감사 활동에 대한 보안
ThingWorx Platform에 대한 활동은 사용자의 컨텍스트, 특히 사용자의 특정 보안 컨텍스트에서 발생합니다. 사용자는 사물에 대해 서비스를 호출하는 사람이거나 에지 장치로부터의 인바운드 메시지를 배달하기 위해 플랫폼에 액세스하는 ThingWorx Connection Server일 수 있습니다. 이 두 사용자는 정의된 보안 컨텍스트(사용자에게 지정된 권한으로 구성됨)에서 작업합니다. 디자인 타임에 대한 권한과 실행 시간에 대한 권한이 있습니다.
 |
보안 컨텍스트에서 Switch를 감사하는 방법에 대한 자세한 내용은 보안 컨텍스트 전환 감사 항목을 참조하십시오.
|
ThingWorx 권한
ThingWorx의 엔티티에 대한 보안에는 다음 권한 설정 작업이 포함됩니다.
• 디자인 타임 권한 - 엔티티를 생성, 읽기, 업데이트 및 삭제할 수 있는 사용자 그룹 및 사용자를 제어합니다.
• 실행 시간 권한 - 데이터에 액세스하고, 서비스를 실행하고, 데이터 테이블, 스트림 및 사용자를 포함하여 사물에 대한 이벤트를 트리거할 수 있는 사용자 그룹 및 사용자를 제어합니다. 사물, 사물 템플릿 또는 엔티티 컬렉션 수준에서 실행 시간 권한을 설정할 수 있습니다. 모델의 추상 엔티티, 사물 형태, 데이터 셰이프 및 사용자 그룹에는 실행 시간 권한이 없습니다.
• 표시 유형 권한 - 엔티티를 볼 수 있는 액세스 권한을 가진 조직 및 조직 단위를 정의합니다. 조직 또는 조직 단위의 멤버에 표시 유형 권한이 없는 경우 해당 멤버는 엔티티 목록 또는 검색 결과에서 엔티티를 볼 수 없습니다. 또한 해당 멤버에게는 표시 유형 권한 내의 읽기, 쓰기, 구독 및 기타 권한을 지정할 수 없습니다.
사용 사례 및 필요한 권한
사용 사례, 사용자에게 표시되어야 하는 항목 및 사용자에게 필요한 권한은 다음과 같습니다.
• 관리자와 동일한 방법으로 모든 감사 항목을 볼 수 있어야 하는 사용자는 아래의 관리자가 아닌 사용자가 감사 서비스를 실행하는 데 필요한 권한 단원에 나와 있는 단계를 수행하여 만든 사용자 그룹에 추가해야 합니다.
• 특정 사물과 연관된 모든 감사 항목을 볼 수 있어야 하는 사용자는 감사자 그룹에 추가하고 사물의 QueryAuditHistory 서비스에 대한 실행 시간 권한과 사물에 대한 표시 유형 및 실행 시간 권한을 제공해야 합니다.
• 사용자 컨텍스트 내에서만 감사 항목을 볼 수 있어야 하는 사용자에게는 사물의 QueryAuditHistory 서비스에 대한 실행 시간 권한과 사물에 대한 실행 시간 권한 및 표시 유형을 제공해야 합니다.
ThingWorx Platform v.9.0.0에는 관리자가 아닌 사용자에게 권한을 지정할 수 있도록 "감사자"라는 사용자 그룹이 추가되었습니다. 자세한 내용은 다음 단원을 참조하십시오.
관리자 및 감사자 사용자 그룹에 대한 권한
기본적으로 관리자 그룹의 사용자는 감사 하위 시스템, 해당 서비스 및 데이터를 포함하여 ThingWorx의 모든 항목에 대한 전체 권한을 보유합니다. 기본적으로 감사자 그룹의 사용자는 사물에 대해 QueryAuditHistiory 서비스를 실행할 때 다른 사용자가 만든 감사 항목을 볼 수 있습니다. 관리자가 아닌 사용자 및 사용자 그룹의 경우 관리자가 서비스 재정의를 통해 감사 하위 시스템에서 제공한 서비스를 호출할 수 있는 권한을 부여해야 합니다. 서비스 재정의를 사용하는 방법에 대한 자세한 내용은 서비스 재정의 항목을 참조하십시오.
기본적으로 관리자 그룹의 사용자는 감사 하위 시스템과 관련된 다음 엔티티에 대한 권한을 보유합니다.
• 감사 하위 시스템 - 두 구현 모두에서 다음 서비스를 노출하는 시스템 객체
◦ 서비스 실행 - 감사 하위 시스템에 대한 QueryAuditHistory 실행
◦ 서비스 실행 - ArchiveAuditHistory
◦ 서비스 실행 - ExportAuditData
◦ 서비스 실행 - CleanupOfflineAudit
◦ 서비스 실행 - GetAuditEntryCount
◦ 서비스 실행 - PurgeAuditData
◦ 서비스 실행 - ExportOnlineAuditData
◦ 서비스 실행 - ArchiveAuditHistoryDirectPersistence
◦ 서비스 실행 - QueryAuditHistoryWithQueryCriteria
◦ 서비스 실행 - 사물에 대한 QueryAuditHistory 실행
• AuditArchiveFileRepository - 감사 보관에 사용되는 감사 하위 시스템의 파일 저장소입니다. 하위 시스템을 시작할 때 작성되는 저장소에는 현재 활성 구현에 대한 디렉터리가 있습니다. 한 구현에서 다른 구현으로 전환할 경우 이전 활성 구현의 감사 데이터가 유지되고 현재 활성 구현에 대한 새 디렉터리가 생성됩니다. 저장소의 구조는 두 구현이 모두 활성 상태인 설치에서 다음과 유사합니다.
• 활성 구현에 따라 감사 데이터를 보관하기 위한 두 스케줄러 중 하나
◦ AuditArchiveScheduler - 데이터 테이블 구현에 대한 감사 항목 자동 보관을 제어하는 Scheduler 사물입니다.
◦ AuditArchiveSchedulerDirectPersistence - 직접 지속성 구현에 대한 감사 항목 자동 보관을 제어하는 Scheduler 사물입니다.
• AuditPurgeScheduler - 온라인 감사 항목의 자동 제거를 제어하는 Scheduler 사물입니다.
• AuditArchiveCleanupScheduler - 보관된 오프라인 감사 데이터 파일의 정리를 예약합니다.
• AuditArchiveCleanupNotificationScheduler - 정리 알림을 다시 알립니다.
관리자가 아닌 사용자에게 필요한 권한
아래 표에는 사용자 그룹의 관리자가 아닌 사용자가 감사 하위 시스템 엔티티에 액세스할 수 있도록 해당 사용자에게 부여할 수 있는 권한이 나와 있습니다.
 | 디자인 타임에 객체를 편집할 수 있는 권한을 관리자가 아닌 사용자에게 부여하지 마십시오. 관리자는 디자인 타임에 시스템 객체를 편집하지 마십시오. 디자인 타임에 시스템 객체를 편집할 경우 업그레이드 중 해당 변경 사항이 손실될 위험이 있습니다. |
엔티티 | 관리자가 아닌 사용자 그룹에 대한 권한 |
|---|---|
감사 하위 시스템 | 관리자가 아닌 사용자 및 사용자 그룹이 QueryAuditHistory, QueryAuditHistoryWithQueryCriteria, ArchiveAuditHistory, ExportAuditData, ExportOnlineAuditData, CleanupOfflineAudit, PurgeAuditData, GetAuditEntryCount 및 ArchiveAuditHistoryDirectPersistence 서비스를 호출할 수 있도록 하려면 다음을 수행하십시오. • 감사 하위 시스템 - > • 감사 하위 시스템 - > . 그룹의 사용자가 호출할 수 있도록 하려는 각 서비스에 대한 서비스 재정의를 정의하고 서비스 실행을 추가합니다. |
AuditArchiveFileRepository | 감사 하위 시스템의 AuditArchiveFileRepository에 대한 권한을 관리자가 아닌 사용자 또는 사용자 그룹에 부여해서는 안 됩니다. |
AuditArchiveScheduler(데이터 테이블 구현) | 관리자 그룹의 사용자는 이 스케줄러 사물에 액세스할 수 있어야 합니다. 스케줄러 사물에는 lastArchivedTime이라는 속성이 있습니다. 이 속성은 보관 작업을 성공적으로 실행할 때마다 업데이트됩니다. 가능한 경우 사용자, 관리자 또는 관리자가 아닌 사용자가 이 속성을 업데이트해서는 안 됩니다. 이러한 이유(및 조직에 있을 수 있는 다른 이유)로 인해 스케줄러에 대한 액세스 권한을 관리자가 아닌 사용자에게 부여하지 않는 것이 좋습니다. |
AuditArchiveSchedulerDirectPersistence | 관리자 그룹의 사용자는 이 스케줄러 사물에 액세스할 수 있어야 합니다. 스케줄러 사물에는 lastArchivedTimeDirectPersistence이라는 속성이 있습니다. 이 속성은 보관 작업을 성공적으로 실행할 때마다 업데이트됩니다. 가능한 경우 사용자, 관리자 또는 관리자가 아닌 사용자가 이 속성을 업데이트해서는 안 됩니다. 이러한 이유(및 조직에 있을 수 있는 다른 이유)로 인해 스케줄러에 대한 액세스 권한을 관리자가 아닌 사용자에게 부여하지 않는 것이 좋습니다. |
AuditPurgeScheduler | 관리자 그룹의 사용자만 이 스케줄러 사물에 액세스할 수 있어야 합니다. 관리자가 아닌 사용자에게는 이 스케줄러에 대한 액세스 권한을 부여하지 않는 것이 좋습니다. |
AuditArchiveCleanupScheduler | 관리자 그룹의 사용자만 이 스케줄러 사물에 액세스할 수 있어야 합니다. 관리자가 아닌 사용자에게는 이 스케줄러에 대한 액세스 권한을 부여하지 않는 것이 좋습니다. |
AuditArchiveCleanupNotificationScheduler | 관리자가 아닌 사용자가 정리 서비스의 알림을 실행하려면 다음을 수행하십시오. • AuditArchiveCleanupNotificationScheduler - > • AuditArchiveCleanupNotificationScheduler- > . 이 서비스에 대한 서비스 재정의를 정의합니다(서비스 실행). |
일반적으로 사용자 그룹의 관리자가 아닌 사용자가 감사 하위 시스템의 서비스를 호출할 수 있도록 하려면 사용자 그룹을 생성하고 해당 사용자 그룹에 다음 권한을 부여해야 합니다.
• 감사 하위 시스템 - 표시 유형 권한
• 감사 하위 시스템 - 디자인 타임 권한 - 읽기 허용
• 감사 하위 시스템 실행 시간 권한 - 그룹의 사용자가 호출할 수 있도록 하려는 각 서비스에 대한 서비스 재정의를 정의하고 서비스 실행을 허용합니다.
다음 표에는 감사 하위 시스템에서 서비스가 호출될 수 있도록 엔티티에 부여해야 할 권한이 나와 있습니다.
서비스 | 엔티티 유형 | 엔티티 이름 | 표시 유형 | 디자인 타임 | 실행 시간 |
|---|---|---|---|---|---|
QueryAuditHistory | 하위 시스템 | AuditSubsystem | 예 | 읽기 | 서비스: QueryAuditHistory - 서비스 실행 |
데이터 셰이프 | AuditHistory | 예 | 읽기 | ||
QueryAuditHistoryWithQueryCriteria | 하위 시스템 | AuditSubsystem | 예 | 읽기 | 서비스: QueryAuditHistoryWithQueryCriteria - 서비스 실행 |
데이터 셰이프 | AuditHistory | 예 | 읽기 | ||
ArchiveAuditHistory | 하위 시스템 | AuditSubsystem | 예 | 읽기 | 서비스: ArchiveAuditHistory: 서비스 실행 |
사물 | AuditArchiveScheduler | 예 | 없음 | LastArchiveTime 속성: 속성 읽기 및 속성 쓰기 | |
ArchiveAuditHistoryDirectPersistence | 하위 시스템 | 감사 하위 시스템 | 예 | 읽기 | 서비스: ArchiveAuditHistory-DirectPersistence: 서비스 실행 |
사물 | AuditArchiveSchedulerDirectPersistence | 예 | 없음 | LastArchiveTimeDirectPersistence 속성: 속성 읽기 및 속성 쓰기 | |
ExportAuditData | 하위 시스템 | AuditSubsystem | 예 | 읽기 | 서비스: ExportAuditData: 서비스 실행 |
사물 | AuditArchiveScheduler | 예 | 없음 | LastArchivedTime 속성: 속성 읽기 및 속성 쓰기 | |
사물 | <사용자가 생성한 FileRepository> | 예 | 없음 | 모든 서비스: 서비스 실행 | |
ExportOnlineAuditData | 하위 시스템 | AuditSubsystem | 예 | 읽기 | 서비스: ExportOnlineAuditData: 서비스 실행 |
사물 | <사용자가 생성한 FileRepository> | 예 | 없음 | 모든 서비스: 서비스 실행 | |
CleanupOfflineAudit | 하위 시스템 | AuditSubsystem | 예 | 읽기 | CleanupOfflineAudit 서비스: 서비스 실행 |
사물 | AuditArchiveCleanupScheduler | 예 | 없음 | DaysToArchive 속성: 속성 읽기 및 속성 쓰기 | |
사물 | AuditArchiveCleanupNotificationScheduler | 예 | 없음 | 속성 읽기 및 속성 쓰기 | |
사물 | <사용자가 생성한 FileRepository> | 예 | 없음 | 모든 서비스: 서비스 실행 | |
PurgeAuditData | 하위 시스템 | AuditSubsystem | 예 | 읽기 | PurgeAuditData 서비스: 서비스 실행 |
사물 | AuditPurgeScheduler | 예 | 없음 | 속성 읽기 및 속성 쓰기 | |
GetAuditEntryCount | 하위 시스템 | AuditSubsystem | 예 | 읽기 | GetAuditEntryCount 서비스: 서비스 실행 |