연속 인증 구성
사용자가 보호하는 자원에 액세스하려는 시도가 있는 경우 사용자를 다시 인증하도록 CA(연속 인증) 정책을 구성합니다.
시작하기 전에
- 필요한 역할: 관리자(ca_admin)주:역할을 ca_admin로 승격해야 합니다.
- 라이선스가 필요한 CA 옵트(opting CA)를 위해 제로 트러스트 -
com.snc.zero_trust_continuous_authentication(연속 인증)을 설치해야 합니다. - 연속 인증()glide.zta.continuous_authentication.enabled 시스템 속성을 활성화합니다. 자세한 내용은 시스템 속성 문서를 참조하십시오.
- 통합 - 다중 제공자 1회 사용자 인증(SSO) 플러그인을com.snc.integration.sso.multi.installer 활성화합니다.
- 인스턴스에 대한 CA를 구성하기 전에 필요한 사전 작업을 이해합니다. 자세한 내용은 연속 인증을 위한 사전 작업 문서를 참조하십시오.
- 데이터 클래스 또는 테이블에 대해 CA 정책을 구성할 수 있습니다.
프로시저
-
양식에서 필드에 다음을 입력합니다.
표 1. 연속 인증 필드 설명 보험 이름 정책 이름 설명 정책에 대한 일반적인 설명 자원 선택 옵션: - 데이터 클래스. 데이터 클래스를 생성하여 CA 정책 구성에 사용할 수 있습니다. 다음은 선택할 수 있는 샘플 데이터 클래스입니다.
- 내부
- 개인 식별 정보
- 제한함
- 기밀
- 공개
주:데이터 클래스를 만드는 방법에 대한 자세한 내용은 을 참조하십시오 데이터 분류. - 테이블
주:- 메타데이터와 함께 선택된 테이블에 오류가 표시됩니다.
- 사용자에 대한 구성 액세스에 영향을 줄 수 있으므로 실제로 메타데이터 테이블에 대한 액세스를 제한할지 확인해야 합니다.
- sys_properties, sys_continuous_auth_policysys_user 테이블은 CA에 대해 제외되며 CA 정책 구성에 추가할 수 없습니다.
주:CA 정책에 대한 로그인 방법 중 하나를 사용할 수 있습니다.- SSO 기반 로그인: ID 제공자 기록 내의 Continuous Authentication(연속 인증 ) 탭에 필드를 지정하고 ID 제공자 기록을 활성으로 설정합니다.
- SSO 기반이 아닌 로그인: 기본적으로 연속 인증 구성을 사용하는 ID 제공자가 없는 경우 로그인 방법으로 MFA(다단계 인증)가 사용됩니다. MFA 속성이 활성 상태이고 요구 사항에 따라 구성되어 있는지 확인합니다. MFA 속성에 대한 자세한 내용은 다음 문서를 참조하십시오 다단계 인증 시스템 속성.
- 데이터 클래스. 데이터 클래스를 생성하여 CA 정책 구성에 사용할 수 있습니다. 다음은 선택할 수 있는 샘플 데이터 클래스입니다.
결과
구성에 제공된 상세 정보를 기반으로 선택한 테이블 또는 데이터 클래스에 대한 ACL(접근 제어 목록)을 사용하여 CA 정책이 생성됩니다. 정책 페이지에서 ACL 보기(View ACLs )를 선택하여 생성한 ACL의 상세 정보를 볼 수 있습니다.
생성된 CA 정책은 다음 시나리오에 따라 정책을 사용하여 보호한 테이블 또는 데이터 클래스에 액세스하기 위한 인증을 사용자에게 요청합니다.
- 인스턴스에 로그인하기 위해 로컬 로그인을 수행한 사용자는 단계별 인증을 위해 플랫폼 MFA와 함께 표시됩니다.주:사용자가 최근에 사용한 MFA 요소가 인증을 위해 표시됩니다.
- 인스턴스에 로그인하기 위해 SSO 로그인(OIDC 또는 SAML)을 수행한 사용자가 재인증을 위해 SSO와 함께 표시됩니다.
이제 사용자에 대한 높은 보증 세션이 설정됩니다. 높은 보증 세션은 높은 보증 세션 길이(glide.zta.high_assurance.session.timeout) 시스템 속성으로 제한됩니다. 높은 보증 세션 시간이 속성 길이를 초과하면 사용자에게 재인증 또는 스텝업 인증을 요청하는 메시지가 표시됩니다.
테이블 또는 데이터에 대한 연속 인증의 엔드 투 엔드 구성에 대한 자세한 내용은 다음을 참조하십시오.