11장. 관리 콘솔에 대한 액세스 제어
Red Hat Single Sign-On에서 생성된 각 영역에는 해당 영역을 관리할 수 있는 전용 관리 콘솔이 있습니다. 마스터 영역은 관리자가 시스템에서 두 개 이상의 영역을 관리할 수 있는 특수 영역입니다. 또한 서버를 관리하기 위해 다른 영역의 사용자에게 세분화된 액세스를 정의할 수도 있습니다. 이 장에서는 이에 대한 모든 시나리오를 다룹니다.
11.1. 마스터 영역 액세스 제어
Red Hat Single Sign-On의 마스터 영역은 특수한 영역이며 다른 영역과 다르게 처리됩니다. Red Hat Single Sign-On 마스터 영역에 있는 사용자는 Red Hat Single Sign-On 서버에 배포된 0개 이상의 영역을 관리할 수 있는 권한을 부여할 수 있습니다. 영역이 생성되면 Red Hat Single Sign-On은 새 영역에 액세스할 수 있는 권한을 세분화하는 다양한 역할을 자동으로 생성합니다. 관리 콘솔 및 관리 REST 엔드포인트에 대한 액세스는 이러한 역할을 마스터 영역의 사용자에게 매핑하여 제어할 수 있습니다. 여러 슈퍼 사용자와 특정 영역만 관리할 수 있는 사용자를 생성할 수 있습니다.
11.1.1. 글로벌 역할
마스터 영역에는 두 개의 영역 수준 역할이 있습니다. 다음은 다음과 같습니다.
- admin
- create-realm
admin 역할의 사용자는 슈퍼 사용자이며 서버의 모든 영역을 관리할 수 있는 모든 권한이 있습니다. create-realm 역할을 가진 사용자는 새 영역을 만들 수 있습니다. 새로 생성되는 모든 영역에 대한 전체 액세스 권한이 부여됩니다.
11.1.2. 영역별 역할
마스터 영역 내의 admin 사용자에게는 시스템의 하나 이상의 다른 영역에 관리 권한이 부여될 수 있습니다. Red Hat Single Sign-On의 각 영역은 마스터 영역의 클라이언트로 표시됩니다. 클라이언트의 이름은 < realm name>-realm 입니다. 이러한 클라이언트에는 개별 영역을 관리하기 위해 다양한 액세스 수준을 정의하는 클라이언트 수준 역할이 정의되어 있습니다.
사용 가능한 역할은 다음과 같습니다.
- view-realm
- view-users
- view-clients
- view-events
- manage-realm
- manage-users
- create-client
- manage-clients
- manage-events
- view-identity-providers
- manage-identity-providers
- impersonation
사용자에게 원하는 역할을 할당하고 관리 콘솔의 특정 부분만 사용할 수 있습니다.
manage-users 역할이 있는 관리자는 사용자가 보유한 사용자에게만 관리자 역할을 할당할 수 있습니다. 따라서 관리자에게 manage-users 역할이 있지만 manage-realm 역할이 없는 경우 이 역할을 할당할 수 없습니다.
