 또는 제어된 조직을 동적으로 제어할 수 있는 기능 규칙 또는 제어된 조직 규칙을 설정하는 방법입니다.


주  Identity Manager에서 규칙을 작성하고 작업하는 방법에 대한 자세한 내용은 Identity Manager Deployment Tools를 참조하십시오.

기능 규칙: 주요 정의 및 포함 내용

기능 규칙 예제

<?xml version='1.0' encoding='UTF-8'?>

<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>

<Rule authType='CapabilitiesRule' name='If Manager'>

   <block>

      <defvar name='user groups'>

         <get>

            <invoke name='getResourceObject'               class='com.waveset.ui.FormUtil'>

         <ref>context</ref>

            <s>ranger-AD</s>

            <s>User</s>

         <ref>accountInfo.accounts[ranger-AD].accountId</ref>

         <map>

            <s>searchAttrsToGet</s>

               <list>

            <s>memberOf</s>

               </List>

         </map>

         </invoke>

            <s>user.attributes.memberOf</s>

         </get>

      </defvar>

   <cond>

      <contains>

         <ref>user groups</ref>

            <s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>

      </contains>

      <list>

         <s>Login Administrator</s>

         <s>Resource Administrator</s>

      </List>

   </cond>

   </block>

   <MemberObjectGroups>

      <ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset'        name='Waveset'/>

   </MemberObjectGroups>

</Rule>

제어된 조직 규칙: 주요 정의

제어된 조직 규칙 예제

<?xml version='1.0' encoding='UTF-8'?>

<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>

<Rule authType='ControlledOrganizationsRule' name='Get managed departments'>

   <block>

      <defvar name='user groups'>

         <get>

            <invoke name='getResourceObject'               class='com.waveset.ui.FormUtil'>

            <ref>context</ref>

               <s>ranger-AD</s>

               <s>User</s>

            <ref>accountInfo.accounts[ranger-AD].accountId</ref>

            <map>

               <s>searchAttrsToGet</s>

            <list>

               <s>memberOf</s>

            </List>

            </map>

         </invoke>

            <s>user.attributes.memberOf</s>

         </get>

      </defvar>

   <cond>

      <contains>

      <ref>user groups</ref>

         <s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>

   </contains>

      <list>

         <s>Waveset</s>

      </List>

     </cond>

   </block>

   <MemberObjectGroups>

   <ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset'        name='Waveset'/>

   </MemberObjectGroups>

</Rule>


전자 메일 서식 파일의 이해

Identity Manager는 전자 메일 서식 파일을 사용하여 사용자와 승인자에게 정보를 전달하고 조치를 요청합니다. 시스템에는 다음의 서식 파일이 있습니다.

전자 메일 서식 파일 사용자 정의

전자 메일 서식 파일을 사용자 정의하여 수신자에게 작업을 완료하거나 결과를 확인하는 구체적인 방법을 알릴 수 있습니다. 예를 들어, 다음과 같이 승인자에게 계정 승인 페이지를 안내하도록 계정 작성 승인 서식 파일을 사용자 정의할 수 있습니다.

$(fullname)의 계정을 승인하려면 http://host.example.com:8080/idm/approval/approval.jsp로 이동하십시오.

계정 생성 승인 서식 파일을 사용자 정의하려면 다음과 같이 합니다.

  1. 메뉴 표시줄에서 구성을 선택합니다.
  2. 구성 페이지에서 전자 메일 서식 파일을 선택합니다.
  3. 계정 생성 승인 서식 파일을 눌러 선택합니다.

  4. 전자 메일 서식 파일 편집 페이지에서 작업이 발생할 때 전자 메일을 받는 사람과 조직에 대한 세부 사항을 사용자 정의합니다.

    그림 10. 전자 메일 서식 파일 사용자 정의

  5. 서식 파일의 세부 내용을 입력합니다.
    • SMTP 호스트 필드에 전자 메일 알림을 보낼 수 있는 SMTP 서버 이름을 입력합니다.
    • From 필드에서 발송 전자 메일 주소를 사용자 정의합니다.
    • To 및 Cc 필드에 하나 이상의 전자 메일 주소, 또는 Identity Manager 계정을 전자 메일 알림 수신인으로 입력합니다.
    • Email Body 필드에서 자신의 Identity Manager 위치를 가리키도록 컨텐트를 사용자 정의합니다.
  6. Save를 누릅니다.

  7. 주  또한 Business Process Editor(BPE)를 사용하여 전자 메일 서식 파일을 수정할 수 있습니다. BPE에 대한 자세한 내용은 Identity Manager Deployment Tools를 참조하십시오.

전자 메일 서식 파일의 HTML 및 링크

전자 메일 서식 파일의 본문에 HTML 형식 컨텐트를 삽입하여 전자 메일 메시지의 본문에 표시할 수 있습니다. 컨텐트에는 텍스트, 그래픽 및 정보에 대한 웹 링크가 포함될 수 있습니다. HTML 형식 컨텐트를 사용하려면 HTML 사용 가능 옵션을 선택합니다.

전자 메일 본문에서 사용 가능한 변수

$(Name)의 형식으로 전자 메일 서식 파일 본문에 변수에 대한 참조를 추가할 수 있습니다. 예: 사용자의 비밀번호 $(password)가 복원되었습니다.

각 서식 파일에서 사용할 수 있는 변수는 다음과 같습니다.

서식 파일

사용 가능한 변수

비밀번호 재설정

$(password): 새로 생성된 비밀번호

업데이트 승인

$(fullname): 사용자의 전체 이름

$(role): 사용자의 역할

업데이트 알림

$(fullname): 사용자의 전체 이름

$(role): 사용자의 역할

보고서

$(report): 생성된 보고서

$(id): 작업 인스턴스의 인코딩된 아이디

$(timestamp): 전자 메일이 발송된 시간

자원 요청

$(fullname): 사용자의 전체 이름

$(resource): 자원 유형

위험 분석

$(report): 위험 분석 보고서

임시 비밀번호 재설정

$(password): 새로 생성된 비밀번호

$(expiry): 비밀번호 만료일

표 2. 전자 메일 서식 파일 변수


감사 그룹 구성

감사 구성 그룹을 설정하면 선택한 시스템 이벤트에 대해 기록하고 보고할 수 있습니다.

감사 구성 그룹을 구성하려면 메뉴 표시줄에서 구성을 선택한 후 감사 이벤트를 선택합니다.

감사 이벤트 페이지에는 하나 이상의 이벤트를 포함할 수 있는 감사 구성 그룹 목록이 표시됩니다. 각 그룹의 경우 성공한 이벤트, 실패한 이벤트 또는 두 가지 모두를 기록할 수 있습니다.

감사 구성 그룹 편집 페이지를 표시하려면 목록에서 감사 구성 그룹을 누릅니다. 이 페이지에서는 시스템 감사 로그에서 감사 구성 그룹의 일부로 기록할 감사 이벤트의 유형을 선택합니다.

감사 구성 그룹의 이벤트 편집

그룹의 이벤트를 편집하려면 객체 유형에 대한 작업을 추가하거나 삭제합니다. 이를 수행하려면 작업 열에 있는 항목을 사용 가능 영역에서 해당 객체 유형의 선택 항목 영역으로 이동한 다음 확인을 누릅니다.

감사 구성 그룹에 이벤트 추가

그룹에 이벤트를 추가하려면 새로 만들기를 누릅니다. 페이지 아래에 이벤트가 추가됩니다. 객체 유형 열에 있는 목록에서 객체 유형을 선택하고 작업 열에 있는 하나 이상의 항목을 사용 가능 영역에서 새 객체 유형의 선택 항목 영역으로 옮깁니다. 확인을 누르면 그룹에 이벤트가 추가됩니다.


Remedy 통합

Identity Manager를 Remedy 서버와 통합하여 지정된 서식 파일에 따라 Remedy 티켓을 전송할 수 있습니다.

관리자 인터페이스의 두 가지 영역에서 Remedy 통합을 설정합니다.

Remedy 티켓의 생성은 Identity Manager 작업 흐름을 통하여 구성됩니다. 기본 설정에 따라 적절한 시간에 정의된 서식 파일을 사용하는 호출이 수행되어 Remedy 티켓을 열 수 있습니다. 작업 흐름 구성에 대한 자세한 내용은 Identity Manager Workflows, Forms, and Views를 참조하십시오.


Identity Manager 서버 설정 구성

Identity Manager 서버가 특정 작업만을 실행하도록 서버별 설정을 편집할 수 있습니다. 이렇게 하려면 구성을 선택한 후 서버를 선택합니다.

개별 서버의 설정을 편집하려면 서버 구성 페이지의 목록에서 서버를 선택합니다. Identity Manager에 조정자와 스케줄러 설정을 편집할 수 있는 서버 설정 편집 페이지가 표시됩니다.

조정자 설정

기본적으로 조정자 설정은 서버 설정 편집 페이지에 표시됩니다. 기본값을 그대로 사용하거나, 기본값 사용 옵션의 선택을 취소하고 다음과 같이 값을 지정할 수 있습니다.

스케줄러 설정

스케줄러 옵션을 표시하려면 서버 설정 편집 페이지에서 스케줄러를 누릅니다. 기본값을 그대로 사용하거나, 기본값 사용 옵션의 선택을 취소하고 다음과 같이 값을 지정할 수 있습니다.

서버 설정의 변경 사항을 저장하려면 저장을 누릅니다.

기본 서버 설정 편집

기본 서버 설정 기능을 사용하면 모든 Identity Manager 서버에 대한 기본 설정을 설정할 수 있습니다. 개별 서버 설정 페이지에서 다른 설정을 선택하지 않으면 서버는 기본 설정을 상속합니다. 기본 설정을 편집하려면 기본 서버 설정 편집을 누릅니다. 기본 서버 설정 편집 페이지에는 개별 서버 설정 페이지와 동일한 옵션이 표시됩니다.

해당 설정에 대해 기본값 사용 옵션을 선택하지 않는 한 각 기본 서버 설정에 대한 변경 사항이 해당 개별 서버 설정에 전파됩니다.

서버 설정의 변경 사항을 저장하려면 저장을 누릅니다.


서명된 승인

다음 정보와 절차를 사용하여 디지털 서명된 승인을 설정할 수 있습니다. 다음 작업에 대한 단계와 예제가 제공됩니다.

서명된 승인 구성

다음 단계에 따라 서명된 승인을 구성합니다.

서버측 구성

서버측 구성을 사용하려면 다음을 수행합니다.

  1. 시스템 구성에서 security.nonrepudiation.signedApprovals=true를 설정합니다.
  2. 인증 기관(CA)의 인증서를 신뢰된 인증서로 추가합니다. 이렇게 하려면 먼저 인증서 사본이 있어야 합니다.
  3. 예를 들어 Microsoft CA를 사용할 경우 다음과 같은 단계를 수행합니다.

    1. http://IPAddress/certsrv로 이동하여 관리 권한으로 로그인합니다.
    2. CA 인증서 또는 인증서 해지 목록 검색을 선택한 후 다음을 누릅니다.
    3. CA 인증서를 다운로드하여 저장합니다.
  4. 인증서를 Identity Manager에 신뢰된 인증서로 추가합니다.
    1. 관리자 인터페이스에서 구성, 인증서를 차례로 선택합니다. Identity Manager가 Certificates 페이지를 표시합니다.

    2. Certificates 영역에서 신뢰된 CA 인증서 및 CRL을 설정할 수 있습니다.

      그림 11. 인증서

    3. Trusted CA Certificates 영역에서 Add를 누릅니다. Identity Manager가 인증서 가져오기 페이지를 표시합니다.
    4. 신뢰된 인증서를 찾아서 선택한 다음 Import를 누릅니다.
    5. 이제 인증서가 신뢰된 인증서 목록에 표시됩니다.

  5. CA의 CRL(인증서 해지 목록)을 추가합니다.
    1. Certificates 페이지의 CRLs 영역에서 Add를 누릅니다.
    2. CA의 CRL에 대한 URL을 입력합니다.

    3. 참고:

    4. CRL(인증서 해지 목록)은 해지되었거나 유효하지 않은 인증서 일련 번호의 목록입니다.
    5. CA CRL의 URL에는 http 또는 LDAP를 사용할 수 있습니다.
    6. 각 CA에는 CRL이 배포된 서로 다른 URL이 있으므로 CA 인증서의 CRL 배포 지점 확장자를 찾아서 이 URL을 확인할 수 있습니다.
  6. Test Connection을 눌러 URL을 확인합니다.
  7. Save를 누릅니다.
  8. jarsigner를 사용하여 applets/ts1.jar에 서명합니다.

  9. 주  자세한 내용은 http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html을 참조하십시오. Identity Manager로 제공된 ts1.jar 파일은 자체 서명 인증서를 사용하여 서명하고 프로덕션 시스템에 대해서는 사용하면 안 됩니다. 프로덕션 환경에서 이 파일은 신뢰된 CA에서 발급한 코드 서명 인증서를 사용하여 다시 서명해야 합니다.

클라이언트측 구성

다음 단계에 따라 클라이언트측 구성을 사용하도록 설정합니다.

전제 조건

클라이언트 시스템에는 JRE 1.4 이상이 설치된 웹 브라우저가 실행되고 있어야 합니다.

절차

인증서와 개인 키를 얻은 다음 PKCS#12 키 저장소로 내보냅니다.

예를 들어 Microsoft CA를 사용할 경우 다음과 같은 단계를 수행합니다.

  1. Internet Explorer를 통해 http://IPAddress/certsrv로 이동하여 관리 권한으로 로그인합니다.
  2. 인증서 요청을 선택하고 다음을 누릅니다.
  3. 고급 요청을 선택한 후 다음을 누릅니다.
  4. 다음을 누릅니다.
  5. 인증서 서식 파일용 사용자를 선택합니다.
  6. 다음 옵션을 선택합니다.
    1. 키를 내보내기 가능으로 표시
    2. 강력한 키 보호 사용
    3. 로컬 시스템 저장소 사용
  7. 제출, 확인을 차례로 누릅니다.
  8. 이 인증서 설치를 누릅니다.
  9. 실행 —> mmc를 선택하여 mmc를 실행합니다.
  10. 인증서 스냅인을 추가합니다.
    1. 콘솔 —> 스냅인 추가/제거를 선택합니다.
    2. 추가...를 누릅니다.
    3. 컴퓨터 계정을 선택합니다.
    4. 다음, 마침을 차례로 누릅니다.
    5. 닫기를 누릅니다.
    6. 확인을 누릅니다.
    7. 인증서—>개인—>인증서로 이동합니다.
    8. 관리자 모든 작업->내보내기를 마우스 오른쪽 단추로 누릅니다.
    9. 다음을 누릅니다.
    10. 다음을 눌러 개인 키 내보내기를 확인합니다.
    11. 다음을 누릅니다.
    12. 비밀번호를 입력한 후 다음을 누릅니다.
    13. CertificateLocation을 지정합니다.
    14. 다음, 마침을 차례로 누릅니다. 확인을 눌러 확인합니다.

승인 서명

다음 단계에 따라 승인에 서명합니다.

  1. Identity Manager 관리자 인터페이스에서 승인을 선택합니다.
  2. 목록에서 승인을 선택합니다.
  3. 승인에 대한 설명을 입력한 다음 승인을 누릅니다.
  4. Identity Manager가 애플릿을 신뢰할지 여부를 묻는 메시지를 표시합니다.

  5. 항상을 누릅니다.
  6. Identity Manager가 날짜가 지정된 승인 요약을 표시합니다.

  7. 입력하거나 찾아보기를 눌러 키 저장소 위치(서버측 구성 절차의 단계 10m에서 입력한 위치)를 찾습니다.
  8. 키 저장소 비밀번호(서버측 구성 절차의 단계 10l에서 입력한 비밀번호)를 입력합니다.
  9. 서명을 눌러 요청을 승인합니다.

후속 승인 서명

승인에 서명한 후 후속 승인 작업 시에는 키 저장소 비밀번호를 입력한 다음 서명을 누르면 됩니다. (Identity Manager가 이전 승인의 키 저장소 위치를 기억해야 합니다.)

트랜잭션 서명 보기

다음 단계에 따라 Identity Manager AuditLog 보고서에서 트랜잭션 서명을 봅니다.

  1. Identity Manager 관리자 인터페이스에서 보고서를 선택합니다.
  2. 보고서 실행 페이지의 새로 만들기... 옵션 목록에서 AuditLog 보고서를 선택합니다.
  3. 보고서 제목 필드에 제목을 입력합니다(예: "승인").
  4. 조직 선택 영역에서 모든 조직을 선택합니다.
  5. 작업 옵션, 승인을 차례로 선택합니다.
  6. 저장을 눌러 보고서를 저장하고 보고서 실행 페이지로 돌아갑니다.
  7. 승인 보고서를 실행하려면 실행을 누릅니다.
  8. 다음과 같은 트랜잭션 서명 정보를 보려면 세부 정보 링크를 누릅니다.
    • 발행자
    • 대상
    • 인증서 일련 번호
    • 서명된 메시지
    • 서명
    • 서명 알고리즘


이전      목차      다음     


Copyright 2006 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.