규칙을 일반 정책에 추가하거나 수정하려면
-
이미 정책을 만든 경우 규칙을 추가하려는 정책의 이름을 누릅니다. 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.
-
[규칙] 메뉴에서 [새로 만들기]를 누릅니다.
-
규칙에 대해 다음 기본 서비스 유형 중 하나를 선택합니다. 정책에 대해 사용 가능한 서비스가 많은 경우 목록이 더 클 수도 있습니다.
- 검색 서비스
-
검색 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.
- 리버티 개인 프로필 서비스
-
리버티 개인 프로필 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.
- URL 정책 에이전트
-
URL 정책 에이전트 서비스에 대한 인증 작업을 정의합니다. HTTP 및 HTTPS URL을 보호하는 정책을 정의하는 데 사용됩니다. Access Manager 정책의 가장 일반적인 사용 예입니다.
-
[다음]을 누릅니다.
-
규칙에 대한 이름 및 자원 이름을 입력합니다.
현재 Access Manager 정책 에이전트는 http:// 및 https:// 자원만 지원하고 호스트 이름 대신 IP 주소는 지원하지 않습니다.
프로토콜, 호스트, 포트 및 자원 이름에 대해 와일드카드 문자가 지원됩니다. 예를 들면 다음과 같습니다.
http*://*:*/*.html
URL 정책 에이전트 서비스의 경우 포트 번호를 입력하지 않으면 기본 포트 번호는 http://의 경우 80이고 https://의 경우 443입니다.
-
규칙의 작업을 선택합니다. 서비스 유형에 따라 다음을 선택할 수 있습니다.
-
LOOKUP(검색 서비스)
-
UPDATE(검색 서비스)
-
MODIFY(리버티 개인 프로필 서비스)
-
QUERY(리버티 개인 프로필 서비스)
-
GET(URL 정책 에이전트)
-
POST(URL 정책 에이전트)
-
-
작업 값 선택
-
동의 상호 작용 — 자원에 대한 동의를 위해 리버티 상호 작용 프로토콜을 호출합니다. 리버티 개인 프로필 서비스 유형에만 해당합니다.
-
값 상호 작용 — 자원에 대한 값에 대해 리버티 상호 작용 프로토콜을 호출합니다. 리버티 개인 프로필 서비스 유형에만 해당합니다.
-
허용 — 규칙에 정의된 자원과 일치하는 자원에 액세스할 수 있게 합니다.
-
거부 — 규칙에 정의된 자원과 일치하는 자원에 대한 액세스를 거부합니다.
거부 규칙은 항상 정책의 허용 규칙보다 우선합니다. 예를 들어, 주어진 자원에 대해 두 개의 정책, 즉 액세스를 거부하는 정책과 액세스를 허용하는 정책이 있을 경우 결과적으로 액세스가 거부됩니다(두 정책에 대한 조건이 충족될 경우). 정책 간에 잠재적인 충돌이 일어날 수 있으므로 거부 정책을 사용할 때는 매우 주의해야 합니다. 일반적으로 정책 정의 프로세스는 허용 규칙만 사용해야 하며 거부를 수행하기 위해 적용되는 정책이 없을 경우 기본 거부를 사용해야 합니다.
명시적 거부 규칙이 사용될 경우 다른 주제(예: 역할 및/또는 그룹 구성원)를 통해 주어진 사용자에 할당되는 정책은 하나 이상의 정책에 액세스를 허용할 경우 자원에 대한 액세스가 거부될 수 있습니다. 예를 들어, 사원 역할에 적용할 수 있는 자원에 대한 거부 정책이 있고 관리자 역할에 적용할 수 있는 동일한 자원에 대한 허용 정책이 있는 경우 사원 역할과 관리자 역할이 모두 할당된 사용자에 대한 정책 결정이 거부됩니다.
이러한 문제를 해결하는 한 가지 방법은 조건 플러그인을 사용하여 정책을 설계하는 것입니다. 위의 경우에 사원 역할에 인증된 사용자에게 거부 정책을 적용하고 관리자 역할에 인증된 사용자에게 허용 정책을 적용하는 “역할 조건”을 지정하여 두 정책을 차별화할 수 있습니다. 다른 방법은 인증 수준 조건을 사용하는 것입니다. 이 조건에서는 관리자 역할이 더 높은 인증 수준으로 인증됩니다.
-
-
[마침]을 누릅니다.
- © 2010, Oracle Corporation and/or its affiliates