Sun Java System Identity Manager 2005Q4M3 관리 |
4
관리
이 장에서는 Identity Manager 시스템에서 다양한 관리 수준의 작업을 수행하는 데 필요한 다음과 같은 정보와 절차를 설명합니다.
Identity Manager 관리의 이해Identity Manager 관리자는 확장된 Identity Manager 권한이 있는 사용자입니다. 다음을 관리하도록 Identity Manager 관리자를 설정합니다.
Identity Manager는 다음을 할당하여 관리자와 사용자를 구분합니다.
관리 위임
대부분의 회사에서 관리 작업을 수행해야 하는 직원에게는 구체적이며 다양한 책임이 있습니다. 많은 경우 관리자는 다른 사용자나 관리자에게 "투명한" 계정 관리 작업을 수행하거나 범위가 제한된 관리 작업을 수행해야 합니다.
예를 들어 관리자는 Identity Manager 사용자 계정을 만드는 작업만 담당할 수 있습니다. 책임이 이렇게 제한되는 경우 관리자는 사용자 계정을 만드는 자원, 또는 시스템에 있는 역할이나 조직에 대하여 자세히 알 필요가 없을 것입니다.
Identity Manager는 관리자가 구체적으로 지정된 범위 내의 해당 객체만 "보고" 관리할 수 있도록 하여 책임의 분리 및 관리 위임 모델을 지원합니다.
Identity Manager는 다음과 같은 방법으로 개별 시스템 작업을 관리자에게 위임하는 기능을 구현합니다.
Identity Manager 조직의 이해조직을 이용하여 다음 작업을 할 수 있습니다.
조직을 만들고 사용자를 조직 계층의 다양한 위치에 할당하여 관리 위임 단계를 설정합니다. 하나 이상의 다른 조직이 포함된 조직을 상위 조직이라고 합니다.
모든 Identity Manager 사용자(관리자 포함)는 정적으로 하나의 조직에 할당됩니다. 또한 사용자는 또한 추가 조직에 동적으로 할당될 수 있습니다.
Identity Manager 관리자는 제어 조직에 추가적으로 할당됩니다.
조직 생성
Identity Manager 계정 영역에 조직을 만듭니다. 조직을 만들려면 다음과 같이 합니다.
조직에 사용자 할당
각 사용자는 하나의 조직에 대한 정적 구성원이며 하나 이상의 조직에 대한 동적 구성원이 될 수 있습니다. 조직의 구성원은 다음으로 결정됩니다.
조직의 사용자 구성원을 동적으로 제어하는 사용자 구성원 규칙을 설정하는 방법은 다음 예제와 같습니다.
주 Identity Manager에서 규칙을 만들고 작업하는 방법에 대한 자세한 내용은 Identity Manager Deployment Tools를 참조하십시오.
주요 정의 및 포함 내용
- 사용자 구성원 규칙 옵션란에 규칙을 표시하려면 authType이 authType='UserMembersRule'로 설정되어야 합니다.
- 현재 Identity Manager 사용자의 세션이 인증된 상태입니다.
- 정의된 변수(defvar) 'Astros players'에는 각 사용자의 dn이 입력되며, 이 사용자는 Windows Active Directory ou 'Huston Astros'의 구성원입니다.
- 검색된 각 사용자에 대하여 추가 논리가 'Houston Astros'의 각 구성원 사용자의 dn에 Identity Manager 자원의 이름을 추가합니다. 이 이름은 콜론(:)으로 시작합니다(예: ":dogbreath-AD").
- 반환된 결과는 "<dn>:dogbreath-AD" 형식의 Identity Manager 자원 이름이 추가된 dn 목록이 됩니다.
사용자 구성원 규칙 예제
<Rule name='Get Astros players'
authType='UserMembersRule'>
<defvar name='Astros players'>
<block>
<defvar name='player names'>
<list/>
</defvar>
<dolist name='users'>
<invoke class='com.waveset.ui.FormUtil'
name='getResourceObjects'>
<ref>context</ref>
<s>User</s>
<s>dogfish-AD</s>
<map>
<s>searchContext</s>
<s>OU=Houston Astros,DC=dev-ad,DC=waveset,DC=com</s>
<s>searchScope</s>
<s>subtree</s>
<s>searchAttrsToGet</s>
<list>
<s>distinguishedName</s>
</List>
</map>
</invoke>
<append name='player names'>
<concat>
<get>
<ref>users</ref>
<s>distinguishedName</s>
</get>
<s>:dogbreath-AD</s>
</concat>
</append>
</dolist>
<ref>player names</ref>
</block>
</defvar>
<ref>Astros players</ref>
</Rule>
조직 제어 할당
사용자 생성 또는 편집 페이지에서 하나 이상의 조직에 대한 관리 제어를 할당합니다. 제어된 조직 필드를 표시하려면 보안 양식 탭을 선택합니다.
또한 관리 역할 필드에서 하나 이상의 관리 역할을 할당하여 조직에 대한 관리 제어를 할당할 수 있습니다.
디렉토리 접합 및 가상 조직의 이해디렉토리 접합은 계층적으로 관련된 일련의 조직으로, 계층적 컨테이너의 실제 디렉토리 자원 세트를 미러링합니다. 디렉토리 자원은 계층적 컨테이너를 통해 계층적 이름 공간을 적용하는 자원입니다. 디렉토리 자원의 예로는 LDAP 서버와 Windows Active Directory 자원이 있습니다.
디렉토리 접합에 있는 각 조직은 가상 조직입니다. 디렉토리 접합의 가장 상위에 있는 가상 조직은 자원에서 정의된 기본 컨텍스트를 나타내는 컨테이너의 미러입니다. 디렉토리 접합의 나머지 가상 조직은 최상위 가상 조직의 직접 또는 간접 하위 조직이며, 정의된 자원의 기본 컨텍스트 컨테이너 하위에 있는 디렉토리 자원 컨테이너 중 하나를 미러링합니다.
그림 3. Identity Manager 가상 조직
디렉토리 접합은 지점에 상관 없이 기준 Identity Manager 조직 구조에서 분할될 수 있습니다. 그러나 디렉토리 접합을 기존 디렉토리 접합의 안이나 그 하위로 분할할 수는 없습니다.
디렉토리 접합을 Identity Manager 조직 트리에 추가하면 해당 디렉토리 접합의 컨텍스트에서 가상 조직을 생성 또는 삭제할 수 있습니다. 또한 언제라도 디렉토리 접합을 구성하는 가상 조직 세트를 새로 고쳐 해당 가상 조직이 디렉토리 자원 컨테이너와의 동기화를 유지하도록 할 수 있습니다. 디렉토리 접합 내에는 가상이 아닌 조직을 만들 수 없습니다.
Identity Manager 객체(사용자, 자원 및 역할 등)를 Identity Manager 조직과 마찬가지 방법으로 가상 조직의 구성원으로 만들고 가상 조직에서 사용할 수 있도록 만들 수 있습니다.
디렉토리 접합 설정
다음과 같이 Identity Manager 계정 영역에서 디렉토리 접합을 설정합니다.
가상 조직 새로 고침
이 프로세스는 선택한 조직 이하의 가상 조직을 새로 고치고 연결된 디렉토리 자원과 다시 동기화합니다. 목록에서 가상 조직을 선택한 다음 조직 작업 목록에서 조직 새로 고침을 선택합니다.
가상 조직 삭제
가상 조직을 삭제하는 경우 두 가지 삭제 옵션을 선택할 수 있습니다.
옵션을 선택한 다음 삭제를 누릅니다.
관리자 생성Identity Manager 사용자의 기능을 확장하여 Identity Manager 관리자를 "만들" 수 있습니다. 사용자를 만들거나 편집할 때 다음과 같이 관리 제어를 부여할 수 있습니다.
사용자에게 관리 권한을 부여하려면 계정을 선택하여 Identity Manager 계정 영역으로 이동한 다음 Security 양식 탭을 선택합니다.
관리 제어를 설정할 항목을 하나 이상 선택합니다.
- Controlled Organizations — 조직을 하나 이상 선택합니다. 관리자는 선택한 조직과 계층상 이 조직 하위에 있는 모든 조직의 객체를 제어할 수 있습니다. 제어의 범위는 할당된 기능에 따라 더욱 세밀히 정의됩니다. 반드시 이 영역에서 항목을 선택해야 합니다.
- Capabilities — 관리자가 제어하는 조직에서 이 관계자가 갖게 되는 기능을 하나 이상 선택합니다. Identity Manager 기능에 대한 자세한 정보 및 설명은 5장 구성을 참조하십시오.
- User Form — 관리자가 Identity Manager 사용자를 만들고 편집할 때 사용할 사용자 양식을 선택합니다(해당 기능이 할당된 경우). 직접 사용자 양식을 지정하지 않는 경우 관리자는 자신이 속한 조직에 할당된 사용자 양식을 상속합니다. 여기에서 선택한 양식은 관리자의 조직에서 선택한 양식보다 우선합니다.
- Forward Approval Requests To — 보류 중인 모든 승인 요청을 전달할 사용자를 선택합니다. 이 관리자 설정은 승인 페이지에서도 설정할 수 있습니다.
관리자 생성그림 4. 관리자 생성
관리자 보기 필터링
사용자 양식을 조직 및 관리자에게 할당하여 사용자 정보에 대한 특정 관리자 보기를 설정할 수 있습니다. 사용자 정보로의 액세스는 두 가지 수준으로 설정됩니다.
- 조직 — 조직을 만드는 경우 해당 조직의 모든 관리자가 Identity Manager 사용자를 만들고 편집할 때 사용하는 사용자 양식을 할당합니다. 관리자 수준에서 설정하는 모든 양식은 여기에서 설정되는 양식에 우선합니다. 관리자 또는 조직용으로 선택한 양식이 없는 경우 Identity Manager는 상위 조직용으로 선택한 양식을 상속합니다. 상속할 양식이 없는 경우 Identity Manager는 시스템 구성에 설정된 기본 양식을 사용합니다.
- 관리자 — 사용자 관리 기능을 할당하는 경우 관리자에게 직접 사용자 양식을 할당할 수 있습니다. 양식을 할당하지 않는 경우 관리자는 자신의 조직에 할당된 양식(또는 조직에 양식이 설정되지 않은 경우 시스템 구성에 설정된 기본 양식)을 상속합니다.
주 할당할 수 있는 Identity Manager 내장 기능에 대해서는 제5장, 구성을 참조하십시오.
관리자 비밀번호 변경
관리자 비밀번호는 관리 비밀번호 변경 기능이 할당된 관리자 또는 관리자의 소유자가 변경할 수 있습니다.
관리자는 다음을 사용하여 다른 관리자의 비밀번호를 변경할 수 있습니다.
관리자는 비밀번호 영역에서 자신의 비밀번호를 변경할 수 있습니다. 비밀번호를 선택한 후 내 비밀번호 변경을 선택하여 자신에 관련된 비밀번호 필드로 액세스합니다.
주 계정에 적용된 Identity Manager 계정 정책에 따라 비밀번호 만료일, 재설정 옵션 및 알림 선택 등의 비밀번호 제한이 달라집니다. 다른 비밀번호 제한은 관리자의 자원에 설정된 비밀번호 정책에 의하여 설정될 수 있습니다.
관리자 작업 시도
관리자가 특정 계정 변경을 처리하기 전에 Identity Manager 로그인 비밀번호를 묻는 옵션을 설정할 수 있습니다. 비밀번호가 틀리면 계정 작업을 완료할 수 없습니다.
Identity Manager의 다음 페이지에서 이 옵션을 설정할 수 있습니다.
account/modify.jsp 페이지에서 이 옵션을 다음과 같이 설정합니다.
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");
여기서 옵션 값은 다음과 같은 사용자 보기 속성 이름 중 하나 이상을 쉼표로 구분하여 표시합니다.
admin/changeUserPassword.jsp 및 admin/resetUserPassword 페이지에서 이 옵션을 다음과 같이 설정합니다.
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");
여기서 옵션 값은 true 또는 false입니다.
인증 질문에 대한 응답 변경
비밀번호 영역을 사용하여 계정 인증 질문용으로 설정한 응답을 변경할 수 있습니다. 메뉴 표시줄에서 비밀번호를 선택한 후 내 응답 변경을 선택합니다.
인증에 대한 자세한 내용은 사용자 인증을 참조하십시오.
관리자 인터페이스에 표시되는 관리자 이름의 사용자 지정
일부 Identity Manager 관리자 인터페이스 페이지 및 영역에서는 accountId 대신 전자 메일이나 전체 이름과 같은 속성에 따라 Identity Manager 관리자를 표시할 수 있습니다. 다음 페이지 및 영역들이 여기에 속합니다.
표시 이름을 사용하기 위해 Identity Manager를 구성하려면 UserUIConfig 객체에 다음을 추가합니다.
<AdminDisplayAttribute>
<String>"attribute_name"</String>
</AdminDisplayAttribute>예를 들어, 전자 메일 속성을 표시 이름으로 사용하려면 UserUIconfig에 다음을 추가합니다.
<AdminDisplayAttribute>
<String>email</String>
</AdminDisplayAttribute>
승인Identity Manager 시스템에 사용자가 추가되면 새 계정의 승인자로 할당된 관리자는 반드시 계정 생성에 대한 유효성 검사를 수행해야 합니다. Identity Manager는 이러한 Identity Manager 객체에 적용되는 세 가지 범주의 승인을 지원합니다.
승인자 설정
이들 각 범주에 대한 승인자 설정은 선택이지만 설정하는 것이 좋습니다. 계정을 만들려면 각 범주에 대하여 승인자가 설정된 최소 하나 이상의 승인이 필요합니다. 하나의 승인자가 승인 요청을 거부하는 경우 계정은 만들어지지 않습니다.
각 범주에 둘 이상의 승인자를 지정할 수 있습니다. 범주에는 오직 하나의 승인만 필요하므로 복수 승인자를 설정하면 작업 흐름이 지연되거나 정지되지 않도록 할 수 있습니다. 한 명의 승인자를 사용할 수 없는 경우 다른 사용 가능한 승인자가 요청을 처리합니다. 승인은 오직 계정 생성에만 적용됩니다. 기본적으로 계정 업데이트 및 삭제에는 승인이 필요하지 않으나, 이 프로세스를 사용자 정의하여 승인이 필요하도록 할 수 있습니다.
Identity Manager에는 승인 과정과 계정 생성 요청의 상태가 작업 흐름 그림으로 제시됩니다. 작업 흐름을 사용자 정의할 수 있으며, 이 경우 BPE(Business Process Editor)를 사용하여 승인의 흐름, 계정 삭제 캡처 및 업데이트 캡처를 변경합니다.
BPE, 작업 흐름 및 제시된 승인 작업 흐름의 변경 예제에 대한 자세한 내용은 Identity Manager Workflows, Forms, and Views를 참조하십시오.
그림 5. 계정 생성 작업 흐름