3.6. 매핑

Ansible Automation Platform에서 인증자는 인증을 관리하고, 사용자를 검증하고, 사용자 이름, 이메일, 그룹 멤버십(예: LDAP 그룹)과 같은 세부 정보를 반환합니다. 권한 부여는 인증자의 관련 맵에서 제공됩니다.

인증 프로세스 중에 사용자가 인증된 후 권한 부여 시스템이 메모리의 기본 권한 세트로 시작됩니다. 그런 다음 인증기 맵이 순차적으로 처리되고 트리거 조건에 따라 권한을 조정합니다. 모든 인증자 맵이 처리되면 사용자 권한의 메모리 내 표현이 기존 권한과 조정됩니다.

예를 들어 다음과 같이 기본 권한의 단순화된 메모리 내 표현은 다음과 같습니다.

Access allowed = True
Superuser permission = Undefined
Admin of teams = None

Access allowed = True
Superuser permission = Undefined
Admin of teams = None

또한 처리해야 하는 맵이 다음과 같은 순서로 처리될 수 있습니다.

첫 번째 허용 맵은 never로 설정하고 시스템에 대한 액세스를 거부하고 메모리 내 표현은 다음과 같습니다.

Access allowed = False
Superuser permission = Undefined
Admin of teams = None

Access allowed = False
Superuser permission = Undefined
Admin of teams = None

그러나 사용자가 두 번째 허용 맵(그룹 기반 허용)과 일치하는 경우 권한이 다음으로 변경됩니다.

Access allowed = True
Superuser permission = Undefined
Admin of teams = None

Access allowed = True
Superuser permission = Undefined
Admin of teams = None

사용자에게 필요한 그룹이 있기 때문에 Ansible Automation Platform에 대한 액세스 권한이 부여되는 경우입니다.

다음으로 슈퍼유저 맵은 사용자 속성을 확인합니다. 일치하는 항목이 없으면 기본적으로 기존 권한을 취소하지 않습니다. 따라서 권한은 이전 맵의 결과와 동일하게 유지됩니다.

Access allowed = True
Superuser permission = Skipped
Admin of teams = None

Access allowed = True
Superuser permission = Skipped
Admin of teams = None

슈퍼유저 액세스를 취소하려면 슈퍼유저 맵에서 Revoke 옵션을 선택할 수 있습니다. 이렇게 하면 사용자가 특성 기준을 충족하지 않으면 권한에서 다음과 같이 False로 업데이트됩니다.

Access allowed = True
Superuser permission = False
Admin of teams = None

Access allowed = True
Superuser permission = False
Admin of teams = None

최종 팀 맵은 팀 "내 팀"에서 관리자 액세스를 위해 인증자에서 제공되는 사용자의 그룹을 확인합니다. 사용자에게 필요한 그룹이 있는 경우 권한이 다음과 같이 업데이트됩니다.

Access allowed = True
Superuser permission = False
Admin of teams = “My Team”

Access allowed = True
Superuser permission = False
Admin of teams = “My Team”

사용자에게 필요한 그룹이 없는 경우 맵에서 Revoke 옵션을 선택하지 않으면 권한이 변경되지 않은 상태로 유지됩니다. 이 경우 권한이 다음과 같이 업데이트됩니다.

Access allowed = True
Superuser permission = False
Admin of teams = Revoke admin of “My Team”

Access allowed = True
Superuser permission = False
Admin of teams = Revoke admin of “My Team”

정의된 순서대로 모든 맵을 처리하면 최종 권한이 조정되어 맵 규칙에 따라 사용자의 액세스 권한을 업데이트합니다.

간단히 말해, 인증자는 사용자를 검증하고 시스템 권한 부여를 인증자 맵에 위임합니다. Authenticator 맵은 모든 맵이 실행된 후 실제 권한으로 조정되는 사용자 권한의 메모리 내 표현을 생성하기 위해 실행됩니다.

기본적으로 인증기 맵은 ALLOW 또는 SKIPPED 를 반환합니다.

그러나 Revoke 옵션을 선택하면 SKIPPED 가 DENY 가 되고 필요한 트리거 기준을 충족하지 않는 사용자는 해당 역할 또는 권한에 대한 액세스가 거부됩니다. 이렇게 하면 트리거 조건이 일치하는 사용자에게만 액세스 권한이 부여됩니다.

Ansible Automation Platform은 다음 규칙 유형을 지원합니다.

이러한 인증 맵 유형은 모든 유형의 인증자와 함께 사용할 수 있습니다.

각 맵에는 맵을 true로 평가해야 할 시기를 정의하는 트리거가 있습니다. 트리거 유형에는 다음이 포함됩니다.

다음 예제를 사용하여 플랫폼에 대한 사용자 액세스를 제어하기 위해 구현할 수 있는 그룹 및 속성 값과 같은 다양한 조건을 살펴봅니다.

cn=Administrators,ou=AAP,ou=example,o=com

cn=Administrators,ou=AAP,ou=example,o=com

또는

cn=Operators,ou=AAP,ou=example,co=com

cn=Operators,ou=AAP,ou=example,co=com

cn=Administrators,ou=AAP

cn=Administrators,ou=AAP

첫 번째 규칙(권한을 에스컬레이션하지 않음)은 모든 사용자가 슈퍼유저로 에스컬레이션되는 것을 방지하지만 두 번째 규칙(Escalate 권한)은 Administrators 그룹에 있는 경우 사용자에게 슈퍼유저 권한을 부여하도록 해당 결정을 변경합니다.

allow mapping을 사용하면 충족해야 하는 조건을 정의하여 시스템에 액세스할 수 있는 사용자를 제어할 수 있습니다.

사용자 이름 및 이메일 주소와 같은 속성을 기반으로 어떤 Ansible Automation Platform 조직에 배치된 사용자를 제어하거나 인증자에서 제공하는 그룹을 기반으로 제어할 수 있습니다.

조직 매핑이 긍정으로 평가되면 맵에 연결된 인증자가 오브젝트를 생성할 수 있는 경우 지정된 조직이 생성됩니다.

팀 매핑은 인증자로부터 팀 멤버(사용자) 매핑입니다.

각 팀의 멤버십에 대한 옵션을 정의할 수 있습니다. 각 팀에 대해 팀 멤버로 자동으로 추가되는 사용자와 팀을 관리할 수 있는 사용자를 지정할 수 있습니다.

팀 매핑은 계정 인증마다 별도로 지정할 수 있습니다.

팀 매핑이 긍정으로 평가되면 관련 인증자가 오브젝트를 생성할 수 있는 경우 지정된 팀과 해당 조직이 존재하지 않습니다.

역할 매핑은 사용자 매핑은 플랫폼 감사자 또는 팀 또는 조직 역할과 같은 글로벌 역할에 대한 매핑입니다.

팀 및/또는 조직이 적절한 역할과 함께 지정되면 해당 동작이 조직 매핑 또는 팀 매핑과 동일합니다.

각 계정 인증에 대해 역할 매핑을 별도로 지정할 수 있습니다.

슈퍼유저 매핑은 사용자 매핑은 시스템 관리자와 같은 슈퍼유저 역할에 대한 매핑입니다.

플랫폼 관리자는 API의 사용자 페이지를 통해 인증자 맵 결과를 검토하여 사용자가 플랫폼에 로그인했을 때 맵을 평가하는 방법을 확인할 수 있습니다.