|
| |
| Sun Java System Identity Manager 2005Q4M3 관리 | |
3
사용자 및 계정 관리
이 장에서는 Identity Manager 관리자 인터페이스에서 사용자를 관리하기 위한 정보와 절차를 설명합니다. 다음과 같이 Identity Manager 사용자 및 계정 관리 작업에 대해 설명합니다.
사용자 계정 데이터사용자는 Identity Manager 시스템 계정이 있는 모든 사람입니다. Identity Manager는 각 사용자에 대한 다양한 데이터를 저장합니다. 이 정보가 모여 사용자의 Identity Manager 아이디를 구성합니다.
관리자 인터페이스의 사용자 생성 페이지(계정 탭)에서 보는 바와 같이 Identity Manager에서는 사용자 데이터를 다음과 같이 네 가지 영역으로 분류합니다.
아이디
Identity 영역에서는 사용자의 계정 아이디, 이름, 연락처 정보, 관리 조직 및 Identity Manager 계정 비밀번호를 정의합니다. 또한 사용자가 액세스할 수 있는 자원과 각 자원 계정을 구성하는 비밀번호 정책을 식별합니다.
주 계정 비밀번호 정책의 설정에 대한 자세한 내용은 이 장의 비밀번호 정책 설정 절을 참조하십시오.
다음 그림은 Create User 페이지의 Identity 영역입니다.
그림 1. 사용자 생성 - 아이디
할당
Assignments 영역에서는 자원 등과 같은 Identity Manager 객체에 대한 액세스에 제한을 설정합니다.
Assignments 양식 탭을 눌러 다음을 설정합니다.
보안
Identity Manager에서 사용하는 용어로, 확장 기능이 할당된 사용자를 Identity Manager 관리자라고 합니다. Security 영역에서는 다음을 할당하여 사용자에 대해 이러한 확장된 관리 기능을 설정합니다.
- Admin roles — 고유한 기능 세트와 제어된 조직을 결합하여 관리 사용자에게 쉽게 할당할 수 있습니다.
- Capabilities — Identity Manager 시스템에서 권한을 활성화합니다. 각 Identity Manager 관리자에게는 하나 이상의 기능이 할당되어 있습니다. 대부분 직무 책임에 따라 정렬됩니다.
- Controlled organizations — 이 사용자가 관리자로서 관리할 권한을 갖는 조직을 할당합니다. 이 관리자는 할당된 조직과 계층상 이 조직의 하위에 있는 모든 조직의 객체를 관리할 수 있습니다.
그림 2. 사용자 생성 - 보안
속성
Attributes 영역은 할당된 자원과 연관된 계정 속성을 정의합니다. 나열된 속성은 할당된 자원에 따라 분류되며 할당된 자원에 따라 다릅니다.
그림 3. 사용자 생성 - 속성
계정 영역Identity Manager 계정 영역에서 Identity Manager 사용자를 관리할 수 있습니다. 이 영역에 액세스하려면 관리자 인터페이스에서 계정을 선택합니다.
계정 목록에 모든 Identity Manager 사용자 계정이 표시됩니다. 계정은 조직과 가상 조직으로 그룹화되며, 이는 폴더에서 계층적으로 표현됩니다.
계정 목록을 전체 이름, 사용자 성 또는 사용자 이름으로 정렬할 수 있습니다.
열을 기준으로 정렬하려면 제목 줄을 누릅니다. 같은 제목 줄을 다시 누르면 오름차순 또는 내림차순으로 전환됩니다.
주 전체 이름(이름 열)을 기준으로 정렬하면 계층의 모든 항목이 모든 수준에서 알파벳 순으로 정렬됩니다.
계층적 보기를 확장하여 조직의 계정을 보려면 폴더 옆에 있는 삼각형 표시기를 누릅니다. 보기를 축소하려면 표시기를 다시 누릅니다.
그림 4. 계정 목록
계정 영역의 작업 목록
작업 목록(계정 영역의 위쪽과 아래쪽에 위치)을 사용하여 다양한 작업을 수행할 수 있습니다. 작업 목록 선택 항목은 다음과 같습니다.
계정 영역에서 검색
계정 영역 검색 기능을 사용하여 사용자 및 조직의 위치를 찾습니다. 목록에서 Organizations 또는 Users를 선택하고 검색 영역에 하나 이상의 문자를 입력한 다음 Search를 누릅니다.
사용자 계정 상태
사용자 계정 옆에 표시된 아이콘은 현재 지정된 계정 상태를 표시합니다.
사용자 계정 작업관리자 인터페이스 계정 영역에서 해당 시스템 객체에 대해 다양한 작업을 수행할 수 있습니다.
사용자
보기
사용자의 계정 세부 내용을 보려면 목록에서 사용자를 선택한 다음 사용자 작업 목록에서 보기를 선택합니다.
사용자 보기 페이지에는 사용자를 편집하거나 작성할 때 선택한 아이디, 할당, 보안 및 속성 정보의 하위 집합이 표시됩니다. 사용자 보기 페이지의 정보는 편집할 수 없습니다. 계정 목록으로 돌아가려면 취소를 누릅니다.
생성(새 작업 목록, 새 사용자 선택)
사용자 계정을 만들려면 새 작업 목록에서 새 사용자를 선택합니다.
팁 최상위가 아닌 다른 조직에 사용자를 만들려면 조직 폴더를 선택한 다음 새 작업 목록에서 새 사용자를 선택합니다.
한 영역에서 사용 가능한 선택 내용은 다른 영역에서 선택하는 내용에 따라 달라집니다.
사용자 생성 페이지(사용자 양식이라고도 함)는 여러 페이지로 구성되어 있으며 다음의 사용자 정보를 설정할 수 있습니다.
양식 탭을 눌러 사용자 생성 페이지 내에서 이동합니다. 양식 탭은 순서에 상관 없이 이동할 수 있습니다. 선택을 완료했으면 두 가지 옵션을 사용하여 사용자 계정을 저장할 수 있습니다.
팁 상태 표시에 표시된 사용자 아이콘 위로 마우스를 옮기면 백그라운드로 저장되는 프로세스의 세부 내용을 볼 수 있습니다.
복수 사용자 계정(아이디) 생성
단일 자원에 대하여 여러 개의 사용자 계정을 만들 수 있습니다. 사용자를 만들고(또는 편집하고) 하나 이상의 사용자 자원을 할당할 때, 해당 자원에 대해 추가 계정을 요청하고 정의할 수도 있습니다.
편집
계정 정보를 편집하려면 다음 작업 중 한 가지를 선택합니다.
변경을 수행하고 저장하면 Identity Manager에 자원 계정 업데이트 페이지가 표시됩니다. 이 페이지에는 사용자에게 지정된 자원 계정과 계정에 적용될 변경 사항이 표시됩니다. 모든 지정된 자원에 변경 사항을 적용하려면 Update All resource accounts를 선택하거나, 업데이트할 사용자에 연결된 자원 계정을 하나 또는 여러 개 개별적으로 선택합니다.
그림 5. 사용자 편집(자원 계정 업데이트)
Save를 다시 눌러 편집을 완료하거나 Return to Edit을 눌러 변경을 계속합니다.
사용자 이동(사용자 작업)
사용자의 조직 변경 작업을 사용하면 사용자를 현재 할당된 조직에서 제거한 다음 재할당하거나 사용자를 새 조직으로 이동할 수 있습니다.
사용자를 다른 조직으로 이동하려면 목록에서 하나 이상의 사용자 계정을 선택한 다음 사용자 작업 목록에서 이동을 선택합니다.
이름 변경(사용자 작업)
일반적으로 자원에서 계정의 이름을 변경하는 작업은 복잡합니다. 이 때문에 Identity Manager는 사용자의 Identity Manager 계정이나 해당 사용자에 연결된 하나 이상의 자원 계정 이름을 변경할 수 있는 별도의 기능을 제공합니다.
이름 변경 기능을 사용하려면 목록에서 사용자 계정을 선택한 다음 사용자 작업 목록에서 이름 변경 옵션을 선택합니다.
Rename User 페이지에서 사용자 계정 이름, 연결된 자원 계정 이름 및 사용자의 Identity Manager 계정에 연결된 자원 계정 속성을 변경할 수 있습니다.
주 일부 자원 유형은 계정 이름 변경을 지원하지 않습니다.
다음 그림에서와 같이 사용자에게 Active Directory 자원이 할당되었습니다. 이름 변경 프로세스 동안 다음을 변경할 수 있습니다.
사용자 비활성화(사용자 작업, 조직 작업)
사용자 계정을 비활성화 상태로 설정하려면 해당 계정을 변경하여 사용자가 더 이상 Identity Manager 또는 할당된 자원 계정에 액세스하지 못하도록 합니다.
주 계정을 비활성화 상태로 설정하는 기능을 지원하지 않는 할당된 자원의 경우 무작위로 생성되는 비밀번호를 할당하여 사용자 계정을 사용하지 못하도록 합니다.
단일 사용자 계정 비활성화
사용자 계정을 비활성화하려면 목록에서 해당 계정을 선택한 다음 사용자 작업 목록에서 비활성화를 선택합니다.
표시된 비활성화 페이지에서 사용하지 않을 자원 계정을 선택한 다음 확인을 누릅니다. Identity Manager에는 Identity Manager 사용자 계정 및 연관된 모든 자원 계정의 비활성화 상태 결과가 표시됩니다. 계정 목록은 사용자 계정이 비활성화 상태로 설정되었음을 나타냅니다.
그림 7. 비활성화된 계정
복수 사용자 계정 비활성화 설정
동시에 둘 이상의 Identity Manager 사용자를 비활성화 상태로 설정할 수 있습니다.
목록에서 둘 이상의 사용자 계정을 선택한 다음 사용자 작업 목록에서 비활성화를 선택합니다.
주 복수 사용자 계정을 비활성화 상태로 설정하는 경우 각 사용자 계정에서 개별적으로 할당된 자원 계정을 선택할 수 없습니다. 대신 이 프로세스는 선택한 모든 사용자 계정의 모든 자원을 비활성화 상태로 설정합니다.
사용자 활성화(사용자 작업, 조직 작업)
사용자 계정을 활성화 상태로 설정하려면 비활성화 설정의 역순으로 과정을 수행합니다. 계정 활성화 설정을 지원하지 않는 자원의 경우 Identity Manager는 무작위 비밀번호를 새로 생성합니다. 선택한 알림 옵션에 따라 관리자의 결과 페이지에 이 비밀번호가 표시됩니다.
사용자가 이 비밀번호를 재설정(인증 과정을 통해)하거나 관리자 권한이 있는 사용자가 비밀번호를 재설정할 수 있습니다.
단일 사용자 계정 활성화 설정
사용자 계정을 활성화하려면 목록에서 해당 계정을 선택한 다음 사용자 작업 목록에서 활성화를 선택합니다.
표시된 활성화 페이지에서 활성화할 자원을 선택한 다음 확인을 누릅니다. Identity Manager에는 Identity Manager 계정 및 연관된 모든 자원 계정의 활성화 상태 결과가 표시됩니다.
복수 사용자 계정 활성화 설정
동시에 둘 이상의 Identity Manager 사용자를 활성화 상태로 설정할 수 있습니다. 목록에서 둘 이상의 사용자 계정을 선택한 다음 사용자 작업 목록에서 활성화를 선택합니다.
주 복수 사용자 계정을 활성화 상태로 설정하는 경우 각 사용자 계정에서 개별적으로 할당된 자원 계정을 선택할 수 없습니다. 대신 이 프로세스는 선택한 모든 사용자 계정의 모든 자원을 활성화 상태로 설정합니다.
사용자 업데이트(사용자 작업, 조직 작업)
업데이트 작업을 통해 Identity Manager는 사용자 계정에 연결된 자원을 업데이트합니다. 계정 영역에서 수행한 업데이트는 사용자에 대해 이전에 수행한 대기중인 변경 사항을 선택한 자원으로 보냅니다. 이 상황은 다음의 경우에 발생할 수 있습니다.
사용자 계정을 업데이트할 때 다음 작업을 할 수 있습니다.
단일 사용자 계정 업데이트
사용자 계정을 업데이트하려면 목록에서 해당 계정을 선택한 다음 사용자 작업 목록에서 업데이트를 선택합니다.
자원 계정 업데이트 페이지에서 업데이트할 자원을 하나 이상 선택하거나, Update All resource accounts를 선택하여 모든 할당된 자원 계정을 업데이트합니다. 완료되면 OK를 눌러 업데이트 프로세스를 시작합니다. 또는 Save in Background를 눌러 작업을 백그라운드 프로세스로 수행합니다.
확인 페이지에서 각 자원에 보내는 데이터를 확인할 수 있습니다.
그림 8. 자원 계정 업데이트
복수 계정 업데이트
동시에 둘 이상의 Identity Manager 사용자 계정을 업데이트할 수 있습니다. 목록에서 둘 이상의 사용자 계정을 선택한 다음 사용자 작업 목록에서 업데이트를 선택합니다.
주 복수 사용자 계정을 업데이트하도록 선택하는 경우 각 사용자 계정에서 개별적으로 할당된 자원 계정을 선택할 수 없습니다. 대신 이 프로세스는 선택한 모든 사용자 계정의 모든 자원을 업데이트합니다.
사용자 잠금 해제(사용자 작업, 조직 작업)
사용자의 로그인 재시도 횟수가 해당 자원에 설정된 로그인 제한을 초과하여 하나 이상의 자원 계정이 잠길 수 있습니다. 사용자의 유효 Lighthouse 계정 정책은 잘못된 비밀번호 또는 질문으로 로그인을 시도할 수 있는 최대 수를 설정합니다.
잘못된 비밀번호로 로그인을 시도할 수 있는 최대 수가 초과되어 사용자가 잠긴 경우, 해당 사용자는 사용자 인터페이스, 관리자 인터페이스, 비밀번호 찾기, BPE, SOAP 및 콘솔을 포함하여 모든 Identity Manager 응용 프로그램 인터페이스에 대해 인증할 수 없습니다. 잘못된 질문으로 로그인을 시도할 수 있는 최대 수가 초과되어 사용자가 잠긴 경우, 해당 사용자는 비밀번호 찾기를 제외한 모든 Identity Manager 응용 프로그램 인터페이스에 대해 인증할 수 있습니다.
잘못된 비밀번호 로그인 횟수
잘못된 비밀번호로 로그인을 시도하여 잠긴 경우 사용자 계정은 다음을 수행할 때까지 잠겨 있습니다.
잘못된 질문 로그인 횟수
잘못된 질문으로 로그인을 시도할 수 있는 최대 수가 초과되어 잠긴 경우 사용자 계정은 다음을 수행할 때까지 잠겨 있습니다.
해당 권한이 있는 관리자는 잠긴 상태의 사용자에 대해 다음 작업을 수행할 수 있습니다.
잠긴 상태의 사용자는 관리자 인터페이스, 사용자 인터페이스 및 BPE를 포함하여 모든 Identity Manager 응용 프로그램에 로그인할 수 없습니다. 이 제한은 사용자가 인증 질문에 사용자 아이디와 응답을 제공하여 자신의 Identity Manager 사용자 아이디와 비밀번호로 로그인을 시도하는 경우 또는 하나 이상의 자원에 통과하는 경우에 관계 없이 적용됩니다.
계정을 잠금 해제하려면 목록에서 하나 이상의 사용자 계정을 선택한 다음 사용자 작업 또는 조직 작업 목록에서 사용자 잠금 해제를 선택합니다.
삭제(사용자 작업, 조직 작업)
삭제 작업에는 자원에서 Identity Manager 사용자 계정 액세스를 제거하는 몇 가지 옵션이 포함됩니다.
- 삭제 — 선택한 각 자원에 대하여 Identity Manager는 연결된 자원 계정을 삭제합니다. 선택된 자원과 Identity Manager 사용자의 링크도 해제됩니다.
- 할당 해제 — 선택한 각 자원에 대하여 Identity Manager는 할당된 자원의 사용자 목록에서 연결된 자원을 제거합니다. 선택된 자원과 사용자의 링크도 해제됩니다. 연결된 자원 계정은 삭제되지 않습니다.
- 링크 해제 — 선택한 각 자원에 대하여 Identity Manager는 Identity Manager 사용자에서 연결된 자원 계정 정보를 제거합니다.
주 역할 또는 자원 그룹을 통해 사용자에게 간접적으로 할당된 계정의 링크를 해제한 경우 사용자가 업데이트되면 링크가 복원될 수 있습니다.
삭제 작업을 시작하려면 사용자 계정을 선택한 다음 사용자 작업 또는 조직 작업 목록에서 적절한 삭제 작업을 선택합니다.
Identity Manager에 자원 계정 삭제 페이지가 표시됩니다.
사용자 계정 및 자원 계정 삭제
Identity Manager 사용자 계정 또는 자원 계정을 삭제하려면 Delete 열에서 해당 항목을 선택한 후 OK를 누릅니다. 자원 계정을 모두 삭제하려면 Delete All resource accounts 옵션을 선택한 후 OK를 누릅니다.
자원 계정 할당 해제 또는 링크 해제
Identity Manager 사용자 계정에서 할당을 해제하거나 링크를 해제하려면 Unassign 또는 Unlink 열에서 개별 항목을 선택한 후 OK를 누릅니다. 모든 자원 계정의 할당을 해제하려면 Delete All resource accounts 또는 Unlink All resource accounts 옵션을 선택한 후 OK를 누릅니다.
그림 9. 사용자 계정 및 자원 계정 삭제
계정 찾기Identity Manager 찾기 기능을 사용하여 사용자 계정을 검색할 수 있습니다. 검색 매개 변수를 입력 및 선택하면 Identity Manager가 선택 내용과 일치하는 모든 계정을 찾습니다.
계정을 검색하려면 메뉴 표시줄에서 계정을 선택한 다음 사용자 찾기를 선택합니다. 다음 중 하나 이상의 검색 유형별로 계정을 검색할 수 있습니다.
검색 결과 목록에 검색에 일치하는 모든 계정이 표시됩니다. 결과 페이지에서 다음 작업을 할 수 있습니다.
비밀번호 정책 설정자원 비밀번호 정책에 따라 비밀번호의 제한이 설정됩니다. 비밀번호 정책을 편집하여 특성의 범위를 설정하거나 값을 선택할 수 있습니다.
비밀번호 정책으로 작업을 시작하려면 메뉴 표시줄에서 구성을 선택한 다음 정책을 선택합니다.
비밀번호 정책을 편집하려면 정책 목록에서 선택합니다. 비밀번호 정책을 만들려면 옵션의 새로 만들기 목록에서 문자열 품질 정책을 선택합니다.
정책 만들기
비밀번호 정책은 문자열 품질 정책의 기본 유형입니다. 새 정책의 이름을 지정하고 설명(선택 사항)을 제공한 후에 정책을 정의하는 규칙에 대한 매개 변수 및 옵션을 선택합니다.
길이 규칙
길이 규칙에 따라 비밀번호 문자의 최소 및 최대 길이가 설정됩니다. 규칙을 사용 가능하도록 선택한 후 규칙의 제한 값을 입력합니다.
문자 유형 규칙
문자 유형 규칙에 따라 비밀번호에 포함될 수 있는 특정 유형의 문자 및 숫자의 최대/최소 문자 수가 설정됩니다. 다음 사항이 포함됩니다.
각 문자 유형 규칙의 제한 값을 숫자로 입력하거나, All을 입력하여 모든 문자가 반드시 해당 유형이어야 함을 표시합니다.
문자 유형 규칙의 최소 수
또한 검사를 반드시 통과해야 하는 문자 유형 규칙의 수를 지정할 수 있습니다. 반드시 통과해야 하는 규칙의 최소 수는 1입니다. 최대 값은 사용 가능하게 설정한 문자 유형 규칙의 수를 초과할 수 없습니다.
팁 반드시 통과해야 하는 최소 수를 최대 값으로 설정하려면 All을 입력합니다.
그림 11. 비밀번호 정책(문자 유형) 규칙
사전 정책 선택
사전에 있는 단어에 대하여 비밀번호를 확인할 수 있습니다. 이 옵션을 선택하기 전에 반드시 다음 작업을 해야 합니다.
사전은 정책 페이지에서 구성합니다. 사전을 설정하는 자세한 방법은 Identity Manager Deployment Tools의 Configuring Dictionary Support 장을 참조하십시오.
비밀번호 내역 정책
새로 선택한 비밀번호 바로 이전에 사용했던 비밀번호의 재사용을 금지할 수 있습니다.
다시 사용할 수 없는 이전 비밀번호의 수 필드에 다시 사용할 수 없도록 금지할 현재 및 이전 비밀번호의 수를 1보다 큰 값으로 입력합니다. 예를 들어 숫자 3을 입력하는 경우 새 비밀번호는 현재 비밀번호 또는 그 바로 이전의 비밀번호 두 개와 동일하면 안 됩니다.
또한 이전에 사용된 비밀번호와 비슷한 문자는 다시 사용할 수 없도록 금지할 수 있습니다. 다시 사용할 수 없는 이전 비밀번호와 유사한 최대 문자 수 필드에 새 비밀번호에서 반복될 수 없는 이전 비밀번호의 연속된 문자 수를 입력합니다. 예를 들어 7을 입력하고 이전 비밀번호가 password1인 경우, password2 또는 password3은 새 비밀번호로 사용할 수 없습니다.
0을 입력하면 이전 비밀번호의 모든 문자를 순서에 관계 없이 사용할 수 없습니다. 예를 들어 이전 비밀번호가 abcd인 경우 새 비밀번호는 a, b, c, d 문자를 포함할 수 없습니다.
이 규칙은 한 개 이상의 이전 비밀번호에 적용할 수 있습니다. 검사할 이전 비밀번호의 수는 다시 사용할 수 없는 이전 비밀번호의 수 필드에서 지정됩니다.
단어 제외
비밀번호에 포함되지 않아야 하는 단어를 하나 이상 입력할 수 있습니다. 입력란의 각 줄에 단어를 하나씩 입력합니다.
주 또한 사전 정책을 구성하고 구현하여 단어를 제외할 수 있습니다. 자세한 내용은 구성 장을 참조하십시오.
제외 속성
비밀번호에 포함되지 않아야 할 속성을 하나 이상 선택합니다. 다음의 속성을 선택할 수 있습니다.
비밀번호 정책 구현
비밀번호 정책은 각 자원에 대하여 설정됩니다. 특정 자원에 비밀번호 정책을 구현하려면 옵션의 Password Policy 목록에서 해당 자원을 선택합니다. 이 옵션은 자원 생성 또는 자원 편집 마법사: Identity Manager 매개 변수 페이지의 정책 구성 영역에 있습니다.
사용자 계정 비밀번호 작업모든 Identity Manager 사용자에게는 비밀번호가 지정됩니다. Identity Manager 사용자 비밀번호가 설정되면 사용자의 자원 계정 비밀번호를 동기화하는 데 사용됩니다. 하나 이상의 자원 계정 비밀번호를 동기화할 수 없는 경우(예: 필요한 비밀번호 정책에 따르기 위한 경우) 개별적으로 설정할 수 있습니다.
사용자 계정 비밀번호 변경
사용자 계정 비밀번호를 변경하려면 다음과 같이 합니다.
새 비밀번호 정보를 입력하고 확인한 다음 Change Password를 눌러 나열된 자원 계정에 대한 사용자 비밀번호를 변경합니다. Identity Manager에 비밀번호를 변경할 때 수행되는 작업의 순서가 작업 흐름 그림으로 표시됩니다.
그림 12. 사용자 비밀번호 변경
사용자 계정 비밀번호 재설정
Identity Manager 사용자 계정 비밀번호를 재설정하는 과정은 변경 과정과 비슷합니다. 재설정 과정의 다른 점은 새 비밀번호를 지정하지 않는다는 점입니다. 대신 사용자 계정, 자원 계정 또는 이 둘의 조합에 대하여 Identity Manager가 새 비밀번호를 무작위로 생성(선택 내용과 비밀번호 정책에 따라)합니다.
직접 할당 또는 사용자의 조직을 통하여 사용자에게 할당된 정책에 따라 다음과 같이 여러 가지 재설정 옵션이 결정됩니다.
재설정 시 비밀번호 만료
기본적으로 사용자 비밀번호를 재설정하면 비밀번호가 즉시 만료됩니다. 따라서 재설정 후 처음 로그인할 때 새 비밀번호를 선택해야 액세스할 수 있습니다. 이 기본값은 양식에서 다른 값으로 대체할 수 있습니다. 예를 들면 사용자 비밀번호가 사용자와 연결된 Lighthouse 계정 정책에 설정된 비밀번호 만료 정책에 따라 만료되도록 설정할 수 있습니다.
예를 들어, 사용자 비밀번호 재설정 양식에서 resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword를 false 값으로 설정합니다.
Lighthouse 계정 정책의 Reset Option 필드를 통해 비밀번호를 만료하는 방법에는 다음 두 가지가 있습니다.
- 영구 — passwordExpiry 정책 속성에 지정된 기간은 비밀번호를 재설정할 때 현재 날짜로부터 관련 날짜를 계산한 다음 사용자에게 해당 날짜를 설정하는 데 사용됩니다. 값을 지정하지 않은 경우 변경되거나 재설정된 비밀번호가 만료되지 않습니다.
- 임시 — tempPasswordExpiry 정책 속성에서 지정된 기간은 비밀번호를 재설정할 때 현재 날짜로부터 관련 날짜를 계산한 다음 사용자에게 해당 날짜를 설정하는 데 사용됩니다. 값을 지정하지 않은 경우 변경되거나 재설정된 비밀번호가 만료되지 않습니다. tempPasswordExpiry를 0으로 설정하면 비밀번호가 즉시 만료됩니다.
주 tempPasswordExpiry 속성은 비밀번호를 재설정할 때만 적용되며(예: 임의 변경), 비밀번호 변경에는 적용되지 않습니다.
사용자 자체 검색사용자는 Identity Manager 사용자 인터페이스를 사용하여 자원 계정을 검색할 수 있습니다. 따라서 Identity Manager 아이디가 있는 사용자는 기존의 연결되지 않은 자원 계정에 이를 연결할 수 있습니다.
자체 검색 사용
자체 검색을 사용하려면 반드시 특수 구성 객체(최종 사용자 자원)를 편집하고 이 객체에 사용자가 계정을 검색할 수 있는 각 자원의 이름을 추가합니다. 다음과 같이 합니다.
자체 검색을 사용할 수 있도록 설정하면 Identity Manager 사용자 인터페이스에 새 메뉴 항목이 표시됩니다(Identity Manager에 다른 계정 정보 입력). 사용자는 이 영역에서 사용 가능한 목록의 자원을 선택한 후 자원 계정 아이디와 비밀번호를 입력하여 이 계정을 자신의 Identity Manager 아이디로 연결할 수 있습니다.
사용자 인증비밀번호를 분실했거나 비밀번호를 재설정해야 하는 경우 Identity Manager에 액세스하기 위해서는 하나 이상의 계정 인증 질문에 답해야 합니다. 이 질문과 해당 질문을 관리하는 규칙은 Identity Manager 계정 정책의 일부로 설정합니다. 비밀번호 정책과 달리 Identity Manager 계정 정책은 사용자에게 직접 또는 해당 사용자에게 할당된 조직(사용자 생성 및 편집 페이지)을 통하여 지정됩니다.
계정 정책에서 인증을 설정하려면 다음을 수행합니다.
중요! 처음 설정하는 경우 사용자는 Identity Manager 사용자 인터페이스에 로그인하고 인증 질문에 대한 첫 응답을 제공해야 합니다. 이들 응답이 설정되지 않은 경우 비밀번호가 없는 사용자는 로그인할 수 없습니다.
설정된 인증 규칙에 따라 사용자가 다음에 응답하도록 할 수 있습니다.
개인 설정된 인증 질문
Lighthouse 계정 정책에서 사용자가 사용자 및 관리자 인터페이스에 고유한 인증 질문을 입력할 수 있게 옵션을 선택할 수 있습니다. 또한 개인 설정된 인증 질문을 사용하여 성공적으로 로그인하려면 사용자가 제공하고 응답해야 하는 최소 질문 수를 추가로 설정할 수 있습니다.
사용자는 Change Answers to Authentication Questions 페이지에서 질문을 추가하고 변경할 수 있습니다.
그림 15. 응답 변경 — 개인 설정된 인증 질문
인증 후 비밀번호 변경 시도 생략
사용자가 하나 이상의 질문에 응답하여 인증에 성공한 경우, 기본적으로 시스템에서 비밀번호를 묻습니다. 하지만 하나 이상의 Identity Manager 응용 프로그램에 대해 bypassChangePassword 시스템 구성 등록 정보를 설정하여 비밀번호 변경 시도를 생략하도록 Identity Manager를 구성할 수 있습니다.
인증 성공 후 모든 응용 프로그램에 대한 비밀번호 변경 시도를 생략하려면, 시스템 구성 객체에서 bypassChangePassword 등록 정보를 다음과 같이 설정합니다.
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...특정 응용 프로그램에 대해 이 기능을 사용하지 않도록 하려면 다음과 같이 설정합니다.
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
대량 계정 작업Identity Manager 계정에 대해 여러 가지 대량 작업을 수행할 수 있으므로 동시에 여러 개의 계정에서 작업할 수 있습니다. 수행할 수 있는 대량 작업은 다음과 같습니다.
- 삭제 — 선택된 모든 자원 계정을 삭제하고 할당 및 링크를 해제합니다. 각 사용자의 Identity Manager 계정을 삭제하려면 Identity Manager 계정을 대상으로 지정 옵션을 선택합니다.
- 삭제 및 링크 해제 — 선택된 모든 자원 계정을 삭제하고 사용자로부터 계정 링크를 해제합니다.
- 비활성화 — 선택된 모든 자원 계정을 사용하지 않습니다. 각 사용자의 Identity Manager 계정을 비활성화하려면 Identity Manager 계정을 대상으로 지정 옵션을 선택합니다.
- 활성화 — 선택된 모든 자원 계정을 사용합니다. 각 사용자의 Identity Manager 계정을 활성화하려면 Identity Manager 계정을 대상으로 지정 옵션을 선택합니다.
- 할당 해제 — 선택된 모든 자원 계정의 링크를 해제하고, 자원에 할당된 Identity Manager 사용자 계정을 제거합니다. 할당을 해제하더라도 자원에서 계정이 제거되지는 않습니다. 역할 또는 자원 그룹을 통해 Identity Manager 사용자에게 간접적으로 할당된 계정은 할당 해제할 수 없습니다.
- 링크 해제 — Identity Manager 사용자 계정에 연결된 자원 계정의 연결(링크)을 제거합니다. 링크를 해제하더라도 자원에서 계정이 제거되지는 않습니다. 역할 또는 자원 그룹을 통해 Identity Manager 사용자에게 간접적으로 할당된 계정의 링크를 해제한 경우 사용자가 업데이트되면 링크가 복원될 수 있습니다.
대량 작업은 전자 메일 클라이언트나 스프레드시트 프로그램과 같은 파일 또는 응용 프로그램 사용자 목록이 있는 경우에 효과적입니다. 사용자 목록을 복사하여 이 인터페이스 페이지의 필드에 붙여넣거나 파일에서 사용자 목록을 로드할 수 있습니다.
이러한 작업 중 많은 작업은 사용자 검색 결과를 바탕으로 수행할 수 있습니다. 사용자 찾기 페이지의 계정 탭에서 사용자를 검색합니다.
대량 계정 작업 실행
대량 계정 작업을 실행하려면 값을 선택하거나 입력한 다음 실행을 누릅니다. Identity Manager는 백그라운드 작업을 실행하여 대량 작업을 수행합니다.
팁 대량 작업의 상태를 모니터링하려면 작업 탭으로 이동한 다음 작업 링크를 누릅니다.
작업 목록 사용
쉼표로 분리된 값(CSV) 형식으로 대량 작업 목록을 지정할 수 있습니다. 이 옵션은 하나의 작업 목록에 여러 작업 유형을 지정할 수 있도록 합니다. 또한 더 복잡한 작성 및 업데이트 작업을 지정할 수 있습니다.
CSV 형식은 두 개 이상의 입력 줄로 구성됩니다. 각 줄은 쉼표로 분리된 일련의 값으로 이루어집니다. 첫 번째 줄에는 필드 이름이 포함되어 있습니다. 나머지 줄은 각각 Identity Manager 사용자, 사용자의 자원 계정 또는 두 가지 모두에 해당하는 작업을 포함하고 있습니다. 각 줄에 포함된 값의 수는 동일해야 합니다. 줄을 비워 두면 해당 필드 값이 변경되지 않습니다.
모든 대량 작업 CSV 입력에는 다음과 같이 두 개의 필드가 필요합니다.
- 사용자 — Identity Manager 사용자의 이름을 포함합니다.
- 명령 — Identity Manager 사용자에 수행할 작업을 포함합니다. 유효한 명령은 다음과 같습니다.
- Delete — 자원 계정이나 Identity Manager 계정 또는 두 가지 모두를 삭제, 할당 해제 및 링크 해제합니다.
- DeleteAndUnlink — 자원 계정을 삭제하고 링크 해제합니다.
- Disable — 자원 계정이나 Identity Manager 계정 또는 두 가지 모두를 비활성화합니다.
- Enable — 자원 계정이나 Identity Manager 계정 또는 두 가지 모두를 활성화합니다.
- Unassign — 자원 계정의 할당 및 링크를 해제합니다.
- Unlink — 자원 계정의 링크를 해제합니다.
- Create — Identity Manager 계정을 만듭니다. 원하는 경우 자원 계정을 만듭니다.
- Update — Identity Manager 계정을 업데이트합니다. 원하는 경우 자원 계정을 만들거나 업데이트 또는 삭제합니다.
- CreateOrUpdate — Identity Manager 계정이 아직 없는 경우 만들기 작업을 수행합니다. 계정이 있으면 업데이트 작업을 수행합니다.
Delete, DeleteAndUnlink, Disable, Enable, Unassign
및 Unlink 명령Delete, DeleteAndUnlink, Disable, Enable, Unassign 또는 Unlink 작업을 수행하는 경우 지정해야 하는 추가 필드는 자원뿐입니다. 자원 필드를 사용하여 적용할 자원과 계정을 지정합니다. 다음과 같은 값을 사용할 수 있습니다.
다음은 몇 가지 작업에 대한 CSV 형식의 예입니다.
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate, Update 및 CreateOrUpdate 명령
Create, Update 또는 CreateOrUpdate 명령을 수행하는 경우 사용자 보기에서 사용자 및 명령 필드에 추가로 필드를 지정할 수 있습니다. 이 경우 보기의 속성에 대한 경로 표현식을 필드 이름으로 사용합니다. 사용자 보기에서 사용할 수 있는 속성에 대한 정보는
Identity Manager Workflows, Forms, and Views를 참조하십시오. 사용자 정의된 사용자 양식을 사용하는 경우 양식의 필드 이름에는 사용할 수 있는 경로 표현식 중 일부가 포함됩니다.다음은 대량 작업에 사용되는 일반적인 경로 표현식 중 일부입니다.
- waveset.roles — Identity Manager 계정에 할당할 하나 이상의 역할 이름에 대한 목록입니다.
- waveset.resources — Identity Manager 계정에 할당할 하나 이상의 자원 이름에 대한 목록입니다.
- waveset.applications — Identity Manager 계정에 할당할 하나 이상의 역할 이름에 대한 목록입니다.
- waveset.organization — Identity Manager 계정이 속하게 되는 조직의 이름입니다.
- accounts[resource_name].attribute_name — 자원 계정 속성입니다. 속성 이름은 자원의 스키마에 나열되어 있습니다.
예제
다음은 만들기 및 업데이트 작업에 대한 CSV 형식의 예입니다.
command,user,waveset.resources,password.password,password.confirmPassword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California값이 둘 이상인 필드
일부 필드에는 값이 여러 개일 수 있습니다. 이러한 필드를 다중값 필드라고 합니다. 예를 들어, waveset.resources 필드를 사용하여 한 사용자에게 여러 자원을 할당할 수 있습니다. 세로선(|) 문자(파이프 문자)를 사용하여 필드의 여러 값을 분리할 수 있습니다. 여러 값을 사용하는 경우 다음과 같이 구문을 지정할 수 있습니다.
value0 | value1 [ | value2 ... ]
기존 사용자에 대한 다중값 필드를 업데이트하는 경우 현재 필드 값을 하나 이상의 새로운 값으로 바꾸면 안 됩니다. 일부 값을 제거하거나 현재 값을 추가할 수 있습니다. 필드 지시문을 사용하여 기존 필드 값을 처리하는 방법을 지정할 수 있습니다. 필드 지시문은 필드 값 앞에 위치하며 앞뒤에 세로선을 사용합니다.
|지시문 [ ; 지시문 ] | 필드 값
다음 지시문 중에서 선택할 수 있습니다.
- Replace — 현재 값을 지정된 값으로 바꿉니다. 지시문을 지정하지 않거나 List 지시문만 지정하는 경우 이 지시문을 기본으로 사용합니다.
- Merge — 지정된 값을 현재 값에 추가합니다. 중복된 값은 필터링됩니다.
- Remove — 현재 값에서 지정된 값을 제거합니다.
- List — 필드에 값이 하나밖에 없더라도 여러 값이 있는 것처럼 처리하도록 합니다. 대부분의 필드는 값의 수에 관계 없이 적절하게 처리되므로 일반적으로 이 지시문은 필요하지 않습니다. 이 지시문은 다른 지시문과 함께 지정할 수 있는 유일한 지시문입니다.
주 필드 값은 대소문자를 구분합니다. 이는 Merge 및 Remove 지시문을 지정하는 경우 중요한 사항입니다. 값을 병합할 때 비슷한 여러 값이 포함되지 않도록 하거나 값을 제대로 제거하려면 정확히 일치하는 값을 지정해야 합니다.
필드 값의 특수 문자
필드 값에 쉼표(,) 또는 큰따옴표(") 문자를 사용하거나 앞이나 뒤에 공백을 사용하는 경우 반드시 큰따옴표로 필드 값을 감싸야 합니다("필드 값"). 그리고 필드 값 내에 큰따옴표가 있는 경우 큰따옴표(") 문자를 이중으로 사용해야 합니다. 예를 들어, "John ""Johnny"" Smith" 라는 값을 지정하면 필드에 John "Johnny" Smith와 같이 표시됩니다.
필드에 세로선(|) 또는 백슬래시(\) 문자가 포함된 경우 반드시 해당 문자 앞에 백슬래시를 사용해야 합니다(\| 또는 \\).
대량 작업 보기 속성
Create, Update 또는 CreateOrUpdate 명령을 수행하는 경우 대량 작업 처리 동안에만 사용되거나 사용할 수 있는 사용자 보기 추가 속성이 있습니다. 이러한 속성은 사용자 양식에서 특정 대량 작업별 동작을 허용하기 위해 참조될 수 있습니다. 다음과 같은 추가 속성이 있습니다.
- waveset.bulk.fields.field_name — 이 속성은 CSV 입력 시에 읽혀지는 필드의 값을 포함하고 있으며 field_name은 필드의 이름을 나타냅니다. 예를 들어, 명령 및 사용자 필드는 각각 경로 표현식이 waveset.bulk.fields.command 및 waveset.bulk.fields.user인 속성에 포함되어 있습니다.
- waveset.bulk.fieldDirectives.field_name — 이 속성은 지시문이 지정된 필드에 대해서만 정의됩니다. 이 속성의 값은 지시문 문자열입니다.
- waveset.bulk.abort — 현재 작업을 중단하려면 이 부울 속성을 true로 설정합니다.
- waveset.bulk.abortMessage — waveset.bulk.abort를 true로 설정한 경우 메시지 문자열을 표시하려면 이 속성을 설정합니다. 이 속성을 설정하지 않으면 일반 중단 메시지가 표시됩니다.
상호 관계 및 확인 규칙
작업의 사용자 필드에 입력할 수 있는 Identity Manager 아이디가 없는 경우 상호 관계 및 확인 규칙을 사용합니다. 사용자 필드에 값을 지정하지 않은 경우 대량 작업을 시작할 때 상호 관계 규칙을 지정해야 합니다. 사용자 필드에 값을 지정한 경우 해당 작업에서 상호 관계 및 확인 규칙을 검사하지 않습니다.
상호 관계 규칙은 작업 필드와 일치하는 Identity Manager 사용자를 찾습니다. 확인 규칙은 사용자의 일치 여부를 판단하기 위해 작업 필드에 대해 Identity Manager 사용자를 테스트합니다. 이러한 2단계 접근 방법으로 Identity Manager는 가능한 사용자를 신속히 찾고(이름 또는 속성을 기반으로), 이렇게 찾은 가능한 사용자에 대해서만 부하가 큰 확인 작업을 수행함으로써 상호 관계를 최적화할 수 있습니다.
상호 관계 또는 확인 규칙을 만들려면 각각 SUBTYPE_ACCOUNT_CORRELATION_RULE 또는 SUBTYPE_ACCOUNT_CONFIRMATION_RULE에 대한 허위 유형으로 규칙 객체를 만듭니다.
상호 관계 규칙
상호 관계 규칙에 입력되는 값은 작업 필드의 맵입니다. 출력은 다음 중 하나여야 합니다.
일반적인 상호 관계 규칙은 작업의 필드 값에 기반한 사용자 이름 목록을 생성합니다. 또한 상호 관계 규칙은 속성 조건(Type.USER의 쿼리 가능한 속성 참조) 목록을 생성할 수 있습니다. 속성 조건 목록은 사용자 선택에 사용됩니다.
상호 관계 규칙은 비교적 부하가 작아야 하며 가능한 한 선택적이어야 합니다. 가능하면 부하가 큰 처리는 확인 규칙에 맡깁니다.
속성 조건은 Type.USER의 쿼리 가능한 속성을 참조해야 합니다. 이는 Identity Manager UserUIConfig 객체에서 QueryableAttrNames로 구성됩니다.
확장된 속성에 대한 상호 관계에는 특별한 구성이 필요합니다.
확인 규칙
확인 규칙에 입력되는 내용은 다음과 같습니다.
확인 규칙은 사용자가 작업 필드에 일치하면 문자열 형식의 부울 값 true를 반환하며, 일치하지 않으면 false 값을 반환합니다.
일반적으로 확인 규칙은 사용자 보기의 내부 값을 작업 필드의 값과 비교합니다. 확인 규칙은 상호 관계 처리의 선택적인 두 번째 단계로서, 상호 관계 규칙으로 표현될 수 없거나 상호 관계 규칙에서 검사하기에는 부하가 큰 확인을 수행합니다. 일반적으로 확인 규칙이 필요한 경우는 다음과 같습니다.
확인 규칙은 상호 관계 규칙이 반환하는 각 일치 사용자에 대해 한 번씩 실행됩니다.
