10장. IdM 사용자를 위한 액세스 제어 정의
액세스 제어는 머신, 서비스 또는 항목과 같은 특정 리소스에 액세스할 수 있는 사용자와 수행할 수 있는 작업 종류를 정의하는 일련의 보안 기능입니다. Identity Management는 여러 액세스 제어 영역을 제공하여 어떤 종류의 액세스 권한이 부여되고 누구에게 부여되었는지 명확하게 이해할 수 있도록 합니다. 이 과정의 일환으로 Identity Management는 도메인 내의 리소스에 대한 액세스 제어와 IdM 구성 자체에 대한 액세스 제어를 구분하는 역할을 합니다.
이 장에서는 IdM 내에 있는 사용자가 IdM 서버 및 기타 IdM 사용자에게 사용할 수 있는 다양한 내부 액세스 제어 메커니즘에 대해 자세히 설명합니다.
10.1. IdM 항목 액세스 제어
액세스 제어는 다른 사용자 또는 오브젝트에 대한 작업을 수행하도록 사용자에게 부여된 권한 또는 권한을 정의합니다.
Identity Management 액세스 제어 구조는 표준 LDAP 액세스 제어를 기반으로 합니다. IdM 서버 내의 액세스는 다른 IdM 엔티티에 액세스할 수 있는 백엔드 디렉터리 서버 인스턴스에 저장된 IdM 사용자를 기반으로 하며, 디렉터리 서버 인스턴스의 LDAP 항목으로 저장됩니다.
ACI(액세스 제어 명령)에는 다음 세 부분이 있습니다.
- 행위자
- 이 엔터티는 특정 작업을 수행할 수 있는 권한이 부여된 엔터티입니다. LDAP 액세스 제어 모델에서는 사용자가 인 사용자를 정의하고 특정 시간 또는 특정 시스템으로 시도를 제한하는 등 선택적으로 바인딩 시도에 대한 다른 제한이 필요할 수 있기 때문에 바인딩 규칙 이라고 합니다.
- 대상
- 이는 행위자가 작업을 수행할 수 있는 항목을 정의합니다.
- 작업 유형
- 작업 유형 - 마지막 부분에서는 사용자가 수행할 수 있는 작업 종류를 결정합니다. 가장 일반적인 작업은 add, delete, write, read, search입니다. Identity Management에서 모든 사용자에게 IdM 도메인의 모든 항목에 대한 읽기 및 검색 권한이 암시적으로 부여되며 암호 및 Kerberos 키와 같은 중요한 속성에 대해서만 제한이 있습니다. 익명 사용자는 sudo 규칙 및 호스트 기반 액세스 제어와 같은 보안 관련 구성이 표시되지 않도록 제한됩니다.
작업을 시도하면 IdM 클라이언트가 가장 먼저 수행하는 작업은 바인딩 작업의 일부로 사용자 자격 증명을 보내는 것입니다. 백엔드 Directory Server는 해당 사용자 자격 증명을 확인한 다음 사용자 계정을 확인하여 사용자가 요청한 작업을 수행할 수 있는 권한이 있는지 확인합니다.
10.1.1. Identity Management에서 액세스 제어 방법
액세스 제어 규칙을 간단하고 명확하게 구현하기 위해 Identity Management는 액세스 제어 정의를 세 가지 범주로 나눕니다.
- 셀프 서비스 규칙
- 셀프 서비스 규칙: 사용자가 자신의 개인 항목에 수행할 수 있는 작업을 정의합니다. 액세스 제어 유형은 항목 내의 속성에 대한 쓰기 권한만 허용합니다. 항목 자체에 대한 추가 또는 삭제 작업은 허용하지 않습니다.
- 위임 규칙
- 위임 규칙 - 특정 사용자 그룹이 다른 사용자 그룹의 사용자에 대해 특정 속성에 대해 쓰기(편집) 작업을 수행할 수 있도록 합니다. 셀프 서비스 규칙과 마찬가지로 이 형태의 액세스 제어 규칙은 특정 특성의 값 편집으로 제한됩니다. 전체 항목을 추가 또는 제거하거나 지정되지 않은 속성에 대한 제어 권한을 부여할 수 없습니다.
- 역할 기반 액세스 제어
- 역할 기반 액세스 제어 - 특수 액세스 제어 그룹을 생성하면 IdM 도메인의 모든 유형의 엔티티에 대해 훨씬 광범위한 권한이 부여됩니다. 역할을 편집, 추가 및 삭제 권한을 부여할 수 있습니다. 즉, 선택한 특성이 아닌 전체 항목에 대한 전체 제어 권한을 부여할 수 있습니다.일부 역할은 ID 관리 내에서 이미 생성 및 사용할 수 있습니다. 호스트, 자동 마운트 구성, 넷 그룹, DNS 설정, IdM 구성과 같은 특정 방식으로 모든 유형의 항목을 관리하기 위해 특수 역할을 생성할 수 있습니다.