액세스 제어 목록 정보
이 섹션에서는 도메인에 대한 액세스 제어 정책에서 ACL이 파생되는 방법을 간단히 설명하고 ACL이 액세스 제어를 수행하는 방법을 살펴봅니다.
액세스 제어 규칙을 작성할 때는 규칙 선행과 규칙 결과를 지정합니다.
• 규칙 선행은 다음으로 구성됩니다.
◦ 도메인
◦ 액세스 정책에서 특정 객체에 적용되는 규칙을 결정하는 객체 유형
◦ 권한을 적용하기 위해 필요한 객체의 라이프 사이클 단계를 식별하는 라이프 사이클 상태. 객체 유형이 라이프 사이클 관리형이 아니면 해당 상태를 적용할 수 없으며, 라이프 사이클 상태가 ALL로 설정된 규칙만 적용됩니다.
• 규칙 결과는 다음으로 구성됩니다.
◦ 사용자, 사용자 정의 그룹, 시스템 그룹, 역할 또는 조직인 참여자. 사용자는 둘 이상의 그룹 또는 역할의 멤버가 될 수 있습니다.
◦ 규칙이 지정된 참여자를 제외한 모든 참여자를 대상으로 하는지 아니면 특정 참여자를 대상으로 하는지
◦ 연관된 권한
◦ 권한이 부여, 거부 또는 절대적으로 거부되는지
참여자를 제외한 모두에 대한 규칙에서는 참여자를 다음 이외의 모든 참여자로 구성된 그룹으로 처리합니다.
• 관리자 사용자
• 선택한 사용자
• 선택한 그룹, 동적 역할 또는 조직의 사용자
예를 들어, 관리자 그룹을 제외한 모든 참여자에게 릴리즈됨 상태의 부품에 대한 삭제 권한을 거부하도록 지정하는 규칙을 작성할 수 있습니다. 이 경우 관리자 그룹의 멤버가 아닌 참여자는 모두 지정된 상태의 부품을 삭제할 수 없습니다.
정책 관리 유틸리티에 정의된 역할은 가역할이나 동적 역할로 분류될 수 있습니다.
• OWNER의 가역할에 대해 정의된 규칙은 소유 가능 객체의 소유자에게 적용되는 권한을 지정합니다.
• ALL의 가역할에 대해 정의된 규칙은 모든 참여자에게 적용되는 권한을 지정합니다. ACL을 계산할 때 이 역할은 그룹과 같이 처리됩니다.
• 동적 역할에 대해 정의된 규칙은 역할이 사용되는 컨텍스트 팀과 연관된 해당 시스템 그룹에 적용되는 권한을 지정합니다. ACL이 도메인에 대해 파생되면 동적 역할은 도메인의 컨텍스트와 연관된 시스템 그룹에 적용됩니다. 동적 역할에 대해 정의된 규칙에 사용된 일부 역할이 특정 컨텍스트에 없는 경우 해당 규칙은 무시됩니다. 예를 들어, 조직의 Default 도메인에 컨텍스트 팀 Designer 역할에 대한 규칙이 정의되어 있는 경우 Designer 역할이 이 기본 조직 도메인에서 규칙을 상속하는 특정 응용 프로그램 컨텍스트에서 사용되지 않는 경우 컨텍스트 팀 Designer 역할에 대해 정의된 규칙은 무시됩니다.
동적 역할을 사용하여 중앙에서 액세스 제어 규칙 관리 항목을 참조하십시오.
도메인 내에 있는 일부 또는 모든 객체 유형에 대한 액세스 제어 규칙을 작성할 수 있습니다. 이러한 규칙은 모두 도메인에 대한 액세스 제어 정책을 구성합니다.
ACL은 요구에 따라 각 규칙 선행에 대해 작성됩니다. ACL은 특정 도메인 정책과 해당 상위 도메인 정책에서 파생되며 여러 ACL 엔트리로 구성됩니다. 각 ACL 엔트리는 참여자와 연관된 권한 세트를 포함하며, 각 ACL 엔트리는 연관된 참여자에게 권한을 부여(+), 거부(-) 또는 절대적으로 거부(!)합니다.
성능 향상을 위해 일단 계산된 ACL은 캐시되므로 나중에 특정 객체에 대한 액세스 요청이 있을 때 빨리 읽어들일 수 있습니다.