채널 및 팀 관리자는 시스템 관리자의 개입 없이 채널 설정 모달을 통해 직접 비공개 채널에 대한 접근 제어를 자체 관리할 수 있습니다. 시스템 관리자가 만드는 조직 전체 정책은 시스템 전체 속성 기반 접근 정책 을 참조하세요.

각 ABAC 채널 접근 정책에는 정책의 기준을 충족하지만 아직 채널 멤버가 아닌 사용자를 자동으로 추가할지 여부를 결정하는 명시적인 활성 상태가 있습니다. 정책이 채널에 적용되면 활성 상태와 관계없이 정책의 규칙이 항상 적용되어 필수 속성 규칙을 더 이상 충족하지 않는 멤버를 제거합니다.

채널 접근 규칙을 통해 채널 및 팀 관리자는 다음을 수행할 수 있습니다:

• 간단한 인터페이스를 사용하여 채널별 접근 규칙을 만듭니다.
• 규칙은 모든 시스템 정책에 추가적입니다(둘 다 충족해야 합니다).
• 즉각적인 피드백과 함께 자동 멤버 동기화.
• 자신을 잠그는 것을 방지하는 자기 제외 방지.

사전 요구 사항#

• 시스템 관리자가 System Console > System Attributes > Attribute-Based Access 에서 속성 기반 접근 제어(ABAC) 를 활성화해야 합니다.
• 채널 관리자 권한과 manage_channel_access_rules 권한이 필요합니다.
• 채널 접근 규칙은 비공개 채널에서만 사용 가능합니다.

채널 설정 접근#

1. 채널 관리자 권한이 있는 비공개 채널에서 중앙 패널 상단의 채널 이름을 선택합니다.
2. 드롭다운 메뉴에서 채널 설정 을 선택합니다.
3. 접근 제어 탭으로 이동합니다. 이 탭은 적절한 권한이 있고 ABAC가 시스템 전체에서 활성화된 경우 비공개 채널에서만 표시됩니다.

접근 규칙 설정#

채널 접근 규칙은 시스템 정책과 동일한 간단한 인터페이스를 사용하여 복잡한 구문 없이 속성 기반 조건을 만들 수 있습니다.

1. 접근 제어 탭에서 상단에 파란색 정보 배너에 있는 상속된 시스템 정책을 볼 수 있습니다(해당하는 경우).
2. 속성 추가 버튼을 사용하여 새 접근 조건을 만듭니다:
• 속성 선택: 사용 가능한 사용자 속성 중에서 선택합니다.
• 연산자 선택: 속성이 어떻게 일치해야 하는지 선택합니다:
• Is: 지정된 값과 정확히 일치
• Is not: 지정된 값과 일치하지 않아야 함
• In: 여러 지정된 값 중 하나와 일치해야 함
• Contains: 속성 값에 지정된 텍스트가 포함되어야 함
• 값 설정: 필수 속성 값을 입력합니다.
3. 필요에 따라 여러 조건을 추가합니다. 모든 조건은 논리 AND로 결합됩니다(모두 충족되어야 합니다).
4. 접근 규칙 테스트 를 선택하여 현재 규칙을 기반으로 접근 권한이 부여될 사용자를 미리 봅니다.

자동 동기화 멤버십#

접근 규칙을 기반으로 멤버 자동 추가 토글은 자동 멤버십 관리를 제어합니다. 이 설정은 LDAP 그룹 채널이 작동하는 방식과 유사하게 채널 멤버십이 정의된 속성 규칙과 일관되게 유지되도록 합니다:

• 활성화: 규칙에 일치하는 사용자가 채널에 자동으로 추가됩니다. 사용자가 일시적으로 속성을 잃었다가 나중에 다시 획득하면 자동으로 재추가됩니다.
• 비활성화: 규칙은 게이트 역할을 하여(무단 참여 방지) 자격이 있는 사용자를 자동으로 추가하지 않습니다.

유효성 검사 및 안전#

변경 사항을 저장하기 전에 Mattermost는 일반적인 문제를 방지하기 위해 규칙을 검증합니다:

• 필수 필드: 모든 속성 선택 및 값이 완성되어야 합니다.
• 자기 제외 방지: 자신을 채널에서 제거할 규칙을 만들 수 없습니다.
• 충돌 감지: 불가능한 조건을 생성하는 규칙이 식별됩니다.

멤버십에 영향을 미치는 변경 사항을 저장할 때 확인 대화 상자에 다음이 표시됩니다:

• 추가 또는 제거될 사용자 수
• 영향을 받는 특정 사용자를 볼 수 있는 옵션
• 변경 사항을 적용하기 전에 확인 필요

정책 상속#

채널 수준(하위) ABAC 정책은 상위 시스템 전체 정책이 있는 경우에도 독립적으로 일관되게 동작합니다. 각 정책은 자체 활성 상태와 설정을 유지합니다.

시스템 정책 과 채널 규칙이 모두 설정된 경우:

1. 시스템 정책 이 상단의 파란색 배너에 표시됩니다(읽기 전용).
2. 채널 규칙 은 아래의 접근 규칙 섹션에서 관리됩니다.
3. 사용자는 시스템 정책과 채널 규칙 모두를 충족해야 채널에 접근할 수 있습니다.
4. 채널 규칙은 제한을 추가하지만 시스템 정책을 약화할 수 없습니다.
5. 자동 추가 동작은 상위 시스템 전체 정책에서 상속되는 것이 아니라 개별 채널 정책에 의해 결정됩니다. 시스템 전체 정책은 규칙을 전달할 수 있지만, 자동 추가/자동 동기화는 채널별로 평가됩니다.

사용 사례 및 권장 사항#

채널 접근 규칙의 이상적인 사용 사례:

• 프로젝트별 채널: 특정 프로젝트에서 작업 중인 팀 멤버로 접근을 제한합니다.
• 보안 등급 기반 토론: 적절한 보안 등급이 있는 사용자만 참여할 수 있도록 합니다.
• 부서 커뮤니케이션: 특정 조직 단위로 채널 접근을 제한합니다.
• 임시 접근: 단기 프로젝트 팀이나 계약자 접근을 위한 규칙을 만듭니다.

모범 사례:

• 간단하게 시작: 복잡성을 추가하기 전에 기본 속성 조건으로 시작합니다.
• 저장하기 전에 테스트: "접근 규칙 테스트" 기능을 항상 사용하여 의도한 범위를 확인합니다.
• 변경 사항 문서화: 접근 규칙이 변경될 때 채널에 메시지를 게시하는 것을 고려합니다.
• 정기적인 검토: 규칙이 여전히 적절한지 주기적으로 검토합니다.
• IT와 조율: 복잡한 조직 정책은 시스템 관리자와 협력합니다.

시스템 정책 vs. 채널 규칙 사용 시기:

• 시스템 정책: 조직 전체 표준, 컴플라이언스 요구 사항 또는 여러 채널에 영향을 미치는 정책에 사용합니다.
• 채널 규칙: 채널별 제한, 프로젝트 기반 접근 또는 IT 개입 없이 즉각적인 제어가 필요할 때 사용합니다.

최종 사용자 경험#

채널에 속성 기반 접근 제어가 적용된 경우 사용자는 명확한 표시를 보고 보안을 유지하면서 투명성을 제공하도록 설계된 특정 동작을 경험하게 됩니다.

시각적 표시기#

채널 멤버 패널:

• 상단의 정보 배너에서 속성 기반 접근이 활성화되어 있다는 설명을 볼 수 있습니다.
• 필수 속성 값이 태그로 표시됩니다(예: "Engineering", "Confidential").
• 마우스를 올리면 각 값의 속성 이름이 표시됩니다.

멤버 추가 모달:

• 유사한 정보 배너와 속성 값 표시.
• 접근 기준에 일치하지 않는 사용자는 검색 결과에 표시되지 않습니다.
• 채널에 추가할 수 있는 자격이 있는 사용자만 선택할 수 있습니다.

기능 제한#

채널에 ABAC가 활성화된 경우:

• 검색 제한: 접근 기준에 일치하지 않는 사용자가 멤버 검색 결과에 표시되지 않습니다.
• 초대 제한: 속성 요구 사항을 충족하는 사용자만 채널에 추가할 수 있습니다.
• 게스트 사용자 제외: ABAC 정책이 있는 비공개 채널에는 게스트 사용자를 초대할 수 없습니다.
• 자동 제거: 필수 속성을 잃은 사용자는 다음 동기화 시 자동으로 제거됩니다.

문제 해결 및 FAQ#

속성 기반 접근 제어 구현 및 사용에 관한 일반적인 질문입니다.

권한 및 접근#

채널 설정에서 접근 제어 탭을 볼 수 없는 이유는 무엇인가요?#

접근 제어 탭은 다음 조건이 모두 충족될 때만 표시됩니다:

• 채널에 대한 채널 관리자 역할 이상이 있는 경우
• 채널이 비공개 채널인 경우(공개, 그룹 메시지, 다이렉트 메시지 아님)
• ABAC가 시스템 관리자에 의해 System Console > System Attributes > Attribute-Based Access 에서 시스템 전체에서 활성화된 경우
• 사용자 역할에 manage_channel_access_rules 권한이 포함된 경우

채널 및 팀 관리자가 시스템 정책을 재정의할 수 있나요?#

아니요. 채널 규칙은 항상 시스템 정책에 추가적입니다. 사용자는 채널에 접근하기 위해 시스템 정책과 채널 규칙을 모두 충족해야 합니다. 채널 및 팀 관리자는 시스템 관리자가 설정한 제한을 약화하거나 재정의할 수 없습니다.

자신을 제외하는 규칙을 만들면 어떻게 되나요?#

Mattermost는 자기 제외 유효성 검사로 이를 방지합니다. 규칙으로 인해 채널에서 제거될 경우 오류 메시지가 표시되며 규칙을 조정하거나 재설정할 때까지 변경 사항을 저장할 수 없습니다.

규칙 설정#

채널 설정에서 고급 CEL 표현식을 사용할 수 있나요?#

아니요. 채널 설정은 단순 속성 조건을 사용하는 기본 모드만 지원합니다. 중첩 논리 또는 혼합 연산자를 사용하는 복잡한 표현식의 경우 시스템 관리자가 System Console에서 정책을 만들어야 합니다.

채널에서 모든 접근 규칙을 제거하려면 어떻게 해야 하나요?#

접근 규칙 표에서 모든 속성 조건을 삭제합니다. 규칙이 설정되어 있지 않고 시스템 정책이 적용되지 않은 경우 채널은 표준 접근 동작으로 돌아갑니다.

자동 동기화 토글이 비활성화된 이유는 무엇인가요?#

자동 동기화 토글은 다음의 경우에 자동으로 비활성화됩니다:

• 접근 규칙이 설정되어 있지 않은 경우
• 자동 동기화가 활성화된 시스템 정책이 적용된 경우(채널 및 팀 관리자가 비활성화할 수 없음)
• 현재 규칙에 유효성 검사 오류가 있는 경우
• 채널의 접근 제어 정책이 활성 상태가 아닌 경우

동기화 및 멤버십#

멤버십 변경은 얼마나 빨리 적용되나요?#

접근 규칙을 저장하면 멤버십 동기화 작업이 생성되고 작업이 완료되는 즉시 변경 사항이 적용됩니다. 또한 Mattermost는 30분마다 동기화 작업을 실행하여 외부 시스템(LDAP, SAML)의 속성 변경 사항을 처리합니다.

접근 규칙 변경으로 채널에서 제거될 때 사용자에게 알림이 전송되나요?#

예, 수동 제거와 유사하게 사용자는 접근 규칙 변경으로 채널에서 제거될 때 표준 Mattermost 알림을 받습니다.

동기화 중에 추가되거나 제거된 사용자를 확인할 수 있나요?#

예, 저장 전 확인 모달에 영향을 받을 사용자가 정확히 표시됩니다. 시스템 관리자는 System Console에서 자세한 동기화 로그를 볼 수도 있습니다.

속성 및 데이터 질문#

접근 규칙에서 어떤 사용자 속성을 사용할 수 있나요?#

LDAP/SAML을 통해 동기화되거나 시스템 관리자가 System Console > System Attributes > User Attributes 에서 수동으로 설정한 사용자 속성을 사용할 수 있습니다.

사용자 속성이 변경되면 어떻게 되나요?#

다음 동기화(30분마다) 시 접근 규칙에 더 이상 일치하지 않는 사용자는 채널에서 제거되고, 이제 일치하는 새 사용자는 추가됩니다(자동 동기화가 활성화된 경우).

게스트 사용자가 ABAC 채널에서 작동하나요?#

아니요. 속성 기반 접근 제어가 있는 비공개 채널에는 게스트 사용자가 있을 수 없습니다. 이는 조직 속성을 기반으로 하는 접근 제어 정책의 엄격한 준수를 보장합니다.

그룹 동기화 채널이 ABAC를 사용할 수 있나요?#

아니요. 그룹 동기화로 설정된 채널은 속성 기반 접근 제어를 사용할 수 없습니다. 그룹 동기화와 ABAC는 상호 배타적인 기능입니다. 채널당 하나의 접근 제어 방법을 선택해야 합니다.