검색 순서
Native Directory 외에도 여러 사용자 디렉토리를 Oracle Hyperion Shared Services에서 구성할 수 있습니다. 모든 구성된 사용자 디렉토리에 기본 검색 순서 위치가 지정됩니다. Oracle Hyperion Shared Services Console에서 검색 순서를 수정할 수 있습니다. Native Directory를 제외하고는 구성된 사용자 디렉토리를 검색 순서에서 제거할 수 있습니다. Oracle Enterprise Performance Management System에서는 검색 순서에 포함되지 않은 사용자 디렉토리를 사용하지 않습니다. Oracle Enterprise Performance Management System 사용자 보안 관리 가이드를 참조하십시오.
검색 순서에 따라 EPM System이 사용자를 인증하기 위해 사용자 디렉토리를 순환하는 순서가 결정됩니다. 사용자 디렉토리에서 사용자가 인증되면 EPM System이 검색을 중지하고 사용자를 반환합니다. 검색 순서의 사용자 디렉토리에 대해 사용자를 인증할 수 없으면 EPM System에서 인증을 거부하고 오류를 반환합니다.
사용자정의 인증이 검색 순서에 미치는 영향
사용자정의 인증은 EPM System 보안이 검색 순서를 해석하는 방법에 영향을 줍니다.
사용자정의 인증 모듈이 사용자 이름을 반환하는 경우 EPM System은 사용자정의 인증에 대해 사용으로 설정된 사용자 디렉토리에서만 사용자를 찾습니다. 이 단계에서 EPM System은 사용자정의 인증에 대해 구성되지 않은 사용자 디렉토리는 무시합니다.
사용 사례 시나리오 1
다음 테이블에는 EPM System 사용자 디렉토리 구성과 이 시나리오에 사용된 검색 순서가 자세히 설명되어 있습니다. 이 시나리오에서는 사용자정의 인증 모듈이 RSA 인프라를 사용하여 사용자를 인증한다고 가정합니다.
표 5-1 시나리오 1의 설정
| 사용자 디렉토리 유형 및 이름 | 검색 순서 | 사용자정의 인증 | 샘플 사용자 이름 | 비밀번호각주 1 |
|---|---|---|---|---|
| Native Directory | 1 | 사용 안함 |
|
password |
|
LDAP 사용 SunONE_West |
2 | 사용 안함 |
|
ldappassword |
|
LDAP 사용 SunONE_East |
3 | 사용 |
|
SunONE에서는 ldappassword, 사용자정의 모듈에서는 RSA PIN |
각주 1 간단히 모든 사용자가 동일한 사용자 디렉토리 비밀번호를 사용한다고 가정합니다.
인증 프로세스를 시작하려면 사용자가 EPM System 제품의 로그온 화면에 사용자 이름과 비밀번호를 입력합니다. 이 시나리오에서는 사용자정의 인증 모듈이 다음 작업을 수행합니다.
username@providername 형식(예: test_ldap_2@SunONE_East)으로 EPM System 보안에 반환합니다.표 5-2 사용자 상호 작용 및 결과
| 사용자 이름 및 비밀번호 | 인증 결과 | 로그인 사용자 디렉토리 |
|---|---|---|
test_user_1/password |
성공 | Native Directory |
test_user_3/password |
성공 | Native Directory |
test_user_3/ldappassword |
성공 | SunONE_West(검색 순서 2)각주 2 |
test_user_3/RSA PIN |
성공 | SunONE_East(검색 순서 3)각주 3 |
test_ldap_2/ldappassword |
성공 | SunONE_West(검색 순서 2) |
test_ldap_4/RSA PIN |
실패
EPM System이 인증 오류를 표시합니다.각주 4 |
각주 2
사용자가 EPM System 인증서를 입력했으므로 사용자정의 인증에서 이 사용자를 인증할 수 없습니다. EPM System은 사용자정의 인증에 대해 사용으로 설정되지 않은 사용자 디렉토리에서만 이 사용자를 확인할 수 있습니다. 이 사용자는 Native Directory(검색 순서 번호 1)에는 없고 SunONE West(검색 순서 번호 2)에서 확인됩니다.
각주 3
EPM System은 Native Directory(검색 순서 번호 1) 또는 SunONE West(검색 순서 번호 2)에서 이 사용자를 찾지 못합니다. 사용자정의 인증 모듈에서 RSA 서버에 대해 사용자를 검증하고 test_user_3@SunONE_EAST를 EPM System에 반환합니다. EPM System은 사용자정의 인증 사용 사용자 디렉토리인 SunONE East(검색 순서 번호 3)에서 사용자를 찾습니다.
각주 4
사용자정의 모듈에서 인증된 사용자는 모두 검색 순서에 포함된 사용자정의 인증 사용 사용자 디렉토리에 있는 것이 좋습니다. 사용자정의 인증 모듈에서 반환한 사용자 이름이 검색 순서에 포함된 사용자정의 인증 사용 사용자 디렉토리에 없으면 로그인이 실패합니다.
사용 사례 시나리오 2
다음 테이블에는 EPM System 사용자 디렉토리 구성과 이 시나리오에 사용된 검색 순서가 자세히 설명되어 있습니다. 이 시나리오에서는 사용자정의 인증 모듈이 RSA 인프라를 사용하여 사용자를 인증한다고 가정합니다.
이 시나리오에서는 사용자정의 인증 모듈이 다음 작업을 수행합니다.
test_ldap_2)을 EPM System 보안에 반환합니다.표 5-3 샘플 검색 순서
| 사용자 디렉토리 | 검색 순서 | 사용자정의 인증 | 샘플 사용자 이름 | 비밀번호각주 5 |
|---|---|---|---|---|
| Native Directory | 1 | 사용 안함 |
|
password |
| LDAP 사용(예: SunONE) | 2 | 사용 |
|
SunONE에서는 ldappassword, 사용자정의 모듈에서는 RSA PIN |
각주 5 간단히 모든 사용자가 동일한 사용자 디렉토리 비밀번호를 사용한다고 가정합니다.
인증 프로세스를 시작하려면 사용자가 EPM System 제품의 로그인 화면에 사용자 이름과 비밀번호를 입력합니다.
표 5-4 사용자 상호 작용 및 결과
| 사용자 이름 및 비밀번호 | 로그인 결과 | 로그인 사용자 디렉토리 |
|---|---|---|
test_user_1/password |
성공 | Native Directory |
test_user_3/password |
성공 | Native Directory |
test_user_3/ldappassword |
실패 | SunONE각주 6 |
test_user_3/RSA PIN |
성공 | SunONE각주 7 |
각주 6
비밀번호 불일치 때문에 Native Directory에 대한 사용자 인증이 실패합니다. 사용된 비밀번호가 적합한 RSA PIN이 아니므로 사용자정의 인증 모듈을 사용한 사용자 인증이 실패합니다. EPM System은 SunONE(검색 순서 2)에서 이 사용자를 인증하려고 시도하지 않습니다. 이 디렉토리에서는 사용자정의 인증 설정이 EPM System 인증을 대체하기 때문입니다.
각주 7
비밀번호 불일치 때문에 Native Directory에 대한 사용자 인증이 실패합니다. 사용자정의 인증 모듈에서 사용자를 인증하고 사용자 이름 test_user_3을 EPM System으로 반환합니다.
사용 사례 시나리오 3
다음 테이블에는 EPM System 사용자 디렉토리 구성과 이 시나리오에 사용된 검색 순서가 자세히 설명되어 있습니다. 이 시나리오에서는 사용자정의 인증 모듈이 RSA 인프라를 사용하여 사용자를 인증한다고 가정합니다.
이러한 시나리오에서는 명확성을 위해 사용자정의 인증 모듈이 사용자 이름을 username@providername 형식(예: test_ldap_4@SunONE)으로 반환하는 것이 좋습니다.
표 5-5 샘플 검색 순서
| 사용자 디렉토리 | 검색 순서 | 사용자정의 인증 | 샘플 사용자 이름 | 비밀번호각주 8 |
|---|---|---|---|---|
| Native Directory | 1 | 사용 |
|
RSA_PIN |
| LDAP 사용(예: MSAD) | 2 | 사용 안함 |
|
ldappassword |
| LDAP 사용(예: SunONE) | 3 | 사용 |
|
SunONE에서는 ldappassword, 사용자정의 모듈에서는 RSA PIN |
각주 8 간단히 모든 사용자가 동일한 사용자 디렉토리 비밀번호를 사용한다고 가정합니다.
인증 프로세스를 시작하려면 사용자가 EPM System 제품의 로그온 화면에 사용자 이름과 비밀번호를 입력합니다.
표 5-6 사용자 상호 작용 및 결과
| 사용자 이름 및 비밀번호 | 인증 결과 | 로그인 사용자 디렉토리 |
|---|---|---|
test_user_1/password |
성공 | Native Directory |
test_user_3/RSA_PIN |
성공 | Native Directory |
test_user_3/ldappassword |
성공 | MSAD(검색 순서 2) |
test_ldap_4/ldappassword |
성공 | MSAD(검색 순서 2) |
test_ldap_4/RSA PIN |
성공 | SunONE(검색 순서 3) |
사용자 디렉토리 및 사용자정의 인증 모듈
사용자정의 인증 모듈을 사용하기 위해 EPM System 사용자 및 그룹 정보가 포함된 사용자 디렉토리에서 사용자정의 모듈에 인증을 위임하도록 개별적으로 구성할 수 있습니다.
사용자정의 모듈을 사용하여 인증된 EPM System 사용자는 검색 순서(검색 순서 참조)에 포함된 사용자 디렉토리 중 하나에 있어야 합니다. 또한, 사용자 디렉토리는 사용자정의 모듈에 인증을 위임하도록 구성되어야 합니다.
사용자정의 제공자의 사용자 ID(예: RSA SecurID 인프라의 1357642)가 Shared Services에 구성된 사용자 디렉토리의 사용자 이름(예: Oracle Internet Directory의 jDoe)과 다를 수 있습니다. 사용자를 인증한 후에는 사용자정의 인증 모듈에서 사용자 이름 jDoe를 EPM System으로 반환해야 합니다.
주:
EPM System에 구성된 사용자 디렉토리의 사용자 이름은 사용자정의 인증 모듈에서 사용하는 사용자 디렉토리에 제공된 사용자 이름과 동일한 것이 좋습니다.
CSSCustomAuthenticationIF Java 인터페이스
사용자정의 인증 모듈은 CSSCustomAuthenticationIF Java 인터페이스를 사용하여 EPM System 보안 프레임워크와 통합해야 합니다. 사용자정의 인증이 성공하면 사용자 이름 문자열을 반환하고 인증이 실패하면 오류 메시지를 반환해야 합니다. 인증 프로세스를 완료하려면 사용자정의 인증 모듈에서 반환한 사용자 이름이 Shared Services 검색 순서에 포함된 사용자 디렉토리 중 하나에 있어야 합니다. EPM System 보안 프레임워크는 username@providerName 형식을 지원합니다.
주:
EPM System 보안 프레임워크에서는 사용자를 검색할 때 *(별표)를 와일드카드 문자로 해석하므로 사용자정의 인증 모듈이 반환하는 사용자 이름에 별표가 포함되지 않았는지 확인하십시오.
CSSCustomAuthenticationIF 인터페이스 서명은 샘플 코드 1을 참조하십시오.
사용자정의 인증 모듈(클래스 파일일 수 있음)은 CustomAuth.jar에 포함되어 있어야 합니다. 패키지 구조는 중요하지 않습니다.
CSSCustomAuthenticationIF 인터페이스에 대한 자세한 내용은 보안 API 설명서를 참조하십시오.
CSSCustomAuthenticationIF의 authenticate 메소드는 사용자정의 인증을 지원합니다. authenticate 메소드는 EPM System에 입력 매개변수로 액세스하려고 시도할 때 사용자가 입력한 인증서(사용자 이름 및 비밀번호)를 수락합니다. 사용자정의 인증이 성공하면 이 메소드는 문자열(사용자 이름)을 반환합니다. 인증이 실패하면 java.lang.Exception이 발생합니다. 메소드에서 반환되는 사용자 이름으로 Shared Services 검색 순서에 포함된 사용자 디렉토리 중 하나에서 사용자가 고유하게 확인되어야 합니다. EPM System 보안 프레임워크는 username@providerName 형식을 지원합니다.
주:
JDBC 연결 풀과 같은 리소스를 초기화하려면 클래스 구성자를 사용하십시오. 이렇게 하면 일부 인증에 대해서만 리소스를 로드하므로 성능이 향상됩니다.