자습서: 제로 트러스트 액세스 사용
엔드 투 엔드 사용 사례에서 제로 트러스트 액세스 기능을 사용하는 절차입니다.
시작하기 전에
필요한 역할: security_admin
세션 접근 사용 속성을 활성화합니다.
주:
- 세션 액세스 구성은 security_admin 역할로만 수행할 수 있습니다. 역할을 security_admin로 승격해야 합니다.
- 세션 액세스는 통합을 지원하지 않습니다.
- 축소되거나 제한된 역할이 사용자에게 할당되지 않은 경우 세션 액세스는 영향을 주지 않습니다. 이 경우 로그인한 세션은 변경되지 않습니다. 사용자는 할당된 권한으로 인스턴스에 계속 액세스할 수 있습니다.
- 사용자가 인스턴스에 이미 로그인되어 있고 동시에 관리자가 정책을 구성하는 동안에는 세션 액세스에 영향을 주지 않습니다. 정책이 적용되려면 사용자가 세션에서 로그아웃해야 합니다.
- 세션 액세스는 로그인 시 적용됩니다. 세션 중에 위험 매개변수가 변경되어도 액세스가 줄어들지 않습니다. 예를 들어 세션을 설정한 후 사용자가 회사 네트워크에서 신뢰할 수 없는 네트워크로 전환하는 경우 사용자가 로그아웃했다가 다시 로그인하지 않는 한 액세스가 줄어들지 않습니다.
- 세션 액세스(제로 트러스트 액세스 - ZTA) 기능, snc_internal 및 snc_external 와 같은 역할은 제거할 수 없습니다.
- 세션 액세스(제로 트러스트 액세스 - ZTA) 기능은 sys_user_has_role 또는 사용자 그룹 구성원 자격 테이블에서 역할을 제거하지 않습니다. ZTA 정책에 따라 축소되거나 제한된 역할로 사용자 세션을 설정합니다.
- 시스템 컨텍스트에서 실행되는 스크립트는 ZTA 세션 역할을 따르지 않습니다.
세션 액세스는 사용자가 신뢰할 수 없는 네트워크에서 로그인, 다른 장치에서 로그인 등 다양한 환경에서 인스턴스에 로그인하려고 할 때 관리자가 사용자에 대한 역할 집합을 동적으로 줄이거나 제한할 수 있도록 하는 기능입니다.
세션 액세스는 구성을 수행할 때 생성된 정책과 선택한 작업으로 제어할 수 있습니다. 일부 시나리오는 다음과 같습니다.
- 정책이 true이고 역할 작업이 역할 제거로 설정된 경우 인스턴스에 로그인하려고 할 때 선택한 역할 및 연결된 하위 역할이 사용자에 대해 제거됩니다.
- 정책이 true이고 역할 작업이 역할로 제한으로 설정되어 있으면 인스턴스에 로그인하려고 할 때 선택한 역할 및 연결된 하위 역할만 사용자에게 할당됩니다.
다음 절차에서는 인스턴스에 로그인하는 사용자로 역할이 제한되는 세션 액세스 구성의 엔드 투 엔드 구성을 설명합니다. 마찬가지로 구성 중에 역할 제거 옵션을 선택하여 역할을 제거할 수도 있습니다.
프로시저
-
사용자의 역할을 제한하려면 양식에서 다음 필드를 채웁니다.
- 이름
- 설명
- 정책
- 동작
- 역할 목록
- 그룹 목록
-
작업을 역할에 대한 제한으로 선택합니다.
정책이 true이면 인스턴스에 로그인할 때 선택한 역할과 연결된 하위 역할만 사용할 수 있습니다.
사용자가 호주 외부의 인스턴스에 로그인하면 기록된 세션에 Knowledge 역할 및 관련 하위 역할만 할당되고 사용자에 대한 다른 역할은 제한됩니다.
로그인하면 플랫폼의 프로필 섹션에 다음 오류 메시지와 함께 사용자가 표시됩니다.
사용자는 관리자에게 문의하고 조사를 위해 상관 관계 ID를 제공할 수 있습니다.
주:상관 관계 ID는 세션 액세스 감사 테이블에 있는 해당 감사 기록의 sys_id입니다.