Identity 관리

이 장에서는 Sun™ ONE Identity Server의 아이디 관리 기능에 대해 설명합니다. Identity 관리 모듈 인터페이스를 사용하면 모든 Identity Server 객체와 아이디를 보고, 관리하고, 구성할 수 있습니다. 이 장은 다음 내용으로 구성되어 있습니다.

Identity 관리 인터페이스

Identity Server 객체 관리

Identity 관리 인터페이스

Identity Server 그래픽 사용자 인터페이스의 두 기본 보기가 있습니다. 로그인하는 사용자의 역할에 따라 Identity 관리 보기 또는 사용자 프로필 보기에 액세스할 수 있습니다.

Identity 관리 보기

관리 역할이 있는 사용자가 Identity Server에 인증하는 경우 기본 보기는 Identity 관리 보기입니다. 이 보기에서는 관리자가 관리 작업을 수행할 수 있습니다. 관리자의 역할에 따라 객체(사용자, 조직, 정책 등) 작성, 삭제 및 관리 작업과 서비스 구성 작업을 수행할 수 있습니다.

사용자 프로필 보기

관리 역할이 할당되지 않은 사용자가 Identity Server에 대해 인증을 수행할 때는 사용자 자신의 사용자 프로필이 기본 보기가 됩니다. 이 보기에서 사용자는 개인 프로필 특정의 속성 값을 수정할 수 있습니다. 여기에는 이름, 주소(집), 비밀번호 등이 포함될 수 있지만 이에 제한되지는 않습니다. 사용자 프로필 보기에 표시되는 속성은 확장할 수 있습니다. 객체 및 아이디에 대한 사용자 정의된 속성을 추가하는 방법에 대한 자세한 내용은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

Identity Server 객체 관리

사용자 관리 인터페이스에는 Identity Server 객체(조직, 그룹, 사용자, 서비스, 역할, 정책)를 보거나 관리하는 데 필요한 모든 구성 요소가 포함되어 있습니다. 이 절은 객체 유형과 객체 유형을 구성하는 방법으로 구성되어 있습니다.

등록 정보 기능

항목의 등록 정보를 보거나 수정하려면 객체 이름 옆에 있는 등록 정보 화살표를 누릅니다. 속성과 해당 값이 데이터 프레임에 표시됩니다. 객체마다 다른 등록 정보가 표시됩니다.

항목의 등록 정보를 확장하는 방법은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

조직

이 객체는 기업에서 부서와 자원을 관리하는 데 사용하는 최상위 수준의 계층 구조를 나타냅니다. 설치 시 Identity Server는 Identity Server 엔터프라이즈 구성을 관리하기 위해 최상위 수준 조직(설치하는 동안 정의됨)을 동적으로 만듭니다. 설치 후에는 추가 조직을 만들어 별도의 엔터프라이즈를 관리할 수 있습니다. 작성된 모든 조직은 최상위 수준 조직 아래에 놓입니다.

조직 만들기

Identity 관리 모듈의 보기 메뉴에서 조직을 선택합니다.

이동 프레임에서 새로 만들기를 누릅니다.

새 조직 템플리트가 데이터 프레임에 표시됩니다.

새 조직 템플리트에서 조직의 이름 값을 입력합니다.

활성 또는 비활성 상태를 선택합니다.

기본값은 활성입니다. 조직의 수명 동안 등록 정보 아이콘을 선택하여 언제든지 이 값을 변경할 수 있습니다. 비활성을 선택하면 조직에 로그인할 때 사용자 액세스가 사용 불가능하게 됩니다.

원할 경우 선택적 필드에 대한 값을 입력합니다. 선택적 필드는 다음과 같습니다.

조직 별칭. 이 필드는 URL 로그인에서 별칭을 사용하여 인증할 수 있도록 조직에 대한 별칭 이름을 정의합니다. 예를 들어, 조직 이름이 exampleorg이고 123 및 abc를 별칭으로 정의하는 경우 다음 URL 중 하나를 사용하여 조직에 로그인할 수 있습니다.

http://machine.example.com/UI/Login?org=exampleorg

http://machine.example.com/UI/Login?org=abc

http://machine.example.com/UI/Login?org=123

도메인 이름. 조직의 전체 DNS (Domain Name System) 이름을 입력합니다(있을 경우).

DNS 별칭 이름. 조직의 DNS 이름에 대한 별칭 이름을 추가할 수 있습니다. 이 속성은
"실제" 도메인 별칭(임의의 문자열은 허용 안 됨)만 수락합니다. 예를 들어, DNS 이름이 example.com이고 example1.com 및 example2.com을 exampleorg 조직에 대한 별칭으로 정의하는 경우 다음 URL 중 하나를 사용하여 조직에 로그인할 수 있습니다.

http://machine.example.com/UI/Login?org=exampleorg

http://machine.example1.com/UI/Login?=org=exampleorg

http://machine.example2.com/UI/Login?org=exampleorg

고유 속성 목록. 조직의 사용자에 대한 고유 속성 이름 목록을 추가할 수 있습니다. 예를 들어, 전자 메일 주소를 지정하는 고유한 속성 이름을 추가할 경우 동일한 전자 메일 주소를 가지는 두 명의 사용자를 만들 수 없습니다. 또한, 이 필드에서는 쉼표로 구분된 목록을 허용합니다. 목록에 있는 속성 이름 중 하나가 고유성을 정의합니다. 예를 들어, 필드에 다음과 같은 속성 이름 목록이 있고

PreferredDomain, AssociatedDomain

PreferredDomain이 특정 사용자에 대한 http://www.example.com으로 정의되는 경우 전체 쉼표로 구분된 목록이 해당 URL에 대한 고유성으로 정의됩니다.

고유성은 모든 하위 조직에 적용됩니다.

만들기를 누릅니다.

새 조직이 이동 프레임에 표시됩니다.

조직 삭제

Identity 관리의 보기 메뉴에서 조직을 선택합니다.

작성된 모든 조직이 표시됩니다. 특정 조직을 표시하려면 검색 문자열을 입력하고 필터를 누릅니다.

삭제할 조직의 이름 옆에 있는 확인란을 선택합니다.

삭제를 누릅니다.



주	삭제를 수행할 때 경고 메시지가 나타나지 않습니다. 조직 내의 모든 항목이 삭제되고 실행 취소를 수행할 수 없습니다.

정책에 조직 추가

Identity Server 객체는 정책의 주제 정의를 통해 정책에 추가됩니다. 정책을 작성하거나 수정할 때 정책의 주제 페이지에서 조직, 역할, 그룹 및 사용자를 주제로 정의할 수 있습니다. 주제가 정의되고 나면 정책이 객체에 적용됩니다. 자세한 내용은 "정책 수정"을 참조하십시오.

그룹

그룹은 공통된 기능, 특징 또는 관심사를 가진 사용자 모음을 나타냅니다. 일반적으로 이 그룹에는 연관된 권한이 없습니다. 그룹은 두 가지 수준에서 존재할 수 있습니다(즉, 조직 내에 존재하고 다른 관리 대상 그룹 내에서 하위 그룹으로 존재함). 사용자는 관리 대상 그룹에 정적 또는 동적(필터링됨)으로 추가할 수 있습니다.

가입에 의한 그룹 구성원을 지정할 경우 지정된 관리 대상 그룹 유형에 기초하여 정적 그룹이 만들어집니다. 관리 대상 그룹 유형 값이 정적이면 groupOfNames 또는 groupOfUniqueNames 객체 클래스를 사용하여 그룹 구성원을 그룹 항목에 추가합니다. 관리 대상 그룹 유형 값이 동적인 경우 특정 LDAP 필터를 사용하여 memberof 속성을 포함하는 사용자 항목만 검색하여 반환합니다. 자세한 내용은 관리 대상 그룹 유형을 참조하십시오.

필터링된 그룹은 LDAP 필터를 사용하여 만들어지는 동적 그룹입니다. 모든 항목이 필터를 통해 걸러져 그룹에 동적으로 할당됩니다. 필터는 항목에서 속성을 검색하여 속성이 포함된 항목을 반환합니다. 예를 들어, 건물 번호를 기반으로 그룹을 만들 경우 필터를 사용하여 해당 건물 번호 속성을 포함하는 모든 사용자 목록을 반환할 수 있습니다.

관리 대상 그룹 만들기


주	기본적으로 관리 대상 그룹 유형은 동적입니다. 관리 서비스 구성에서 이 기본값을 변경할 수 있습니다.

그룹을 만들 조직 또는 그룹으로 이동합니다.

보기 메뉴에서 그룹을 선택합니다.

새로 만들기를 누릅니다.

데이터 프레임 내에서 그룹 유형을 선택합니다.

정적 가입 그룹을 만들 경우 가입에 의한 구성원을 선택합니다.

이름 필드에 그룹의 이름을 입력합니다. 다음을 누릅니다.

사용자는 이 그룹에 가입할 수 있습니다. 속성을 선택하여 사용자가 그룹에 직접 가입할 수 있게 합니다.

구성원 목록에서 추가를 선택하여 사용자를 그룹에 추가합니다.

검색 조건을 입력하고 필터를 누릅니다. 사용자 목록이 반환되면 추가할 사용자를 선택하고 제출을 누릅니다. 사용자를 그룹에 추가하는 것은 선택 사항입니다. 사용자는 그룹을 만든 후에 추가할 수 있습니다.

만들기를 누릅니다.

동적(LDAP 필터링된) 그룹을 만들 경우 필터링에 의한 구성원을 선택합니다.

이름 필드에 그룹의 이름을 입력합니다. 다음을 누릅니다.

LDAP 검색 필터를 생성합니다.

필터를 생성하는 데 사용되는 필드는 OR 또는 AND 연산자를 사용합니다. UI에 나열된 모든 필드가 사용됩니다. 필드가 비어 있는 경우 해당 특정 속성에 대한 가능한 모든 항목과 일치합니다.

만들기를 누릅니다.

관리 대상 그룹 삭제

그룹이 존재하는 조직으로 이동합니다.

보기 메뉴에서 그룹을 선택합니다.

삭제할 그룹의 이름 옆에 있는 확인란을 선택합니다.

삭제를 누릅니다.



주	참조 무결성 플러그 인을 사용하도록 Directory Server를 통해 Identity Server를 구성해야 합니다. 참조 무결성 플러그 인을 사용 가능하게 하면 삭제 또는 이름 바꾸기 작업이 수행된 경우 지정된 속성에서 무결성 업데이트를 바로 수행합니다. 따라서 관련된 항목 간의 관계가 데이터베이스 전체에서 유지됩니다. 데이터베이스 색인은 Directory Server에서 검색 성능을 향상시킵니다. 플러그 인 사용에 대한 자세한 내용은 Sun One Identity Server Migration Guide를 참조하십시오.

정책에 그룹 추가

사용자

사용자는 개인의 아이디를 나타냅니다. Identity Server의 Identity 관리 모듈을 통해 조직, 컨테이너 및 그룹에서 사용자를 작성 및 삭제할 수 있으며, 규칙 및/또는 그룹에서 사용자를 추가 또는 제거할 수 있으며, 사용자에게 서비스를 할당할 수 있습니다.

사용자 만들기

사용자를 만들 조직, 컨테이너 또는 사용자 컨테이너로 이동합니다. 사용자 작성 페이지에서 사용자 컨테이너를 선택할 수도 있습니다.

보기 메뉴에서 사용자를 선택합니다.

새로 만들기를 누릅니다.

데이터 프레임에 새 사용자 페이지가 표시됩니다.

필수 속성과 선택적 필드에 대한 값을 입력합니다.

사용자 프로필 속성에 대한 정보는 "사용자 속성"에서 확인할 수 있습니다.

만들기를 누릅니다.

역할 및 그룹에 사용자 추가

수정할 사용자의 조직으로 이동합니다.

보기 메뉴에서 사용자를 선택합니다.

이동 프레임에서 수정할 사용자를 선택하고 등록 정보 화살표를 누릅니다.

데이터 프레임의 보기 메뉴에서 역할 또는 그룹을 선택합니다.

사용자 보기를 사용하면 사용자 서비스에 정의된 모든 속성을 수정할 수 있습니다.

사용자를 추가할 역할이나 그룹을 선택하고 저장을 누릅니다. 필터링된 역할 및 그룹은 표시할 수 없습니다.

사용자에 서비스 추가

수정할 사용자의 조직으로 이동합니다.

보기 메뉴에서 사용자를 선택합니다.

이동 프레임에서 수정할 사용자를 선택하고 등록 정보 화살표를 누릅니다.

데이터 프레임의 보기 메뉴에서 서비스를 선택합니다.

추가를 눌러 사용자에 할당할 서비스를 선택합니다.

저장을 누릅니다.

사용자 삭제

사용자가 존재하는 조직으로 이동합니다.

보기 메뉴에서 사용자를 선택합니다.

삭제할 사용자의 이름 옆에 있는 확인란을 선택합니다.

삭제를 누릅니다.

정책에 사용자 추가

서비스

조직 또는 컨테이너(컨테이너의 동작은 조직의 동작과 동일)에 대해 서비스를 활성화하는 것은 두 단계로 이루어진 과정입니다. 첫 번째 단계에서는 서비스를 조직에 등록해야 합니다. 서비스를 등록한 후 해당 조직에 대해 특별히 구성된 템플리트를 만들어야 합니다. 자세한 내용은 3장, "서비스 구성"을 참조하십시오.

서비스 등록


주	우선 명령줄의 amadmin을 통해 새 서비스를 Identity Server로 가져와야 합니다. 서비스의 XML 스키마를 가져오는 방법에 대한 자세한 내용은 Sun ONE Identity Server Customization and API Guide에서 확인할 수 있습니다.

서비스를 추가할 조직으로 이동합니다.

Identity 관리 모듈의 보기 메뉴에서 조직을 선택하고 이동 프레임에서 조직을 선택합니다. 위치 경로는 기본 최상위 수준 조직과 선택된 조직을 표시합니다.

보기 메뉴에서 서비스를 선택합니다.

등록을 누릅니다.

이 조직에 등록할 수 있는 서비스 목록이 데이터 프레임에 표시됩니다.

추가할 서비스 옆의 확인란을 선택합니다.

등록을 누릅니다. 등록된 서비스가 이동 프레임에 표시됩니다.



주	최상위 수준 조직에 대해 등록된 서비스만 역할 수준에서 표시됩니다.

서비스의 템플리트 만들기

등록된 서비스가 존재하는 조직이나 역할로 이동합니다.

Identity 관리 모듈의 보기 메뉴에서 조직을 선택하고 이동 프레임에서 조직을 선택합니다.

보기 메뉴에서 서비스를 선택합니다.

활성화할 서비스 이름 옆에 있는 등록 정보 아이콘을 누릅니다.

이 서비스에 사용 가능한 템플리트가 없습니다. 템플리트를 만드시겠습니까?라는 메시지가 데이터 프레임에 표시됩니다.

만들기를 누릅니다.

이 서비스에 대해 부모 조직 또는 역할에 대한 템플리트가 만들어집니다. 데이터 프레임에 이 서비스의 기본 속성과 값이 표시됩니다. 기본 서비스의 속성은 "속성 참조 설명서"에 설명되어 있습니다.

기본값을 그대로 사용하거나 수정하고 저장을 누릅니다.

서비스 등록 취소

서비스를 제거할 조직으로 이동합니다.

Identity 관리 모듈의 보기 메뉴에서 조직을 선택하고 이동 프레임에서 조직을 선택합니다.

보기 메뉴에서 서비스를 선택합니다.

제거할 서비스의 확인란을 선택합니다.

등록 취소를 누릅니다.



주	서비스가 하위 조직 수준에서 등록된 경우 해당 서비스를 상위 조직 수준에서 등록 취소할 수 없습니다.

역할

역할은 그룹의 개념과 유사한 Directory Server 항목 체계입니다. 그룹이 구성원을 가지므로 역할도 구성원을 가집니다. 역할의 구성원은 역할을 소유하는 LDAP 항목입니다. 역할 자체에 대한 기준은 속성을 가진 LDAP 항목으로 정의됩니다. 이 항목은 항목의 고유 이름(DN) 속성으로 식별됩니다. Directory Server에 여러 다른 유형의 역할이 있지만 Identity Server는 이러한 역할 중 하나(관리 대상 역할)만 관리할 수 있습니다.

사용자는 하나 이상의 역할을 소유할 수 있습니다. 예를 들어, 세션 서비스 및 URL 정책 에이전트 서비스의 속성을 갖는 계약자 역할을 만들 수 있습니다. 새 계약자가 시작되면 관리자는 계약자 항목에 개별 속성을 설정하는 대신 이 역할을 할당할 수 있습니다. 계약자가 정식 사원이 될 경우 관리자는 해당 사용자에게 다른 역할을 다시 할당합니다.


주	다른 Directory Server 역할 유형도 디렉토리 배포에 사용할 수 있지만, Identity Server 콘솔에 의해 관리되지는 않습니다. 정책의 주제 정의에 다른 Directory Server 유형을 사용할 수 있습니다. 정책 주제에 대한 자세한 내용은 "정책 관리"를 참조하십시오.

Identity Server는 역할을 사용하여 액세스 제어 명령을 적용합니다. 처음 설치되면 Identity Server는 관리자 사용 권한을 정의하는 액세스 제어 명령(ACI)을 구성합니다. 그런 다음 이러한 ACI는 사용자에게 할당될 때 사용자의 액세스 권한을 정의하는 역할(예: 조직 관리자 역할 및 조직 도움말 데스크 관리자 역할)에 지정됩니다.

사용자는 관리 서비스에서 사용자 역할 표시 속성이 사용 가능하게 된 경우에만 할당된 역할을 볼 수 있습니다. 자세한 내용은 "사용자 역할 표시"를 참조하십시오.

그룹과 마찬가지로 역할을 필터를 통해 만들거나 정적으로 만들 수 있습니다.

필터링된 역할. 필터링된 역할은 LDAP 필터 사용을 통해 만드는 동적 역할입니다. 모든 사용자가 필터를 통해 걸러져 역할 작성 시 역할에 할당됩니다. 필터는 항목의 임의 속성 값 쌍(예: ca=user*)을 찾아 해당 속성을 포함하는 사용자를 역할에 자동으로 할당합니다.

정책 역할. 필터링된 역할과 달리 정적 역할은 역할 작성 시 사용자를 추가하지 않고 만들 수 있습니다. 따라서 주어진 역할에 특정 사용자를 추가할 때 더 많은 것을 제어할 수 있습니다.

필터링된 역할 만들기

이동 프레임에서 역할이 만들어지는 조직으로 이동합니다.

보기 메뉴에서 역할을 선택합니다.

기본 역할 집합이 조직을 구성할 때 만들어지며 이동 프레임에 표시됩니다.

이러한 역할에 대한 설명은 속성 참조 절의 "동적 관리자 역할 ACI"를 참조하십시오.

이동 프레임에서 새로 만들기를 누릅니다. 새 역할 템플리트가 데이터 프레임에 나타납니다.

필터링된 역할을 선택하고 이름을 입력합니다. 다음을 누릅니다.

역할에 대한 설명을 입력합니다.

유형 메뉴에서 역할 유형을 선택합니다.

역할은 관리 역할 또는 서비스 역할이 될 수 있습니다. 콘솔은 DIT에서 사용자를 시작할 위치를 파악하기 위해 역할 유형을 사용합니다. 관리 역할은 역할 소유자가 관리 권한을 갖고 있다는 것을 콘솔에 알리고 서비스 역할은 역할 소유자가 최종 사용자라는 것을 콘솔에 알립니다.

액세스 권한 메뉴에서 역할에 적용할 기본 사용 권한 집합을 선택합니다.

이러한 사용 권한은 조직 내의 항목에 대한 액세스를 제공합니다. 이에 대해서는 "기본 역할 권한(ACI)" 절에 설명되어 있습니다. (기본 사용 권한은 특별한 순서 없이 표시됩니다.)

일반적으로 서비스 역할에는 사용 권한 없음 ACI가 할당되고 관리 역할에는 임의의 기본 ACI가 할당됩니다.

검색 조건에 대한 정보를 입력합니다. 필드는 다음과 같습니다.

논리 연산자. 필터에 포함할 임의의 필드에 대한 연산자를 포함할 수 있습니다. AND는 지정된 모든 필드에 해당하는 사용자를 반환합니다. OR는 지정된 필드의 하나 이상에 해당하는 사용자를 반환합니다.

사용자 아이디. 사용자 아이디를 기준으로 사용자를 검색합니다.

이름. 이름을 기준으로 사용자를 검색합니다.

성. 성을 기준으로 사용자를 검색합니다.

성명. 성명을 기준으로 사용자를 검색합니다.

사용자 상태. 상태(활성 또는 비활성)를 기준으로 사용자를 검색합니다.

또한 고급 버튼을 선택하여 필터 속성을 직접 정의할 수 있습니다. 예를 들면 다음과 같습니다.

(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

필터를 비워두면 기본적으로 다음 역할이 만들어집니다.

(objectclass = inetorgperson)

재설정을 눌러 필터 등록 정보를 지우거나 취소를 눌러 역할 작성 프로세스를 취소합니다.

만들기를 눌러 필터 조건에 기초한 검색을 시작합니다. 필터 조건에서 정의된 사용자가 자동으로 역할에 할당됩니다.

정적 역할 만들기

이동 프레임에서 역할이 만들어지는 조직으로 이동합니다.

보기 메뉴에서 역할을 선택합니다.

기본 역할 집합이 조직을 구성할 때 만들어지며 이동 프레임에 표시됩니다.

이러한 역할에 대한 설명은 속성 참조 절의 "동적 관리자 역할 ACI"를 참조하십시오.

이동 프레임에서 새로 만들기를 누릅니다. 새 역할 템플리트가 데이터 프레임에 나타납니다.

정적 역할을 선택하고 이름을 입력합니다. 다음을 누릅니다.

역할에 대한 설명을 입력합니다.

유형 메뉴에서 역할 유형을 선택합니다.

액세스 권한 메뉴에서 역할에 적용할 기본 사용 권한 집합을 선택합니다.

일반적으로 서비스 역할에는 사용 권한 없음 ACI가 할당되고 관리 역할에는 임의의 기본 ACI가 할당됩니다.

만들기를 누릅니다.

작성된 역할이 이동 프레임에 표시되고 역할에 대한 상태 정보가 데이터 프레임에 표시됩니다.

역할에서 사용할 수 있는 서비스는 해당 역할에 대한 부모 조직에서 상속됩니다. 역할에 대한 서비스 템플리트가 아직 존재하지 않을 경우 편집 링크를 눌러 서비스 템플리트를 만들 수 있습니다. 서비스 템플리트가 이미 존재할 경우 서비스 등록 정보가 표시되며 이를 구성할수 있습니다. 자세한 내용은 "역할에 대한 서비스 사용자 정의"를 참조하십시오.

정적 역할에 사용자 추가

수정할 역할을 선택하고 등록 정보 화살표를 누릅니다.

데이터 프레임의 보기 메뉴에서 사용자를 선택합니다.

추가를 누릅니다.

검색 조건에 대한 정보를 입력합니다. 하나 이상의 표시된 필드에 기초하여 사용자를 검색할 수 있습니다. 이러한 필드는 다음과 같습니다.

논리 연산자. 필터에 포함할 임의의 필드에 대한 연산자를 포함할 수 있습니다. AND는 지정된 모든 필드에 해당되는 사용자를 반환합니다. OR는 지정된 필드 중 하나 이상에 해당되는 사용자를 반환합니다.

사용자 아이디. 사용자 아이디를 기준으로 사용자를 검색합니다.

이름. 이름을 기준으로 사용자를 검색합니다.

성. 성을 기준으로 사용자를 검색합니다.

성명. 성명을 기준으로 사용자를 검색합니다.

사용자 상태. 상태(활성 또는 비활성)를 기준으로 사용자를 검색합니다.

사용자 반환 기준. 검색에 의해 반환되는 값을 지정할 수 있습니다.

검색을 시작하려면 필터를 누릅니다.

아이디 옆에 있는 확인란을 선택하여 반환된 이름에서 사용자를 선택합니다.

저장을 누릅니다.

사용자가 이제 역할에 할당됩니다.



주	역할 프로필 페이지 및/또는 사용자 프로필 페이지를 통해 사용자를 역할에 추가할 수 있습니다.

역할에서 사용자 제거

수정할 역할을 포함하는 조직으로 이동합니다.

Identity 관리 모듈의 보기 메뉴에서 조직을 선택하고 이동 프레임에서 조직을 선택합니다.

보기 메뉴에서 역할을 선택합니다.

수정할 역할을 선택합니다.

보기 메뉴에서 사용자를 선택합니다.

제거할 사용자의 확인란을 선택합니다.

제거를 누릅니다.

사용자가 이제 역할에서 제거됩니다.



주	참조 무결성 플러그 인을 사용하도록 Directory Server를 통해 Identity Server를 구성해야 합니다. 참조 무결성 플러그 인을 사용 가능하게 하면 삭제 또는 이름 바꾸기 작업이 수행된 경우 지정된 속성에서 무결성 업데이트를 바로 수행합니다. 따라서 관련된 항목 간의 관계가 데이터베이스 전체에서 유지됩니다. 데이터베이스 색인은 Directory Server에서 검색 성능을 향상시킵니다. 플러그 인 사용에 대한 자세한 내용은 Sun One Identity Server Migration Guide를 참조하십시오.

정책에 역할 추가

역할에 대한 서비스 사용자 정의

역할에 사용할 수 있는 서비스를 사용자 정의하고 역할별로 서비스 속성의 액세스 수준을 사용자 정의할 수 있습니다. 관리자는 일반 보기를 사용하여 서비스 및 사용자 페이지를 사용자 정의하고 특정 서비스에 대한 액세스 권한만 가지는 서비스 관리자를 만들 수 있습니다. 예를 들어, 관리자는 주어진 역할에 대한 사용자 서비스에서 하나 이상의 속성에 대한 쓰기 권한을 거부할 수 있으며, 이 경우 해당 역할을 소유하는 사용자는 이러한 속성을 수정할 수 없습니다. 모든 정책 서비스에 액세스를 허가하고 다른 서비스에 대한 액세스를 거부하여 정책 관리자 역할을 만들 수 있습니다. 이러한 정책 관리자 역할을 소유하는 관리자는 정책을 작성 및 할당할 수 있지만 사용자 관리 작업을 수행할 수는 없습니다.

서비스를 표시하기 위해 조직 수준에서 서비스를 등록해야 합니다. 역할에 추가되는 사용자는 역할의 서비스 속성을 상속합니다.

서비스 액세스 사용자 정의

수정할 역할의 등록 정보 화살표를 누릅니다.

보기 메뉴에서 일반을 선택합니다.

역할 등록 정보 페이지의 서비스 목록에서 편집을 누릅니다.

그림 2-3에 표시된 것처럼 서비스 액세스 페이지가 표시됩니다.

디스플레이 열에서 서비스 이름을 눌러 역할에 허가할 서비스를 선택합니다. 기본적으로 역할은 모든 서비스에 대한 액세스 권한을 가집니다.

저장을 누릅니다.



주	서비스에 대한 액세스가 거부되면(선택되지 않으면) 역할을 소유하는 사용자에 대해 Identity Server 콘솔에서 서비스가 표시되지 않습니다. 또한 사용자를 등록 또는 등록 취소하거나, 서비스를 사용자에게 할당하거나, 서비스 템플리트를 작성, 삭제, 확인 또는 수정할 수 없습니다.

그림 2-3 서비스 액세스 페이지
Identity Server 콘솔 - 조직 관리자 역할에 대한 서비스 액세스 페이지

속성 액세스 사용자 정의

역할 등록 정보 페이지의 서비스 속성 목록에서 편집을 누릅니다. 그림 2-4에 표시된 것처럼 속성 액세스 페이지가 표시됩니다.

이동 메뉴를 사용하여 특정 서비스의 속성을 표시합니다.

읽기/쓰기 또는 읽기 전용 확인란을 선택하여 액세스 수준을 속성에 할당합니다.

저장을 누릅니다.



주	주어진 속성에 대해 읽기/쓰기 옵션과 읽기 전용 옵션이 모두 선택되지 않은 경우 해당 속성에 대한 읽기 및 쓰기 권한이 거부됩니다.

그림 2-4 속성 액세스 페이지
Identity Server 콘솔 - 속성 액세스 페이지

특정 서비스 속성에 대한 자세한 내용은 이 설명서의 3부, 속성 참조 설명서를 참조하십시오.

역할 삭제

삭제할 역할을 포함하는 조직으로 이동합니다.

Identity 관리의 보기 메뉴에서 조직을 선택하고 이동 프레임에서 조직을 선택합니다. 위치 경로는 기본 최상위 수준 조직과 선택된 조직을 표시합니다.

보기 메뉴에서 역할을 선택합니다.

역할의 이름 옆에 있는 확인란을 선택합니다.

삭제를 누릅니다.

정책

정책은 조직의 웹 자원을 보호하는 데 도움이 되는 규칙을 정의합니다. 정책 작성, 수정 및 삭제는 Identity 관리 모듈을 통해 수행되지만 그 절차는 "정책 관리"에 설명되어 있습니다.

컨테이너

객체 클래스와 속성의 차이로 인해 조직 항목을 사용할 수 없는 경우 컨테이너 항목을 사용합니다. Identity Server 컨테이너 항목과 Identity Server 조직 항목이 LDAP 객체 클래스 organizationalUnit 및 organization과 반드시 같을 필요가 없다는 것이 중요합니다. 이러한 항목은 추상 아이디 항목입니다. 이상적인 경우라면 컨테이너 항목 대신 조직 항목이 사용됩니다.

컨테이너 만들기


주	컨테이너 표시는 선택 사항입니다. 컨테이너를 보려면 Identity Server 관리 서비스에서 메뉴에 컨테이너 표시를 선택해야 합니다. 자세한 내용은 "메뉴에 컨테이너 표시"를 참조하십시오.

새 컨테이너가 만들어지는 조직이나 컨테이너로 이동합니다.

보기 메뉴에서 컨테이너를 선택합니다.

새로 만들기를 누릅니다.

컨테이너 템플리트가 데이터 프레임에 표시됩니다.

만들려는 컨테이너의 이름을 입력합니다.

만들기를 누릅니다.

컨테이너 삭제

삭제할 컨테이너가 포함된 조직이나 컨테이너로 이동합니다.

보기 메뉴에서 컨테이너를 선택합니다.

삭제할 컨테이너의 이름 옆에 있는 확인란을 선택합니다.

삭제를 누릅니다.



주	컨테이너를 삭제하면 해당 컨테이너에 존재하는 모든 객체가 삭제됩니다. 여기에는 모든 객체와 하위 컨테이너가 포함됩니다.

사용자 컨테이너

사용자 컨테이너는 조직 내에서 사용자가 만들어질 때 모든 사용자가 할당되는 기본 LDAP 조직 구성 단위입니다. 사용자 컨테이너는 조직 수준에서 표시되거나 사용자 컨테이너 수준에서 하위 사용자 컨테이너로 표시될 수 있습니다. 사용자 컨테이너는 다른 사용자 컨테이너와 사용자만 포함할 수 있습니다. 원하는 경우 추가 사용자 컨테이너를 조직에 추가할 수 있습니다.

사용자 컨테이너 만들기


주	사용자 컨테이너의 표시는 선택 사항입니다. 사용자 컨테이너를 보려면 Identity Server 관리 서비스에서 사용자 컨테이너 표시를 선택해야 합니다. 자세한 내용은 "사용자 컨테이너 표시"를 참조하십시오.

새 사용자 컨테이너를 만들려는 조직이나 사용자 컨테이너로 이동합니다.

보기 메뉴에서 사용자 컨테이너를 선택합니다.

새로 만들기를 누릅니다.

사용자 컨테이너 템플리트가 데이터 프레임에 표시됩니다.

만들려는 사용자 컨테이너의 이름을 입력합니다.

만들기를 누릅니다.

사용자 컨테이너 삭제

삭제할 사용자 컨테이너가 포함된 조직이나 사용자 컨테이너로 이동합니다.

보기 메뉴에서 사용자 컨테이너를 선택합니다.

삭제할 사용자 컨테이너의 이름 옆에 있는 확인란을 선택합니다.

삭제를 누릅니다.



주	사용자 컨테이너를 삭제하면 해당 사용자 컨테이너에 존재하는 모든 객체가 삭제됩니다. 여기에는 모든 사용자와 하위 사용자 컨테이너가 포함됩니다.

그룹 컨테이너

그룹 컨테이너는 그룹을 관리하는 데 사용됩니다. 그룹 컨테이너는 그룹과 다른 그룹 컨테이너만 포함할 수 있습니다. 그룹 컨테이너 그룹은 모든 관리 대상 그룹에 대한 부모 항목으로 동적으로 할당됩니다. 원하는 경우 추가 그룹 컨테이너를 추가할 수 있습니다.


주	그룹 컨테이너의 표시는 선택 사항입니다. 그룹 컨테이너를 표시하려면 Identity Server 관리 서비스에서 그룹 컨테이너 표시를 선택해야 합니다. 자세한 내용은 "그룹 컨테이너 표시"를 참조하십시오.

2장 Identity 관리

Identity 관리 인터페이스

Identity 관리 보기

사용자 프로필 보기

Identity Server 객체 관리

등록 정보 기능

조직

조직 만들기

조직 삭제

정책에 조직 추가

그룹

관리 대상 그룹 만들기

관리 대상 그룹 삭제

정책에 그룹 추가

사용자

사용자 만들기

역할 및 그룹에 사용자 추가

사용자에 서비스 추가

사용자 삭제

정책에 사용자 추가

서비스

서비스 등록

서비스의 템플리트 만들기

서비스 등록 취소

역할

필터링된 역할 만들기

정적 역할 만들기

정적 역할에 사용자 추가

역할에서 사용자 제거

정책에 역할 추가

역할에 대한 서비스 사용자 정의

서비스 액세스 사용자 정의

속성 액세스 사용자 정의

역할 삭제

정책

컨테이너

컨테이너 만들기

컨테이너 삭제

사용자 컨테이너

사용자 컨테이너 만들기

사용자 컨테이너 삭제

그룹 컨테이너

그룹 컨테이너 만들기

그룹 컨테이너 삭제

2장
Identity 관리