정책 관리

일단 일반 또는 참조 정책을 만들어 Access Manager에 추가하면 Access Manager 콘솔을 통해 규칙, 주제, 조건 및 참조를 수정하여 정책을 관리할 수 있습니다.

일반 정책 수정

정책 탭을 통해 액세스 권한을 정의하는 일반 정책을 수정할 수 있습니다. 여러 규칙, 주제, 조건 및 자원 비교기를 정의 및 구성할 수 있습니다. 이 절에서는 이를 수행하는 단계를 나열하고 설명합니다.

규칙을 일반 정책에 추가하거나 수정하려면

1. 이미 정책을 만든 경우 규칙을 추가하려는 정책의 이름을 누릅니다. 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. [규칙] 메뉴에서 [새로 만들기]를 누릅니다.

3. 규칙에 대해 다음 기본 서비스 유형 중 하나를 선택합니다. 정책에 대해 사용 가능한 서비스가 많은 경우 목록이 더 클 수도 있습니다.

   검색 서비스

   검색 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

   리버티 개인 프로필 서비스

   리버티 개인 프로필 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

   URL 정책 에이전트

   URL 정책 에이전트 서비스에 대한 인증 작업을 정의합니다. HTTP 및 HTTPS URL을 보호하는 정책을 정의하는 데 사용됩니다. Access Manager 정책의 가장 일반적인 사용 예입니다.

4. [다음]을 누릅니다.

5. 규칙에 대한 이름 및 자원 이름을 입력합니다.

   현재 Access Manager 정책 에이전트는 http:// 및 https:// 자원만 지원하고 호스트 이름 대신 IP 주소는 지원하지 않습니다.

   프로토콜, 호스트, 포트 및 자원 이름에 대해 와일드카드 문자가 지원됩니다. 예를 들면 다음과 같습니다.

   http*://*:*/*.html

   URL 정책 에이전트 서비스의 경우 포트 번호를 입력하지 않으면 기본 포트 번호는 http://의 경우 80이고 https://의 경우 443입니다.

6. 규칙의 작업을 선택합니다. 서비스 유형에 따라 다음을 선택할 수 있습니다.

   • LOOKUP(검색 서비스)

   • UPDATE(검색 서비스)

   • MODIFY(리버티 개인 프로필 서비스)

   • QUERY(리버티 개인 프로필 서비스)

   • GET(URL 정책 에이전트)

   • POST(URL 정책 에이전트)

7. 작업 값 선택

   • 동의 상호 작용 — 자원에 대한 동의를 위해 리버티 상호 작용 프로토콜을 호출합니다. 리버티 개인 프로필 서비스 유형에만 해당합니다.

   • 값 상호 작용 — 자원에 대한 값에 대해 리버티 상호 작용 프로토콜을 호출합니다. 리버티 개인 프로필 서비스 유형에만 해당합니다.

   • 허용 — 규칙에 정의된 자원과 일치하는 자원에 액세스할 수 있게 합니다.

   • 거부 — 규칙에 정의된 자원과 일치하는 자원에 대한 액세스를 거부합니다.

     거부 규칙은 항상 정책의 허용 규칙보다 우선합니다. 예를 들어, 주어진 자원에 대해 두 개의 정책, 즉 액세스를 거부하는 정책과 액세스를 허용하는 정책이 있을 경우 결과적으로 액세스가 거부됩니다(두 정책에 대한 조건이 충족될 경우). 정책 간에 잠재적인 충돌이 일어날 수 있으므로 거부 정책을 사용할 때는 매우 주의해야 합니다. 일반적으로 정책 정의 프로세스는 허용 규칙만 사용해야 하며 거부를 수행하기 위해 적용되는 정책이 없을 경우 기본 거부를 사용해야 합니다.

     명시적 거부 규칙이 사용될 경우 다른 주제(예: 역할 및/또는 그룹 구성원)를 통해 주어진 사용자에 할당되는 정책은 하나 이상의 정책에 액세스를 허용할 경우 자원에 대한 액세스가 거부될 수 있습니다. 예를 들어, 사원 역할에 적용할 수 있는 자원에 대한 거부 정책이 있고 관리자 역할에 적용할 수 있는 동일한 자원에 대한 허용 정책이 있는 경우 사원 역할과 관리자 역할이 모두 할당된 사용자에 대한 정책 결정이 거부됩니다.

     이러한 문제를 해결하는 한 가지 방법은 조건 플러그인을 사용하여 정책을 설계하는 것입니다. 위의 경우에 사원 역할에 인증된 사용자에게 거부 정책을 적용하고 관리자 역할에 인증된 사용자에게 허용 정책을 적용하는 “역할 조건”을 지정하여 두 정책을 차별화할 수 있습니다. 다른 방법은 인증 수준 조건을 사용하는 것입니다. 이 조건에서는 관리자 역할이 더 높은 인증 수준으로 인증됩니다.

8. [마침]을 누릅니다.

주제를 일반 정책에 추가하거나 수정하려면

1. 이미 정책을 만든 경우 주제를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. 주제 목록에서 [새로 만들기]를 누릅니다.

3. 다음 기본 주제 유형 중 하나를 선택합니다. 주제 유형에 대한 설명은 주제를 참조하십시오.

4. [다음]을 누릅니다.

5. 주제의 이름을 입력합니다.

6. [단독] 필드를 선택하거나 선택 취소합니다.

   이 필드를 선택하지 않을 경우(기본값) 주제의 구성원인 Identity에 정책이 적용됩니다. 이 필드를 선택할 경우 정책은 주제의 구성원이 아닌 Identity에 적용됩니다.

   정책에 여러 주제가 존재하는 경우, 최소한 하나 이상의 주제에서 정책이 주어진 Identity에 적용된다는 것을 나타내면 정책이 Identity에 적용됩니다.

7. 주제에 추가할 Identity를 표시하기 위해 검색을 수행합니다. 이 단계는 인증된 사용자 주제 또는 웹 서비스 클라이언트 주제에는 적용되지 않습니다.

   기본(*) 검색 패턴은 모든 정규화된 항목을 표시합니다.

8. 주제에 대해 추가할 개별 Identity를 선택하거나 [모두 추가]를 눌러 모든 Identity를 한 번에 추가합니다. [추가]를 눌러 Identity를 선택 목록으로 이동합니다. 인증된 사용자 주제에 대해서는 이 단계가 해당되지 않습니다.

9. [마침]을 누릅니다.

10. 정책에서 주제를 제거하려면 해당 주제를 선택하고 [삭제]를 누릅니다. 주제 이름을 눌러 주제 정의를 편집할 수 있습니다.

조건을 일반 정책에 추가하려면

1. 이미 정책을 만든 경우 조건을 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. 조건 목록에서 [새로 만들기]를 누릅니다.

3. 조건 유형을 선택하고 [다음]을 누릅니다.

4. 조건 유형의 필드를 정의합니다.

5. [마침]을 누릅니다.

응답 공급자를 일반 정책에 추가하려면

1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 일반 정책을 만들려면 을 참조하십시오.

2. [응답 공급자] 목록에서 [새로 만들기]를 누릅니다.

3. 응답 공급자의 이름을 입력합니다.

4. 다음 값을 정의합니다.

   StaticAttribute

   정책에 저장된 IDResponseProvider의 인스턴스에서 정의된 속성 값 형식의 정적 속성입니다

   DynamicAttribute

   여기에서 선택한 응답 속성은 먼저 해당 영역의 정책 구성 서비스에 정의되어야 합니다. 정의된 속성 이름은 구성된 데이터 저장소(IDRepository)에 있는 이름의 하위 집합이어야 합니다. 속성을 정의하는 방법에 대한 자세한 내용은 정책 구성 속성 정의를 참조하십시오. 특정 속성 또는 여러 속성을 선택하려면 Ctrl 키를 누른 상태에서 마우스 왼쪽 버튼을 누릅니다.

5. [마침]을 누릅니다.

6. 정책에서 응답 공급자를 제거하려면 해당 주제를 선택하고 [삭제]를 누릅니다. 이름을 눌러 응답 공급자 정의를 편집할 수 있습니다.

참조 정책 수정

참조 정책을 사용하여 정책 정의와 영역 결정을 다른 영역으로 위임할 수 있습니다. 사용자 정의 참조는 정책 대상 지점에서 정책 결정을 가져오는 데 사용됩니다. 참조 정책을 만들면 관련된 규칙, 참조 및 자원 공급자를 추가 또는 수정할 수 있습니다.

규칙을 참조 정책에 추가하거나 수정하려면

1. 이미 정책을 만든 경우 규칙을 추가하려는 정책의 이름을 누릅니다. 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 참조 정책을 만들려면 을 참조하십시오.

2. [규칙] 메뉴에서 [새로 만들기]를 누릅니다.

3. 규칙에 대해 다음 기본 서비스 유형 중 하나를 선택합니다. 정책에 대해 사용 가능한 서비스가 많은 경우 목록이 더 클 수도 있습니다.

   검색 서비스

   검색 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

   리버티 개인 프로필 서비스

   리버티 개인 프로필 서비스 쿼리에 대한 인증 작업을 정의하고 지정된 자원에 대한 웹 서비스 클라이언트의 프로토콜 호출을 수정합니다.

   URL 정책 에이전트

   URL 정책 에이전트 서비스에 대한 인증 작업을 정의합니다. HTTP 및 HTTPS URL을 보호하는 정책을 정의하는 데 사용됩니다. Access Manager 정책의 가장 일반적인 사용 예입니다.

4. [다음]을 누릅니다.

5. 규칙에 대한 이름 및 자원 이름을 입력합니다.

   현재 Access Manager 정책 에이전트는 http:// 및 https:// 자원만 지원하고 호스트 이름 대신 IP 주소는 지원하지 않습니다.

   프로토콜, 호스트, 포트 및 자원 이름에 대해 와일드카드 문자가 지원됩니다. 예를 들면 다음과 같습니다.

   http*://*:*/*.html

   URL 정책 에이전트 서비스의 경우 포트 번호를 입력하지 않으면 기본 포트 번호는 http://의 경우 80이고 https://의 경우 443입니다.

   ---

   주 –

   6단계 및 7단계는 참조 정책에 해당되지 않습니다.

   ---

6. [마침]을 누릅니다.

참조를 정책에 추가 또는 수정하려면

1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 참조 정책을 만들려면 을 참조하십시오.

2. 참조 목록에서 [새로 만들기]를 누릅니다.

3. 규칙 필드에서 자원을 정의합니다. 필드는 다음과 같습니다.

   참조— 현재 참조 유형을 표시합니다.

   이름— 참조 이름을 입력합니다.

   자원 이름— 자원 이름을 입력합니다.

   필터— [값] 필드에 표시할 영역 이름에 대해 필터를 지정합니다. 기본적으로 이 필드에는 모든 영역 이름이 표시됩니다.

   값 — 참조의 영역 이름을 선택합니다.

4. [마침]을 누릅니다.

   정책에서 참조를 제거하려면 참조를 선택하고 [삭제]를 누릅니다.

   참조 이름 옆에 있는 [편집] 링크를 눌러 모든 참조 정의를 편집할 수 있습니다.

응답 공급자를 참조 정책에 추가하려면

1. 이미 정책을 만든 경우 응답 공급자를 추가하려는 정책의 이름을 누릅니다. 아직 정책을 만들지 않은 경우 Access Manager 콘솔을 사용하여 참조 정책을 만들려면 을 참조하십시오.

2. [응답 공급자] 목록에서 [새로 만들기]를 누릅니다.

3. 응답 공급자의 이름을 입력합니다.

4. 다음 값을 정의합니다.

   StaticAttribute

   정책에 저장된 IDResponseProvider의 인스턴스에서 정의된 속성 값 형식의 정적 속성입니다

   DynamicAttribute

   여기에서 선택한 응답 속성은 먼저 해당 영역의 정책 구성 서비스에 정의되어야 합니다. 정의된 속성 이름은 구성된 데이터 저장소(IDRepository)에 있는 이름의 하위 집합이어야 합니다. 속성을 정의하는 방법에 대한 자세한 내용은 정책 구성 속성 정의를 참조하십시오. 특정 속성 또는 여러 속성을 선택하려면 Ctrl 키를 누른 상태에서 마우스 왼쪽 버튼을 누릅니다.

5. [마침]을 누릅니다.

6. 정책에서 응답 공급자를 제거하려면 해당 주제를 선택하고 [삭제]를 누릅니다. 이름을 눌러 응답 공급자 정의를 편집할 수 있습니다.