세션 유효성 검사 컨텍스트를 세션 또는 쿠키 하이재킹에 대한 추가 보호 계층으로 사용합니다.

정책 프레임워크에서 세션 확인 컨텍스트를 사용할 수 있습니다 적응형 인증 . 프레임워크는 인증 정책을 사용하여 인증 요청을 평가한 다음 정책 입력 및 조건에 따라 액세스를 거부하거나 허용합니다.

세션 확인 컨텍스트 정책은 관리자가 로그인한 세션 중에 특정 또는 모든 사용자에게 IP 제한을 적용할 수 있는 사후 인증 정책과 함께 사용할 수 있습니다.

세션 확인 컨텍스트 기능은 사용자가 설정한 조건에 따라 IP 주소를 평가하고 세션 내에서 인스턴스에 대한 액세스를 허용합니다. 세션 확인 컨텍스트 결과는 다음과 같습니다.

• 거부 정책: 거부 액세스 정책을 기본 정책으로 선택하면 사용자가 기본적으로 세션을 계속할 수 있습니다. 세션은 액세스 거부 정책에 정의된 정책 조건 중 하나가 true로 평가되는 경우에만 종료됩니다.
• Allow Policy(정책 허용): Allow access policy(액세스 허용 정책)를 기본 정책으로 선택하면 Allow access policy(액세스 허용 정책)에 정의된 정책 조건 중 하나가 true로 평가되지 않는 한 사용자 세션이 즉시 종료됩니다.

세션 확인 컨텍스트는 다음 메커니즘에 따라 작동합니다.

• 사용자 요청에서 세션을 만들 때 사용자의 IP 주소를 캡처하여 세션 및 데이터베이스에 저장합니다.
• IP 주소가 세션 안의 IP 주소와 다르거나 고객이 정의한 유효한 IP 범위를 벗어날 경우 요청을 거부합니다.

세션 확인의 이점

세션 유효성 검사 컨텍스트에는 다음과 같은 이점이 있습니다.

• 하이재커가 세션을 가장하기 위해 사용자의 세션 쿠키를 한 장치에서 다른 장치로 복사하는 경우로 ServiceNow® 액세스를 제한합니다.
• 안전하지 않은 네트워크를 사용하는 사용자의 세션 액세스를 제한합니다.
• 사용자 로그인을 위해 사용자 그룹 또는 역할별로 다양한 규칙과 IP 범위를 구성합니다.

세션 확인 컨텍스트 기록

세션 검증 컨텍스트의 정책은 로그인 후 요청을 실행합니다.

세션 확인 정책 컨텍스트 기록의 필드를 사용하여 인스턴스에서 정책을 사용하는 방법을 정의합니다.

표 1. 세션 확인 컨텍스트 양식

필드	설명
이름	정책 컨텍스트의 이름입니다. 이 필드는 정적이며 변경할 수 없습니다.
설명	컨텍스트에 대한 설명입니다.
기본 정책	정책을 평가할 때 이 컨텍스트의 기본 동작을 정의합니다. 다음 옵션 중에서 선택합니다. 정책 허용 기본적으로 모든 사용자에 대한 액세스를 거부하고 허용 정책 필드의 조건이 예로 평가되는 경우에만 액세스를 허용합니다. 거부 정책 기본적으로 모든 사용자에 대한 액세스를 허용하고 거부 정책 필드의 조건이 예로 평가되는 경우에만 액세스를 거부합니다.
정책 허용	이 컨텍스트에 사용되는 정책입니다. 이 필드는 기본 정책 필드가 허용 정책으로 설정된 경우에만 나타납니다.
거부 정책	이 컨텍스트에 사용되는 정책입니다. 이 필드는 Default Policy(기본 정책 ) 필드가 Deny Policy(거부 정책)로 설정된 경우에만 나타납니다.

정책 입력 및 정책 조건에 따라 Session Validation Policy(세션 확인 정책 )를 Allow Policy(허용 정책) 또는 Deny Policy(거부 정책)로 선택할 수 있습니다.

주:

세션 확인 정책에는 IP, 역할 및 그룹 필터 기준만 사용할 수 있습니다.

정책 입력 및 조건

Policy Input(정책 입력) 및 Policy Conditions(정책 조건) 탭에는 Allow Policy(허용 정책) 또는 Deny Policy(거부 정책) 필드에서 선택한 정책의 입력과 조건이 표시됩니다. 이 탭은 참조 역할을 합니다. 그러나 정책 입력 또는 조건을 변경하는 데 사용할 수는 없습니다. 정책을 수정하려면 Allow Policy(허용 정책) 또는 Deny Policy(거부 정책) 필드 옆에 있는 참조 )을 사용하여 정책으로 이동합니다.