감사 활동에 대한 보안
ThingWorx Platform에 대한 활동은 사용자의 컨텍스트, 특히 사용자의 특정 보안 컨텍스트에서 발생합니다. 사용자는 사물에 대해 서비스를 호출하는 사람이거나 에지 장치로부터의 인바운드 메시지를 배달하기 위해 플랫폼에 액세스하는 ThingWorx Connection Server일 수 있습니다. 이 두 사용자는 정의된 보안 컨텍스트(사용자에게 지정된 권한으로 구성됨)에서 작업합니다. 디자인 타임에 대한 권한과 실행 시간에 대한 권한이 있습니다.
 |
보안 컨텍스트에서 스위치를 감사하는 방법에 대한 자세한 내용은
보안 컨텍스트 전환 감사 항목을 참조하십시오.
|
권한 설정
ThingWorx에는 두 개의 권한 세트가 있습니다. 하나는 디자인 타임에 대한 것이며 다른 하나는 실행 시간에 대한 것입니다. 디자인 타임 권한은 엔티티를 수정하도록 허용된 사용자를 관리하기 위한 것입니다(생성, 읽기, 업데이트 및 삭제). 실행 시간 권한은 데이터에 액세스하고, 서비스를 실행하고, 사물(데이터 테이블, 스트림 및 사용자 포함)에 대해 이벤트를 트리거할 수 있는 사용자를 결정합니다.
관리자는 사용자 그룹에 대한 명시적 권한 외에도 이러한 권한을 재정의하는 예외도 정의할 수 있습니다. 예를 들어, 서비스를 실행하도록 권한을 제한한 다음 사용자가 특정 서비스 하나만 실행하도록 서비스 재정의를 정의할 수 있습니다. 이 유연성을 통해 특정 사용자 그룹이 액세스하도록 허용된 사물 속성, 이벤트 또는 서비스 등을 세부적으로 제어할 수 있습니다. 기본적으로 관리자 그룹의 사용자만 감사 하위 시스템의 구성 요소에 대한 전체 권한을 보유합니다. 따라서 관리자는 관리자가 아닌 사용자가 서비스 재정의를 사용하여 감사 하위 시스템에서 제공하는 서비스를 호출할 수 있는 권한을 부여해야 합니다.
기본적으로 관리자 그룹의 사용자는 다음 감사 구성 요소에 대한 권한을 보유합니다.
• 감사 하위 시스템 - QueryAuditHistory, ArchiveAuditHistory, ExportAuditData 및 PurgeAuditData 서비스를 표시하는 시스템 객체입니다.
• AuditArchiveFileRepository - 감사 보관에 사용되는 감사 하위 시스템의 파일 저장소입니다.
• AuditArchiveScheduler - 감사 항목의 자동 보관을 제어하는 Scheduler 사물입니다.
• AuditPurgeScheduler - 감사 항목의 자동 제거를 제어하는 Scheduler 사물입니다.
• AuditArchiveCleanupScheduler - 보관된 파일의 정리를 예약합니다.
• AuditArchiveCleanupNotificationScheduler - 정리 알림을 다시 알립니다.
아래 표에는 사용자 그룹의 관리자가 아닌 사용자가 이러한 구성 요소에 액세스할 수 있도록 해당 사용자에게 부여할 수 있는 권한이 나와 있습니다. 관리자가 아닌 사용자 그룹이 감사 하위 시스템의 서비스를 실행하기 위해 필요한 권한은 아래
관리자가 아닌 사용자가 감사 서비스를 실행하는 데 필요한 권한 단원을 참조하십시오.
 |
디자인 타임에 객체를 편집할 수 있는 권한을 관리자가 아닌 사용자에게 부여하지 마십시오. 관리자는 디자인 타임에 시스템 객체를 편집하지 마십시오. 디자인 타임에 시스템 객체를 편집할 경우 업그레이드 중 해당 변경 사항이 손실될 위험이 있습니다.
|
|
컴포넌트
|
관리자가 아닌 사용자 그룹에 대한 권한
|
|---|---|
|
감사 하위 시스템
|
관리자가 아닌 사용자 및 사용자 그룹이 QueryAuditHistory, ArchiveAuditHistory, ExportAuditData 및 PurgeAuditData 서비스를 호출할 수 있도록 하려면 다음을 수행하십시오.
• 감사 하위 시스템 - >
• 감사 하위 시스템 - > . 그룹의 사용자가 호출할 수 있도록 하려는 각 서비스에 대한 서비스 재정의를 정의하고 서비스 실행을 추가합니다.
|
|
AuditArchiveFileRepository
|
감사 하위 시스템의 AuditArchiveFileRepository에 대한 권한을 관리자가 아닌 사용자 또는 사용자 그룹에 부여해서는 안 됩니다.
|
|
AuditArchiveScheduler
|
관리자 그룹의 사용자는 이 스케줄러 사물에 액세스할 수 있어야 합니다. 스케줄러 사물에는 lastArchivedTime이라는 속성이 있습니다. 이 속성은 보관 작업을 성공적으로 실행할 때마다 업데이트됩니다. 가능한 경우 사용자, 관리자 또는 관리자가 아닌 사용자가 이 속성을 업데이트해서는 안 됩니다. 이러한 이유(및 조직에 있을 수 있는 다른 이유)로 인해 스케줄러에 대한 액세스 권한을 관리자가 아닌 사용자에게 부여하지 않는 것이 좋습니다.
|
|
AuditPurgeScheduler
|
관리자 그룹의 사용자만 이 스케줄러 사물에 액세스할 수 있어야 합니다. 관리자가 아닌 사용자에게는 이 스케줄러에 대한 액세스 권한을 부여하지 않는 것이 좋습니다.
|
|
AuditArchiveCleanupScheduler
|
관리자가 아닌 사용자가 정리 서비스를 실행하려면 다음을 수행하십시오.
• AuditArchiveCleanupScheduler - >
• AuditArchiveCleanupScheduler- > . 이 서비스에 대한 서비스 재정의를 정의합니다(서비스 실행).
|
|
AuditArchiveCleanupNotificationScheduler
|
관리자가 아닌 사용자가 정리 서비스의 알림을 실행하려면 다음을 수행하십시오.
• AuditArchiveCleanupNotificationScheduler - >
• AuditArchiveCleanupNotificationScheduler- > . 이 서비스에 대한 서비스 재정의를 정의합니다(서비스 실행).
|
관리자가 아닌 사용자가 감사 서비스를 실행하는 데 필요한 권한
일반적으로 사용자 그룹의 관리자가 아닌 사용자가 감사 하위 시스템의 서비스를 호출할 수 있도록 하려면 사용자 그룹을 생성하고 해당 사용자 그룹에 다음 권한을 부여해야 합니다.
• 감사 하위 시스템 - 표시 유형 권한
• 감사 하위 시스템 - 디자인 타임 권한 - 읽기 허용
• 감사 하위 시스템 실행 시간 권한 - 그룹의 사용자가 호출할 수 있도록 하려는 각 서비스에 대한 서비스 재정의를 정의하고 서비스 실행을 허용합니다.
다음 표에는 감사 하위 시스템에서 서비스가 호출될 수 있도록 엔티티에 부여해야 할 권한이 나와 있습니다.
|
서비스
|
엔티티 유형
|
엔티티 이름
|
표시 유형
|
디자인 타임
|
실행 시간
|
|---|---|---|---|---|---|
|
QueryAuditHistory
|
하위 시스템
|
AuditSubsystem
|
예
|
읽기
|
서비스: QueryAuditHistory - 서비스 실행
|
|
데이터 셰이프
|
AuditHistory
|
예
|
읽기
|
||
|
ArchiveAuditHistory
|
하위 시스템
|
AuditSubsystem
|
예
|
읽기
|
서비스: ArchiveAuditHistory: 서비스 실행
|
|
사물
|
AuditArchiveScheduler
|
예
|
없음
|
LastArchiveTime 속성: 속성 읽기 및 속성 쓰기
|
|
|
ExportAuditData
|
하위 시스템
|
AuditSubsystem
|
예
|
읽기
|
서비스: ExportAuditData: 서비스 실행
|
|
사물
|
AuditArchiveScheduler
|
예
|
없음
|
LastArchivedTime 속성: 속성 읽기 및 속성 쓰기
|
|
|
사물
|
<사용자가 생성한 FileRepository>
|
예
|
없음
|
모든 서비스: 서비스 실행
|
|
|
PurgeAuditData
|
하위 시스템
|
AuditSubsystem
|
예
|
읽기
|
서비스: PurgeAuditData: 서비스 실행
|
|
사물
|
AuditPurgeScheduler
|
예
|
없음
|
속성 읽기 및 속성 쓰기
|