4장 Identity 관리

4장
Identity 관리

이 장에서는 Sun Java™ System Identity Server 2004Q2의 아이디 관리 기능에 대해 설명합니다. Identity 관리 모듈 인터페이스를 사용하면 모든 Identity Server 객체와 아이디를 보고, 관리하고, 구성할 수 있습니다. 이번 장은 다음 절로 구성됩니다.

Identity Server 콘솔

Identity 관리 인터페이스

Identity Server 객체 관리

Identity Server 콘솔

Identity Server 콘솔은 위치 창, 이동 창, 데이터 창의 세 섹션으로 구분됩니다. 관리자는 세 창을 모두 사용하여 디렉토리를 이동하고, 사용자 및 서비스 구성을 수행하고, 정책을 만들 수 있습니다.

그림 4-1 Identity Server 콘솔

Identity Server 콘솔: 헤더 프레임(위쪽), 이동 프레임(왼쪽), 데이터 프레임(오른쪽)

헤더 창

헤더 창은 콘솔의 위쪽에서 실행됩니다. 관리자는 헤더 창의 탭을 사용하여 다음과 같이 다른 관리 모듈 보기로 전환할 수 있습니다.

Identity 관리 모듈 - Identity 관련 객체를 작성 및 관리할 수 있습니다.

서비스 구성 모듈 - Identity Server의 기본 서비스를 구성할 수 있습니다.

현재 세션 모듈 - 관리자가 현재 세션 정보를 보거나, 세션을 종료할 수 있습니다.

연합 관리 모듈 - Liberty Alliance Project에서 개발 중인 연합 네트워크 아이디에 대한 개방 표준을 사용할 수 있게 해줍니다.

위치 필드에는 디렉토리 트리에서 관리자의 위치가 표시됩니다. 이 경로는 이동 목적으로 사용됩니다.

환영합니다 필드에는 콘솔을 현재 실행 중인 사용자의 이름과 사용자 프로필 링크가 표시됩니다.

검색 링크는 특정 Identity Server 객체 유형 항목을 검색할 수 있는 인터페이스를 표시합니다. 풀다운 메뉴를 사용하여 객체 유형을 선택하고 검색 문자열을 입력합니다. 결과가 검색 테이블에 반환됩니다. 와일드카드를 사용할 수 있습니다.

도움말 링크는 이 설명서 속성 참조 설명서의 아이디 관리, 현재 세션, 연합 관리 및 부 IV에 대한 정보가 포함된 브라우저 창을 엽니다.

로그아웃 링크를 사용하여 Identity Server에서 로그아웃할 수 있습니다.

탐색 표시 영역

이동 창은 Identity Server 콘솔의 왼쪽 부분입니다. 디렉토리 객체 부분(회색 상자 내)에는 현재 열려 있는 디렉토리 객체의 이름과 해당 등록 정보 링크가 표시됩니다. (이동 창에 표시되는 대부분의 객체에는 해당 등록 정보 링크가 있습니다. 이 링크를 선택하면 오른쪽의 데이터 창에 항목의 속성이 표시됩니다.) 보기 메뉴는 선택한 디렉토리 객체 아래에 있는 디렉토리를 나열합니다. 하위 디렉토리의 수에 따라 페이지 매김 메커니즘이 결정됩니다.

데이터 표시 영역

데이터 창은 콘솔의 오른쪽 부분입니다. 이 창에서 모든 객체 속성 및 해당 값이 표시 및 구성되고 개별 그룹, 역할 또는 조직에 대해 항목이 선택됩니다.



팁	[모두 선택] 또는 [모두 선택 취소] 아이콘을 눌러 목록에 있는 모든 항목을 선택하거나 선택 취소할 수 있습니다.

Identity Server 그래픽 사용자 인터페이스의 두 기본 보기가 있습니다. 로그인하는 사용자의 역할에 따라 Identity 관리 보기 또는 사용자 프로필 보기에 액세스할 수 있습니다.

Identity 관리 보기

관리 역할이 있는 사용자가 Identity Server에 인증하는 경우 기본 보기는 Identity 관리 보기입니다. 이 보기에서는 관리자가 관리 작업을 수행할 수 있습니다. 관리자의 역할에 따라 객체(사용자, 조직, 정책 등) 작성, 삭제 및 관리 작업과 서비스 구성 작업을 수행할 수 있습니다.

그림 4-2 조직 등록 정보가 표시된 Identity 관리 보기

Identity Server 콘솔 - 조직 등록 정보가 표시된 Identity 관리 보기

사용자 프로필 보기

관리 역할이 할당되지 않은 사용자가 Identity Server에 대해 인증을 수행할 때는 사용자 자신의 사용자 프로필이 기본 보기가 됩니다. 이 보기에서 사용자는 개인 프로필 특정의 속성 값을 수정할 수 있습니다. 여기에는 이름, 주소(집), 비밀번호 등이 포함될 수 있지만 이에 제한되지는 않습니다. 사용자 프로필 보기에 표시되는 속성은 확장할 수 있습니다. 객체 및 아이디에 대한 사용자 정의된 속성을 추가하는 방법에 대한 자세한 내용은 Identity Server Developer's Guide를 참조하십시오.

등록 정보 기능

항목의 등록 정보를 보거나 수정하려면 객체 이름 옆에 있는 등록 [정보 화살표]를 누릅니다. 속성과 해당 값이 데이터 창에 표시됩니다. 객체마다 다른 등록 정보가 표시됩니다.

항목의 등록 정보를 확장하는 방법은 Identity Server Developer's Guide를 참조하십시오.

그림 4-3 사용자 프로필 보기

Identity 관리 인터페이스

Identity 관리 구성 요소를 사용하여 Identity 관련 객체를 작성 및 관리할 수 있습니다. Identity Server 콘솔 또는 명령줄 인터페이스를 사용하여 사용자, 역할, 그룹, 정책, 조직, 하위 조직 및 컨테이너 객체 등을 정의, 수정 또는 삭제할 수 있습니다. 콘솔에는 조직, 그룹, 컨테이너, 사용자, 서비스 및 정책을 작성 및 관리하는 데 사용되는 다양한 권한을 가진 기본 관리자가 있습니다. (역할을 기반으로 추가 관리자를 만들 수 있습니다.) 관리자는 Identity Server에 설치될 때 Directory Server에 정의됩니다.

Identity Server 객체 관리

사용자 관리 인터페이스에는 Identity Server 객체(조직, 그룹, 사용자, 서비스, 역할, 정책, 컨테이너 객체, 에이전트)를 보거나 관리하는 데 필요한 모든 구성 요소가 포함되어 있습니다. 이 절에서는 객체 유형과 객체 유형을 구성하는 방법에 대해 설명합니다.

대부분의 Identity Server 객체 유형에서는 선택적으로 표시 옵션과 사용 가능한 작업을 구성하여 Identity Server 콘솔에 웹 인터페이스가 표시되는 방법을 표시하거나 숨길 수 있습니다. 구성은 조직 및 역할 수준에서 이루어지며 사용자는 자신이 상주하며 역할이 지정된 조직으로부터 구성을 상속합니다. 이 설정에 대해서는 이 장의 끝에서 설명합니다.

조직

조직은 기업에서 부서와 자원을 관리하는 데 사용되는 최상위 수준의 계층 구조를 나타냅니다. 설치 시 Identity Server는 Identity Server 엔터프라이즈 구성을 관리하기 위해 최상위 수준 조직(설치하는 동안 정의됨)을 동적으로 만듭니다. 설치 후에 추가 조직을 만들어 별도 엔터프라이즈를 관리할 수 있습니다. 생성되는 모든 조직은 최상위 조직 아래에 놓입니다.

조직 만들기

Identity 관리 모듈의 보기 메뉴에서 [조직]을 선택합니다.

이동 창에서 [새로 만들기]를 누릅니다.

필드에 대한 값을 입력합니다. 이름 필드만 필수입니다. 필드는 다음과 같습니다.

이름. 조직의 이름 값을 입력합니다.

도메인 이름. 조직의 전체 DNS (Domain Name System) 이름을 입력합니다(있을 경우).

조직 상태. active 또는 inactive를 선택합니다.

기본값은 활성입니다. 조직의 수명 동안 등록 정보 아이콘을 선택하여 언제든지 이 값을 변경할 수 있습니다. 비활성을 선택하면 조직에 로그인할 때 사용자 액세스가 사용 불가능하게 됩니다.

조직 별칭. 이 필드는 URL 로그인에서 별칭을 사용하여 인증할 수 있도록 조직에 대한 별칭 이름을 정의합니다. 예를 들어, 조직 이름이 exampleorg이고 123 및 abc를 별칭으로 정의하는 경우 다음 URL 중 하나를 사용하여 조직에 로그인할 수 있습니다.

http://machine.example.com/UI/Login?org=exampleorg

http://machine.example.com/UI/Login?org=abc

http://machine.example.com/UI/Login?org=123

조직 별칭 이름은 조직 전체에서 고유해야 합니다. 고유 속성 목록을 사용하여 고유성을 강제로 적용할 수 있습니다.

DNS 별칭 이름. 조직의 DNS 이름에 대한 별칭 이름을 추가할 수 있습니다. 이 속성은 "실제" 도메인 별칭(임의의 문자열은 허용 안 됨)만 수락합니다. 예를 들어, DNS 이름이 example.com이고 example1.com 및 example2.com을 exampleorg 조직에 대한 별칭으로 정의하는 경우 다음 URL 중 하나를 사용하여 조직에 로그인할 수 있습니다.

http://machine.example.com/UI/Login?org=exampleorg

http://machine.example1.com/UI/Login?=org=exampleorg

http://machine.example2.com/UI/Login?org=exampleorg

고유 속성 목록. 조직의 사용자에 대한 고유 속성 이름 목록을 추가할 수 있습니다. 예를 들어, 전자 메일 주소를 지정하는 고유한 속성 이름을 추가할 경우 동일한 전자 메일 주소를 가지는 두 명의 사용자를 만들 수 없습니다. 또한, 이 필드에서는 쉼표로 구분된 목록을 허용합니다. 목록에 있는 속성 이름 중 하나가 고유성을 정의합니다. 예를 들어, 필드에 다음과 같은 속성 이름 목록이 있고

PreferredDomain, AssociatedDomain

PreferredDomain이 특정 사용자에 대한 http://www.example.com으로 정의되는 경우 전체 쉼표로 구분된 목록이 해당 URL에 대한 고유성으로 정의됩니다.

고유성은 모든 하위 조직에 적용됩니다.

[확인]을 누릅니다.

새 조직이 이동 창에 표시됩니다. 조직을 만드는 동안에 정의한 등록 정보를 편집하려면 편집할 조직의 [등록 정보] 화살표를 누르고 데이터 창의 보기 메뉴에서 [일반]을 선택한 다음 등록 정보를 편집하고 [확인]을 누릅니다. 디스플레이 옵션 및 사용 가능한 작업 보기를 사용하여 Identity Server 콘솔의 모양을 사용자 정의하고 이 조직에 대해 인증된 모든 사용자의 동작을 지정할 수 있습니다.

조직 삭제

Identity 관리의 [보기] 메뉴에서 [조직]을 선택합니다.

작성된 모든 조직이 표시됩니다. 특정 조직을 표시하려면 검색 문자열을 입력하고 [검색]을 누릅니다.

삭제할 조직의 이름 옆에 있는 확인란을 선택합니다.

[삭제]를 누릅니다.



주	삭제를 수행할 때 경고 메시지가 나타나지 않습니다. 조직 내의 모든 항목이 삭제되고 실행 취소를 수행할 수 없습니다.

정책에 조직 추가

Identity Server 객체는 정책의 주제 정의를 통해 정책에 추가됩니다. 정책을 작성하거나 수정할 때 정책의 주제 페이지에서 조직, 역할, 그룹 및 사용자를 주제로 정의할 수 있습니다. 주제가 정의되고 나면 정책이 객체에 적용됩니다. 세부 사항에 대해서는 정책 관리를 참조하십시오.

그룹

그룹은 공통된 기능, 특징 또는 관심사를 가진 사용자 모음을 나타냅니다. 일반적으로 이 그룹에는 연관된 권한이 없습니다. 그룹은 두 가지 수준 즉, 조직 내에서와 다른 관리 대상 그룹 내에서 존재할 수 있습니다. 다른 그룹 내에서 존재하는 그룹을 하위 그룹이라고 부릅니다. 하위 그룹은 상위 그룹 내에서 “물리적으로” 존재하는 하위 노드입니다.

Identity Server는 또한 단일 그룹에 포함된 기존 그룹의 "표현"인 중첩 그룹을 지원합니다. 하위 그룹과 반대로 중첩 그룹은 DIT의 임의 위치에 존재할 수 있습니다. 중첩 그룹은 다수의 사용자에 대한 액세스 권한을 신속하게 설정할 수 있게 합니다.

그룹을 만들 경우 가입에 의한 구성원(정적 그룹) 또는 필터링에 의한 구성원(필터링된 그룹)을 사용하는 그룹을 만들 수 있습니다. 이는 사용자가 그룹에 추가되는 방법을 제어합니다. 사용자는 정적 그룹에만 추가할 수 있습니다. 동적 그룹은 필터를 통해 사용자의 추가를 제어합니다. 그러나 중첩 또는 하위 그룹은 두 그룹 모두에 추가할 수 있습니다.

정적 그룹(가입에 의한 구성원)

가입에 의한 그룹 구성원을 지정할 경우 지정된 관리 대상 그룹 유형에 기초하여 정적 그룹이 만들어집니다. 관리 대상 그룹 유형 값이 정적이면 groupOfNames 또는 groupOfUniqueNames 객체 클래스를 사용하여 그룹 구성원을 그룹 항목에 추가합니다. 관리 대상 그룹 유형 값이 동적인 경우 특정 LDAP 필터를 사용하여 memberof 속성을 포함하는 사용자 항목만 검색하여 반환합니다. 세부 사항에 대해서는 관리 대상 그룹 유형을 참조하십시오.



주	기본적으로 관리 대상 그룹 유형은 동적입니다. 관리 서비스 구성에서 이 기본값을 변경할 수 있습니다.

필터링된 그룹(필터링에 의한 구성원)

필터링된 그룹은 LDAP 필터를 사용하여 만들어지는 동적 그룹입니다. 모든 항목이 필터를 통해 걸러져 그룹에 동적으로 할당됩니다. 필터는 항목에서 속성을 검색하여 속성이 포함된 항목을 반환합니다. 예를 들어, 건물 번호를 기반으로 그룹을 만들 경우 필터를 사용하여 해당 건물 번호 속성을 포함하는 모든 사용자 목록을 반환할 수 있습니다.



주	참조 무결성 플러그 인을 사용하도록 Directory Server를 통해 Identity Server를 구성해야 합니다. 참조 무결성 플러그 인을 사용 가능하게 하면 삭제 또는 이름 바꾸기 작업이 수행된 경우 지정된 속성에서 무결성 업데이트를 바로 수행합니다. 따라서 관련된 항목 간의 관계가 데이터베이스 전체에서 유지됩니다. 데이터베이스 색인은 Directory Server에서 검색 성능을 향상시킵니다. 플러그 인 사용에 대한 자세한 내용은 Sun Java System Identity Server Migration Guide를 참조하십시오.

정적 그룹 만들기

그룹을 만들 조직, 그룹 또는 그룹 컨테이너로 이동합니다.

보기 메뉴에서 그룹을 선택합니다.

[새로 만들기]를 누릅니다.

데이터 창에서 그룹 유형으로 가입에 의한 구성원을 선택합니다.

이름 필드에 그룹의 이름을 입력합니다. [다음]을 누릅니다.

사용자가 이 그룹에 가입할 수 있음 속성을 선택하여 사용자가 그룹에 직접 가입할 수 있게 합니다.

DIT에서 여러 그룹 컨테이너를 정의했고 관리 서비스에서 그룹 컨테이너 표시 속성을 사용 가능하게 하지 않은 경우 정적 그룹이 속할 상위 그룹 컨테이너를 선택할 수 있습니다. 그렇지 않은 경우에는 이 필드가 표시되지 않습니다.

[마침]을 누릅니다.

그룹이 만들어지면 데이터 창의 보기 메뉴에서 일반을 선택하여 사용자가 이 그룹에 가입할 수 있음 속성을 편집할 수 있습니다.

정적 그룹에서 구성원 추가 또는 제거

구성원을 추가할 그룹 옆에 있는 [등록 정보] 화살표를 누릅니다.

데이터 창의 보기 메뉴에서 [구성원]을 선택합니다.

작업 선택 메뉴에서 수행할 작업을 선택합니다. 수행할 수 있는 작업은 다음과 같습니다.

새 사용자. 이 작업은 새 사용자를 만들며 사용자 정보를 저장할 때 사용자를 자동으로 그룹에 추가합니다.

사용자 추가. 이 작업은 기존 사용자를 그룹에 추가합니다. 이 작업을 선택할 경우 추가할 사용자를 지정하는 검색 조건을 만듭니다. 검색 조건을 생성하는 데 사용되는 필드는 ANY 또는 ALL 연산자를 사용합니다. ALL은 지정된 모든 필드에 해당하는 사용자를 반환합니다. ANY은 지정된 필드 중 하나 이상에 해당하는 사용자를 반환합니다. 필드를 비워두면 해당 특정 속성과 일치하는 가능한 모든 항목을 반환합니다. 반환된 사용자 목록에서 추가할 사용자를 선택하고 [확인]을 누릅니다.

그룹 추가. 이 작업은 중첩 그룹을 현재 그룹에 추가합니다. 이 작업을 선택할 경우 검색 범위와 그룹 이름(“*” 와일드카드 사용 가능)을 포함하는 검색 조건을 만들며 사용자가 그룹에 직접 가입할 수 있는지 여부를 지정할 수 있습니다. 반환된 그룹 목록에서 추가할 그룹을 선택하고 [확인]을 누릅니다.

구성원 제거. 이 작업은 그룹에서 구성원을 제거하지만 삭제하지는 않습니다. 제거하려는 구성원을 선택하고 작업 메뉴에서 [구성원 제거]를 선택합니다.

구성원 삭제. 이 작업은 선택한 구성원을 영구적으로 삭제합니다.

필터링된 그룹 만들기

그룹을 만들 조직 또는 그룹으로 이동합니다.

보기 메뉴에서 [그룹]을 선택합니다.

[새로 만들기]를 누릅니다.

데이터 창에서 그룹 유형으로 필터링에 의한 구성원을 선택합니다.

이름 필드에 그룹의 이름을 입력합니다. [다음]을 누릅니다.

LDAP 검색 필터를 생성합니다.

기본적으로 Identity Server는 기본 검색 필터 인터페이스를 표시합니다. 필터를 생성하는 데 사용되는 기본 필드는 ANY 또는 ALL 연산자를 사용합니다. ALL은 지정된 모든 필드에 해당하는 사용자를 반환합니다. ANY은 지정된 필드 중 하나 이상에 해당하는 사용자를 반환합니다. 필드를 비워두면 해당 특정 속성과 일치하는 가능한 모든 항목을 반환합니다.

또한 고급 버튼을 선택하여 필터 속성을 직접 정의할 수 있습니다. 예:

(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

마침을 누르면 검색 조건과 일치하는 모든 사용자가 자동으로 그룹에 추가됩니다.

필터링된 그룹에서 구성원 추가 또는 제거

구성원을 추가할 그룹 옆에 있는 [등록 정보] 화살표를 누릅니다.

데이터 창의 보기 메뉴에서 [구성원]을 선택합니다.

작업 선택 메뉴에서 수행할 작업을 선택합니다. 수행할 수 있는 작업은 다음과 같습니다.

그룹 추가. 이 작업은 중첩 그룹을 현재 그룹에 추가합니다. 이 작업을 선택할 경우 검색 범위와 그룹 이름("*" 와일드카드 사용 가능)을 포함하는 검색 조건을 만들고 사용자가 그룹에 직접 가입할 수 있는지 여부를 지정할 수 있습니다. 반환된 그룹 목록에서 추가할 그룹을 선택하고 [확인]을 누릅니다.

구성원 제거. 이 작업은 그룹에서 구성원을 제거하지만 삭제하지는 않습니다. 제거할 구성원을 선택하고 [확인]을 누릅니다.

구성원 삭제. 이 작업은 선택한 구성원을 영구적으로 삭제합니다.

정책에 그룹 추가

사용자

사용자는 개인의 Identity를 나타냅니다. Identity Server Identity 관리 모듈을 통해 사용자를 조직, 컨테이너 및 그룹에서 만들고 삭제할 수 있으며 역할 및/또는 그룹에서 추가 또는 제거할 수 있습니다. 또한 서비스를 사용자에게 할당할 수도 있습니다.



주	하위 조직의 사용자가 amadmin과 동일한 사용자 아이디를 사용하여 생성될 경우 amadmin에 대한 로그인은 실패하게 됩니다. 그런 문제가 발생하면 관리자는 Directory Server 콘솔을 통해 사용자의 아이디를 변경해야 합니다. 이렇게 하면 관리자는 기본 조직에 로그인할 수 있습니다. 또한 인증 서비스에서 사용자 검색을 시작할 DN을 사용자 컨테이너 DN으로 설정하여 로그인 프로세스 도중 고유한 일치가 반환되도록 할 수 있습니다.

사용자 만들기

사용자를 만들 조직, 컨테이너 또는 사용자 컨테이너로 이동합니다.

[보기] 메뉴에서 [사용자]를 선택합니다.

[새로 만들기]를 누릅니다.

데이터 창에 새 사용자 페이지가 표시됩니다.

사용자에게 지정할 서비스를 선택합니다.

표시되는 유일한 서비스는 사용자 속성을 포함하며 사용자가 속할 조직에 추가된 서비스입니다. [다음]을 누릅니다.

DIT에서 여러(두 개 이상) 그룹 컨테이너를 정의했고 관리 서비스에서 그룹 컨테이너 표시 속성을 사용 가능하게 하지 않은 경우 정적 그룹이 속할 사용자 컨테이너를 사용자 작성 페이지에서 선택할 수 있습니다. 그렇지 않은 경우에는 이 필드가 표시되지 않습니다.

필요한 속성에 대해 값을 입력합니다.

사용자 프로필 속성에 대한 정보는 사용자 속성에서 확인할 수 있습니다.

[확인]을 누릅니다.

역할 및 그룹에 사용자 추가

수정할 사용자의 조직으로 이동합니다.

[보기] 메뉴에서 [사용자]를 선택합니다.

이동 창에서 수정할 사용자를 선택하고 [등록 정보] 화살표를 누릅니다.

데이터 창의 [보기] 메뉴에서 [역할] 또는 [그룹]을 선택합니다. 이미 사용자에게 할당된 역할과 그룹만 표시됩니다. [추가]를 눌러 선택할 수 있는 역할 및 그룹 목록을 표시합니다.

사용자를 추가할 역할이나 그룹을 선택하고 [저장]을 누릅니다.

사용자에게 서비스를 추가하려면

수정할 사용자의 조직으로 이동합니다.

이동 창의 [보기] 메뉴에서 [사용자]를 선택합니다.

이동 창에서 수정할 사용자를 선택하고 [등록 정보] 화살표를 누릅니다.

데이터 창의 [보기] 메뉴에서 [서비스]를 선택합니다.

[추가]를 눌러 사용자에 할당할 서비스를 선택합니다.

[저장]을 누릅니다.

사용자 삭제

사용자가 있는 위치로 이동합니다.

[보기] 메뉴에서 [사용자]를 선택합니다.

삭제할 사용자의 이름 옆에 있는 확인란을 선택합니다.

[삭제]를 누릅니다.



주	삭제 작업 전에 경고 메시지가 표시되지 않으며 삭제 작업을 실행 취소할 수도 없습니다.

정책에 사용자 추가

서비스

조직 또는 컨테이너(컨테이너의 동작은 조직의 동작과 동일)에 대해 서비스를 활성화하는 과정은 두 단계로 이루어집니다. 첫 번째 단계에서는 서비스를 조직에 추가해야 합니다. 서비스를 추가한 후 해당 조직에 대해 특별히 구성된 템플리트를 구성해야 합니다. 자세한 내용은 5장, "서비스 구성"을 참조하십시오.



주	우선 명령줄의 amadmin을 통해 새 서비스를 Identity Server로 가져와야 합니다. 서비스의 XML 스키마를 가져오는 방법에 대한 자세한 내용은 Identity Server Developer's Guide에서 확인할 수 있습니다.

서비스 추가

서비스를 추가할 조직으로 이동합니다.

Identity 관리 모듈의 보기 메뉴에서 [조직]을 선택하고 이동 창에서 조직을 선택합니다. 위치 경로는 기본 최상위 수준 조직과 선택된 조직을 표시합니다.

[보기] 메뉴에서 [서비스]를 선택합니다.

[추가]를 누릅니다.

이 조직에 추가할 수 있는 서비스 목록이 데이터 창에 표시됩니다.

추가할 각 서비스 옆의 확인란을 선택합니다.

[확인]을 누릅니다. 추가된 서비스가 이동 창에 표시됩니다.



주	상위 조직에 추가된 서비스만 하위 조직 수준에서 표시됩니다.

서비스의 템플리트 만들기

추가된 서비스가 있는 조직이나 역할로 이동합니다.

Identity 관리 모듈의 [보기] 메뉴에서 [조직]을 선택하고 이동 창에서 조직을 선택합니다.

[보기] 메뉴에서 [서비스]를 선택합니다.

활성화할 서비스 이름 옆에 있는 등록 정보 아이콘을 누릅니다.

데이터 창에 이 서비스에 대한 템플리트가 현재 없습니다. 지금 템플리트를 만드시겠습니까?라는 메시지가 표시됩니다.

예를 누릅니다.

이 서비스에 대해 부모 조직 또는 역할에 대한 템플리트가 만들어집니다. 데이터 창에 이 서비스의 기본 속성과 값이 표시됩니다. 기본 서비스의 속성은 속성 참조 설명서에 설명되어 있습니다.

기본값을 그대로 사용하거나 수정하고 [저장]을 누릅니다.

서비스 제거

서비스를 제거할 조직으로 이동합니다.

Identity 관리 모듈의 [보기] 메뉴에서 조직을 선택하고 이동 창에서 [조직]을 선택합니다.

[보기] 메뉴에서 [서비스]를 선택합니다.

제거할 서비스의 확인란을 선택합니다.

[제거]를 클릭합니다.



주	서비스가 하위 조직 수준에서 등록된 경우 해당 서비스를 상위 조직 수준에서 제거할 수 없습니다.

역할

역할은 그룹의 개념과 유사한 Directory Server 항목 체계입니다. 그룹이 구성원을 가지므로 역할도 구성원을 가집니다. 역할의 구성원은 역할을 소유하는 LDAP 항목입니다. 역할 자체에 대한 기준은 속성을 가진 LDAP 항목으로 정의됩니다. 이 항목은 항목의 고유 이름(DN) 속성으로 식별됩니다. Directory Server에는 여러 다른 유형의 역할이 있지만 Identity Server는 이러한 역할 중 하나 (관리 대상 역할)만 관리할 수 있습니다.



주	다른 Directory Server 역할 유형도 디렉토리 배포에 사용할 수 있지만, Identity Server 콘솔에 의해 관리되지는 않습니다. 정책의 주제 정의에 다른 Directory Server 유형을 사용할 수 있습니다. 정책 주제에 대한 자세한 내용은 정책 만들기를 참조하십시오.

사용자는 하나 이상의 역할을 소유할 수 있습니다. 예를 들어, 세션 서비스 및 비밀번호 재설정 서비스의 속성을 갖는 계약자 역할을 만들 수 있습니다. 새 계약자가 시작되면 관리자는 계약자 항목에 개별 속성을 설정하는 대신 이 역할을 할당할 수 있습니다. 계약자가 엔지니어링 부서에서 일하며, 엔지니어링 직원이 사용할 수 있는 서비스와 액세스 권한을 요구하는 경우, 관리자는 계약자를 계약자 역할 외에 엔지니어링 역할에도 지정할 수 있습니다.

Identity Server는 역할을 사용하여 액세스 제어 명령을 적용합니다. 처음 설치되면 Identity Server는 관리자 사용 권한을 정의하는 액세스 제어 명령 (ACI) 을 구성합니다. 그런 다음 이러한 ACI는 사용자에게 할당될 때 사용자의 액세스 권한을 정의하는 역할 (예: 조직 관리자 역할 및 조직 도움말 데스크 관리자 역할) 에 지정됩니다.

사용자는 관리 서비스에서 사용자 역할 표시 속성이 사용 가능하게 된 경우에만 할당된 역할을 볼 수 있습니다. 세부 사항에 대해서는 사용자 프로필 페이지에 역할 표시를 참조하십시오.



주	참조 무결성 플러그 인을 사용하도록 Directory Server를 통해 Identity Server를 구성해야 합니다. 참조 무결성 플러그 인을 사용 가능하게 하면 삭제 또는 이름 바꾸기 작업이 수행된 경우 지정된 속성에서 무결성 업데이트를 바로 수행합니다. 따라서 관련된 항목 간의 관계가 데이터베이스 전체에서 유지됩니다. 데이터베이스 색인은 Directory Server에서 검색 성능을 향상시킵니다. 플러그 인 사용에 대한 자세한 내용은 Sun Java System Identity Server Migration Guide를 참조하십시오.

그룹과 마찬가지로 역할을 필터를 통해 만들거나 정적으로 만들 수 있습니다.

정책 역할. 필터링된 역할과 달리 정적 역할은 역할 작성 시 사용자를 추가하지 않고 만들 수 있습니다. 따라서 주어진 역할에 특정 사용자를 추가할 때 더 많은 것을 제어할 수 있습니다.

필터링된 역할. 필터링된 역할은 LDAP 필터 사용을 통해 만드는 동적 역할입니다. 모든 사용자가 필터를 통해 걸러져 역할 작성 시 역할에 할당됩니다. 필터는 항목의 임의 속성 값 쌍(예: ca=user*)을 찾아 해당 속성을 포함하는 사용자를 역할에 자동으로 할당합니다.

정적 역할 만들기

이동 창에서 역할을 만들 조직으로 이동합니다.

[보기] 메뉴에서 [역할]을 선택합니다.

기본 역할 집합은 조직을 구성할 때 만들어지며 이동 창에 표시됩니다. 기본 역할은 다음과 같습니다.

컨테이너 도움말 데스크 관리자.컨테이너 도움말 데스크 관리자 역할은 조직 구성 단위의 모든 항목에 대한 읽기 권한과 이 컨테이너 단위에 한하여 사용자 항목의 userPassword 속성에 대한 쓰기 권한을 가집니다.

조직 도움말 데스크 관리자.조직의 도움말 데스크 관리자는 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.



주	하위 조직을 만들 때 관리 역할이 부모 조직이 아닌 하위 조직에서 만들어진다는 점에 주의하십시오.

컨테이너 관리자.컨테이너 관리자 역할은 LDAP 조직 구성 단위의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. Identity Server에서 LDAP 조직 구성 단위를 흔히 컨테이너라고 부릅니다.

조직 정책 관리자.조직 정책 관리자는 모든 정책에 대한 읽기 및 쓰기 권한을 가지며 해당 조직 내의 모든 정책을 작성, 할당, 수정 및 삭제할 수 있습니다.

사용자 컨테이너 관리자.기본적으로 새로 만든 조직의 모든 사용자 항목은 해당 조직의 사용자 컨테이너에 속한 구성원입니다. 사용자 컨테이너 관리자는 조직의 사용자 컨테이너에 있는 모든 사용자 항목에 대한 읽기 및 쓰기 권한을 가집니다. 이 역할은 역할 및 그룹 DN을 포함하는 속성에 대한 읽기 및 쓰기 권한을 갖지 않으므로 역할 또는 그룹의 속성을 수정하거나 역할 또는 그룹에서 사용자를 제거할 수 없다는 점에 주의하십시오.



주	Identity Server에서 다른 컨테이너를 구성하여 사용자 항목, 그룹 항목 또는 다른 컨테이너를 포함할 수 있습니다. 조직이 이미 구성된 후에 만든 컨테이너에 관리자 역할을 할당하면 컨테이너 관리자 역할 또는 컨테이너 도움말 데스크 관리자 기본값이 사용됩니다.

그룹 관리자.그룹 관리자는 특정 그룹의 모든 구성원에 대한 읽기 및 쓰기 권한을 가지며 새 사용자 작성, 관리하는 그룹에 사용자 할당, 작성한 그룹에서 사용자 삭제 등의 작업을 수행할 수 있습니다.

그룹이 만들어지면 해당 그룹을 관리하는 데 필요한 권한과 함께 그룹 관리자 역할이 자동으로 생성됩니다. 이 역할은 그룹 구성원에 자동으로 할당되지 않습니다. 따라서 그룹 작성자나 그룹 관리자 역할에 대한 액세스 권한을 가진 누군가가 이 역할을 할당해야 합니다.

최상위 수준 관리자.최상위 수준 관리자는 최상위 수준 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. 다시 말해서 이 최상위 수준 관리자 역할은 Identity Server 응용 프로그램 내의 모든 구성 항목에 대한 권한을 가집니다.

조직 관리자.조직 관리자는 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다. 조직이 만들어지면 해당 조직을 관리하는 데 필요한 권한과 함께 조직 관리자 역할이 자동으로 생성됩니다.

[이동] 창에서 [새로 만들기]를 누릅니다. 새 역할 템플리트가 데이터 창에 나타납니다.

정적 역할을 선택하고 이름을 입력합니다. [다음]을 누릅니다.

역할에 대한 설명을 입력합니다.

유형 메뉴에서 역할 유형을 선택합니다.

역할은 관리 역할 또는 서비스 역할이 될 수 있습니다. 역할 유형은 Identity Server 콘솔에서 사용자를 시작할 위치를 파악하기 위해 사용됩니다. 관리 역할은 역할 소유자가 관리 권한을 갖고 있다는 것을 콘솔에 알리고 서비스 역할은 역할 소유자가 최종 사용자라는 것을 콘솔에 알립니다.

[액세스 권한] 메뉴에서 역할에 적용할 기본 사용 권한 집합을 선택합니다. 이러한 사용 권한은 조직 내의 항목에 대한 액세스를 제공합니다. 기본 사용 권한은 특별한 순서 없이 표시됩니다. 다음과 같은 권한이 있습니다.

사용 권한 없음.역할에 사용 권한이 설정되지 않습니다.

조직 관리자.조직 관리자는 구성된 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다.

조직 도움말 데스크 관리자.조직의 도움말 데스크 관리자는 구성된 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.

조직 정책 관리자.조직 정책 관리자는 조직의 모든 정책에 대한 읽기 및 쓰기 권한을 가집니다. 조직 정책 관리자는 피어 조직에 대한 참조 정책을 만들 수 없습니다.

일반적으로 서비스 역할에는 사용 권한 없음 ACI가 할당되고 관리 역할에는 임의의 기본 ACI가 할당됩니다.

[마침]을 누릅니다.

만들어진 역할이 이동 창에 표시되고 역할에 대한 상태 정보가 데이터 창에 표시됩니다.

원하는 경우 보기 메뉴에서 표시 옵션과 사용 가능한 작업을 선택하여 구성할 수 있습니다. 자세한 내용은 이 장의 끝에 있는 디스플레이 옵션과 사용 가능한 작업을 참조하십시오.

정적 역할에 사용자 추가

수정할 역할을 선택하고 [등록 정보] 화살표를 누릅니다.

데이터 창의 [보기] 메뉴에서 [사용자]를 선택합니다.

[추가]를 누릅니다.

검색 조건에 대한 정보를 입력합니다. 하나 이상의 표시된 필드에 기초하여 사용자를 검색할 수 있습니다. 이러한 필드는 다음과 같습니다.

사용자 반환 기준.검색에 의해 반환되는 값을 지정할 수 있습니다.

일치.필터에 포함할 임의의 필드에 대한 연산자를 포함할 수 있습니다. ALL은 지정된 모든 필드에 해당하는 사용자를 반환합니다. ANY은 지정된 필드 중 하나 이상에 해당하는 사용자를 반환합니다.

사용자 아이디. 사용자 아이디를 기준으로 사용자를 검색합니다.

이름. 이름을 기준으로 사용자를 검색합니다.

성. 성을 기준으로 사용자를 검색합니다.

전체 이름. 전체 이름을 기준으로 사용자를 검색합니다.

사용자 상태. 상태(활성 또는 비활성)를 기준으로 사용자를 검색합니다.

[다음]을 눌러 검색을 시작합니다. 검색 결과가 표시됩니다.

아이디 옆에 있는 확인란을 선택하여 반환된 이름에서 사용자를 선택합니다.

[마침]을 누릅니다.

사용자가 이제 역할에 할당됩니다.

필터링된 역할 만들기

이동 창에서 역할을 만들 조직으로 이동합니다.

[보기] 메뉴에서 [역할]을 선택합니다.

기본 역할 집합은 조직을 구성할 때 만들어지며 이동 창에 표시됩니다. 기본 역할은 다음과 같습니다.

컨테이너 도움말 데스크 관리자. 컨테이너 도움말 데스크 관리자 역할은 조직 구성 단위의 모든 항목에 대한 읽기 권한과 이 컨테이너 단위에 한하여 사용자 항목의 userPassword 속성에 대한 쓰기 권한을 가집니다.

조직 도움말 데스크 관리자.조직의 도움말 데스크 관리자는 조직의 모든 항목에 대한 읽기 권한과 userPassword 속성에 대한 쓰기 권한을 가집니다.



주	하위 조직을 만들 때 관리 역할이 부모 조직이 아닌 하위 조직에서 만들어진다는 점에 주의하십시오.



주	Identity Server에서 다른 컨테이너를 구성하여 사용자 항목, 그룹 항목 또는 다른 컨테이너를 포함할 수 있습니다. 조직이 이미 구성된 후에 만든 컨테이너에 관리자 역할을 할당하면 컨테이너 관리자 역할 또는 컨테이너 도움말 데스크 관리자 기본값이 사용됩니다.

[이동] 창에서 [새로 만들기]를 누릅니다. 새 역할 템플리트가 데이터 창에 나타납니다.

필터링된 역할을 선택하고 이름을 입력합니다. [다음]을 누릅니다.

역할에 대한 설명을 입력합니다.

유형 메뉴에서 역할 유형을 선택합니다.

[액세스 권한] 메뉴에서 역할에 적용할 기본 사용 권한 집합을 선택합니다.

이러한 사용 권한은 조직 내의 항목에 대한 액세스를 제공합니다. 기본 사용 권한은 특별한 순서 없이 표시됩니다. 다음과 같은 권한이 있습니다.

사용 권한 없음. 역할에 사용 권한이 설정되지 않습니다.

조직 관리자.조직 관리자는 구성된 조직의 모든 항목에 대한 읽기 및 쓰기 권한을 가집니다.

일반적으로 서비스 역할에는 사용 권한 없음 ACI가 할당되고 관리 역할에는 임의의 기본 ACI가 할당됩니다.

검색 조건에 대한 정보를 입력합니다. 필드는 다음과 같습니다.

일치. 필터에 포함할 임의의 필드에 대한 연산자를 포함할 수 있습니다. ALL은 지정된 모든 필드에 해당하는 사용자를 반환합니다. ANY은 지정된 필드 중 하나 이상에 해당하는 사용자를 반환합니다.

사용자 아이디. 사용자 아이디를 기준으로 사용자를 검색합니다.

이름. 이름을 기준으로 사용자를 검색합니다.

성. 성을 기준으로 사용자를 검색합니다.

전체 이름. 전체 이름을 기준으로 사용자를 검색합니다.

사용자 상태. 상태(활성 또는 비활성)를 기준으로 사용자를 검색합니다.

또한 고급 버튼을 선택하여 필터 속성을 직접 정의할 수 있습니다. 예:

(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

[재설정]을 눌러 필터 등록 정보를 지우거나 [취소]를 눌러 역할 작성 프로세스를 취소합니다.

[마침]을 눌러 필터 조건을 기준으로 검색을 시작합니다. 필터 조건에서 정의된 사용자가 자동으로 역할에 할당됩니다.



주	역할 프로필 페이지 및/또는 사용자 프로필 페이지를 통해 사용자를 정적 역할에 추가할 수 있습니다.

역할에서 사용자 제거

수정할 역할을 포함하는 조직으로 이동합니다.

Identity 관리 모듈의 [보기] 메뉴에서 [조직]을 선택하고 [이동] 창에서 조직을 선택합니다.

[보기] 메뉴에서 [역할]을 선택합니다.

수정할 역할을 선택합니다.

[보기] 메뉴에서 [사용자]를 선택합니다.

제거할 각 사용자 옆에 있는 확인란을 선택합니다.

[제거]를 클릭합니다.

사용자가 이제 역할에서 제거됩니다.

정책에 역할 추가

역할에 대한 서비스 사용자 정의

역할에 사용할 수 있는 서비스를 사용자 정의하고 역할별로 서비스 속성의 액세스 수준을 사용자 정의할 수 있습니다. 속성에 대한 역할별 값을 설정하여 사용 가능한 각 서비스를 역할에 대해 사용자 정의할 수 있습니다. 또한 각 서비스와 서비스의 속성에 대해 액세스를 허용할 수 있습니다. 일부 서비스에 대해서는 특정 유형의 사용자(예: 관리자)만 액세스하도록 만들 수 있습니다. 이를 위해서 모든 사용자에게 서비스를 할당하되 특정 역할에 속하는 관리자 유형에게만 특정 서비스의 액세스 권한을 허용합니다.

동일한 논리가 서비스 속성에도 적용됩니다. 사용자의 계정은 여러 속성으로 구성되며 그 중 일부는 사용자의 액세스가 허용되지 않을 수 있습니다(예: 계정 만료 날짜). 계정의 관리자에게는 이 속성에 대한 액세스가 허용될 수 있지만 사용자(계정 소유자)는 이러한 액세스가 허용되지 않습니다. 서비스 및 속성 액세스를 사용자 정의하는 작업은 이동 창에서 역할의 서비스 보기를 통해 수행합니다.

서비스를 표시하기 위해 조직 수준에서 서비스를 추가해야 합니다. 역할에 추가되는 사용자는 역할의 서비스 속성을 상속합니다.

서비스 구성

역할의 서비스 보기에서 이 역할의 서비스 구성이라는 레이블이 붙은 섹션으로 이동합니다.

서비스 이름 옆에 있는 [편집] 링크를 눌러 역할에 허용할 서비스를 선택합니다.

서비스 템플리트를 만들지 않은 경우 지금 만들 것인지 묻는 메시지가 나타납니다. 예를 누릅니다.

서비스 속성을 수정합니다. 특정 서비스 속성에 대한 자세한 내용은 이 설명서의 3부, 속성 참조 설명서를 참조하십시오.

[저장]을 누릅니다.



주	서비스에 대한 액세스가 거부되면(선택되지 않으면) 역할을 소유하는 사용자에 대해 Identity Server 콘솔에서 서비스가 표시되지 않습니다. 또한 사용자를 등록 또는 등록 취소하거나, 서비스를 사용자에게 할당하거나, 서비스 템플리트를 작성, 삭제, 확인 또는 수정할 수 없습니다.

속성 액세스 사용자 정의

역할의 서비스 보기에서 이 역할의 서비스 액세스라는 레이블이 붙은 섹션으로 이동합니다.

수정할 서비스에 대한 사용 가능 또는 사용 불가 상태를 선택합니다. 사용 가능을 선택하면 액세스 수정이 허용되고 사용 불가를 선택하면 액세스 수정이 허용되지 않습니다.

[액세스 수정] 링크를 누릅니다.

[읽기/쓰기] 또는 [읽기 전용] 확인란을 선택하여 액세스 수준을 속성에 할당합니다.

[저장]을 누릅니다.

특정 서비스 속성에 대한 자세한 내용은 이 설명서의 3부, 속성 참조 설명서를 참조하십시오.

[저장]을 누릅니다.

정책에 역할 추가

역할 삭제

삭제할 역할을 포함하는 조직으로 이동합니다.

Identity 관리의 [보기] 메뉴에서 [조직]을 선택하고 이동 창에서 조직을 선택합니다. 위치 경로는 기본 최상위 수준 조직과 선택된 조직을 표시합니다.

[보기] 메뉴에서 [역할]을 선택합니다.

역할의 이름 옆에 있는 확인란을 선택합니다.

[삭제]를 누릅니다.

정책

정책은 조직의 웹 자원을 보호하는 데 도움이 되는 규칙을 정의합니다. 정책 작성, 수정 및 삭제는 Identity 관리 모듈을 통해 수행되지만 그 절차는 정책 만들기에 설명되어 있습니다.

에이전트

Identity Server 정책 에이전트는 웹 서버 및 웹 프록시 서버의 내용을 무단 침입으로부터 보호합니다. 정책 에이전트는 관리자가 구성한 정책에 기초하여 서비스 및 웹 자원에 대한 액세스를 제어합니다.

에이전트 객체는 정책 에이전트 프로필을 정의하고 Identity Server 자원을 보호하고 있는 특정 에이전트에 대한 인증 및 기타 프로필 정보를 Identity Server에서 저장할 수 있게 합니다. 관리자는 Identity Server 콘솔을 통해 에이전트 프로필을 확인, 작성, 수정 및 삭제할 수 있습니다.

에이전트 만들기

만들려는 에이전트를 포함하는 조직으로 이동합니다.

보기 메뉴에서 에이전트를 선택합니다.

[새로 만들기]를 누릅니다.

필드에 대한 값을 입력합니다. 이름 필드만 필수입니다. 필드는 다음과 같습니다.

이름. 에이전트의 이름이나 아이디를 입력합니다. 에이전트는 Identity Server에 로그인할 때 이 이름을 사용합니다. 멀티바이트 이름은 사용할 수 없습니다.

비밀번호. 에이전트 비밀번호를 입력합니다. 이 비밀번호는 LDAP 인증 도중에 에이전트가 사용하는 비밀번호와 일치해야 합니다.

비밀번호 확인. 비밀번호를 확인합니다.

설명. 에이전트에 대한 간단한 설명을 입력합니다. 예를 들어, 에이전트 인스턴스 이름이나 에이전트가 보호하는 응용 프로그램의 이름을 입력할 수 있습니다.

에이전트 키 값. 키/값 쌍을 사용하여 에이전트 등록 정보를 설정합니다. Identity Server는 이 등록 정보를 사용하여 사용자의 자격 증명 명제에 대한 에이전트 요청을 받습니다. 현재로는 하나의 등록 정보만 유효하며 다른 모든 등록 정보는 무시됩니다. 다음 형식을 사용합니다.

agentRootURL=http://server_name:port/

장치 상태. 에이전트의 장치 상태를 입력합니다. 활성으로 설정된 경우 에이전트는 Identity Server에 대해 인증되어 Identity Server와 통신할 수 있습니다. 비활성으로 설정된 경우 에이전트는 Identity Server에 대해 인증될 수 없습니다.

[확인]을 누릅니다.

에이전트 삭제

삭제할 에이전트를 포함하는 조직으로 이동합니다.

보기 메뉴에서 에이전트를 선택합니다.

에이전트의 이름 옆에 있는 확인란을 선택합니다.

[삭제]를 누릅니다.

컨테이너

객체 클래스와 속성의 차이로 인해 조직 항목을 사용할 수 없는 경우 컨테이너 항목을 사용합니다. Identity Server 컨테이너 항목과 Identity Server 조직 항목이 LDAP 객체 클래스 organizationalUnit 및 organization과 반드시 같을 필요가 없다는 것이 중요합니다. 이러한 항목은 추상 아이디 항목입니다. 이상적인 경우라면 컨테이너 항목 대신 조직 항목이 사용됩니다.



주	컨테이너 표시는 선택 사항입니다. 컨테이너를 보려면 [서비스 구성] 모듈의 메뉴에서 [컨테이너 표시]를 선택해야 합니다. 세부 사항에 대해서는 보기 메뉴에 컨테이너 표시를 참조하십시오.

컨테이너 만들기

새 컨테이너가 만들어지는 조직이나 컨테이너로 이동합니다.

[보기] 메뉴에서 [컨테이너]를 선택합니다.

[새로 만들기]를 누릅니다.

컨테이너 템플리트가 데이터 창에 표시됩니다.

만들려는 컨테이너의 이름을 입력합니다.

[확인]을 누릅니다.

컨테이너 삭제

삭제할 컨테이너가 포함된 조직이나 컨테이너로 이동합니다.

[보기] 메뉴에서 [컨테이너]를 선택합니다.

삭제할 컨테이너의 이름 옆에 있는 확인란을 선택합니다.

[삭제]를 누릅니다.



주	컨테이너를 삭제하면 해당 컨테이너에 존재하는 모든 객체가 삭제됩니다. 여기에는 모든 객체와 하위 컨테이너가 포함됩니다.

사용자 컨테이너

사용자 컨테이너는 조직 내에서 사용자가 만들어질 때 모든 사용자가 할당되는 기본 LDAP 조직 구성 단위입니다. 사용자 컨테이너는 조직 수준에서 표시되거나 사용자 컨테이너 수준에서 하위 사용자 컨테이너로 표시될 수 있습니다. 사용자 컨테이너는 다른 사용자 컨테이너와 사용자만 포함할 수 있습니다. 원하는 경우 추가 사용자 컨테이너를 조직에 추가할 수 있습니다.



주	사용자 컨테이너의 표시는 선택 사항입니다. 사용자 컨테이너를 보려면 [서비스 구성] 모듈에서 [사용자 컨테이너 표시]를 선택해야 합니다. 세부 사항에 대해서는 사용자 컨테이너 표시를 참조하십시오.

사용자 컨테이너 만들기

새 사용자 컨테이너를 만들려는 조직이나 사용자 컨테이너로 이동합니다.

[보기] 메뉴에서 [사용자 컨테이너]를 선택합니다.

[새로 만들기]를 누릅니다.

사용자 컨테이너 템플리트가 데이터 창에 표시됩니다.

만들려는 사용자 컨테이너의 이름을 입력합니다.

[확인]을 누릅니다.

사용자 컨테이너 삭제

삭제할 사용자 컨테이너를 포함하는 조직이나 사용자 컨테이너로 이동합니다.

[보기] 메뉴에서 [사용자 컨테이너]를 선택합니다.

삭제할 사용자 컨테이너의 이름 옆에 있는 확인란을 선택합니다.

[삭제]를 누릅니다.



주	사용자 컨테이너를 삭제하면 해당 사용자 컨테이너에 존재하는 모든 객체가 삭제됩니다. 여기에는 모든 사용자와 하위 사용자 컨테이너가 포함됩니다.

그룹 컨테이너

그룹 컨테이너는 그룹을 관리하는 데 사용됩니다. 그룹 컨테이너는 그룹과 다른 그룹 컨테이너만 포함할 수 있습니다. 그룹 컨테이너 그룹은 모든 관리 대상 그룹에 대한 부모 항목으로 동적으로 할당됩니다. 원하는 경우 추가 그룹 컨테이너를 추가할 수 있습니다.



주	그룹 컨테이너의 표시는 선택 사항입니다. 그룹 컨테이너를 표시하려면 서비스 구성 모듈에서 그룹 컨테이너 표시를 선택해야 합니다. 세부 사항에 대해서는 그룹 컨테이너 표시를 참조하십시오.

그룹 컨테이너 만들기

만들려는 그룹 컨테이너를 포함하는 조직 또는 그룹 컨테이너로 이동합니다.

[보기] 메뉴에서 그룹 컨테이너를 선택합니다.

기본 그룹은 조직을 만드는 동안 만들어집니다.

[새로 만들기]를 누릅니다.

이름 필드에 값을 입력하고 [확인]을 누릅니다. 새 그룹 컨테이너가 이동 창에 표시됩니다.

그룹 컨테이너 삭제

삭제할 그룹 컨테이너가 포함된 조직으로 이동합니다.

보기 메뉴에서 그룹 컨테이너를 선택합니다.

기본 그룹 및 만들어진 모든 그룹 컨테이너가 이동 창에 표시됩니다.

삭제할 그룹 컨테이너 옆의 확인란을 선택합니다.

[삭제]를 누릅니다.

디스플레이 옵션

조직, 역할 및 컨테이너의 경우 표시 옵션 보기를 사용하여 Identity Server 객체가 Identity Server 콘솔에서 표시되는 방법을 사용자 정의할 수 있습니다. 모든 객체 유형에 대해 모든 표시 옵션을 사용할 수 있는 것은 아닙니다.

표시 옵션 변경

표시 옵션을 변경할 조직의 [등록 정보] 화살표를 누릅니다.

데이터 창의 [보기] 메뉴에서 [표시 옵션]을 선택합니다.

일반 섹션에서 등록 정보를 편집합니다. 등록 정보는 다음과 같습니다.

전체 이름 생성 속성. 사용자 프로필의 이름 및 성 값으로 구성되는 사용자의 전체 이름을 Identity Server에서 항상 생성하도록 하려면 이 속성을 선택합니다.

항상 첫 번째 항목 선택. 검색 시에 이동 창에서 지정된 Identity 객체 유형의 첫 번째 항목을 자동으로 선택하여 데이터 창에서 표시하게 하려면 이 속성을 선택합니다.

사용자 프로필 페이지 제목. 사용자 프로필 페이지의 제목으로 사용할 속성을 이 풀다운 메뉴에서 선택합니다.

초기 검색 사용 불가. 이 값을 사용하면 하나 이상의 Identity 객체 유형에 대한 초기 Identity Server 검색이 사용 불가능하게 됩니다. 초기 검색을 사용 불가능하게 하면 성능이 향상되고 시간 초과 오류가 발생할 가능성이 줄어듭니다.

Identity Server 디렉토리 객체 섹션의 표시 구성에서 표시 옵션을 변경합니다. 이 섹션에서는 Identity Server 컨테이너와 객체가 표시되는 방법을 사용자 정의할 수 있습니다. Identity Server 디렉토리 컨테이너 옵션을 사용하면 이동 창의 보기 메뉴에 표시되는 객체 보기를 지정할 수 있습니다. Identity Server 디렉토리 객체 필드를 사용하면 데이터 창의 보기 메뉴에 표시되는 객체 보기를 지정할 수 있습니다.

[저장]을 누릅니다.

사용 가능한 작업

일부 Identity Server 객체 유형의 경우 사용 가능한 작업 보기를 통해 사용자 액세스 권한을 정의할 수 있습니다.

사용자에 대한 사용 가능한 작업 설정

사용 가능한 작업을 설정할 Identity 객체의 [등록 정보] 화살표를 누릅니다.

데이터 창의 보기 메뉴에서 사용 가능한 작업을 선택합니다.

Identity Server 객체에 사용할 수 있는 작업 유형을 선택합니다. 작업 유형은 각 객체에 대한 사용자의 액세스를 정의합니다. 작업 유형은 다음과 같습니다.

액세스 없음. 사용자가 이 객체에 액세스할 수 없습니다.

보기. 사용자가 이 객체에 대한 읽기 전용 액세스를 가집니다.

수정. 사용자가 이 객체를 수정 및 확인할 수 있습니다.

삭제. 사용자가 이 객체를 수정, 확인 및 삭제할 수 있습니다.

전체 액세스. 사용자가 이 객체를 작성, 수정, 확인 및 삭제할 수 있습니다.

[저장]을 누릅니다. 이전에 저장했던 상태로 값을 변경하려면 [재설정]을 누릅니다.

이전 목차 색인 다음

이전 목차 색인 다음
Sun Java System Identity Server 2004Q2 관리 설명서