InfoGrab Docs

시스템 전체 속성 기반 접근 정책

요약

이 가이드를 사용하여 System Console에서 조직 전체 속성 기반 접근 정책을 만들고 관리합니다. 단일 정책에 여러 규칙을 추가할 수 있으며 각 규칙에는 여러 속성 값을 포함할 수 있습니다. * True: 사용자 속성이 변경됨에 따라 정의된 규칙에 따라 채널 멤버십을 자동으로 유지합니다.

이 가이드를 사용하여 System Console에서 조직 전체 속성 기반 접근 정책을 만들고 관리합니다. 채널 관리자가 관리하는 채널 수준 규칙은 채널별 접근 규칙 을 참조하세요.

사전 요구 사항#

  • 속성 기반 접근 제어(ABAC) 에는 정의된 사용자 속성이 필요합니다. 먼저 System Console에서 사용자 속성 설정 을 하세요.
  • 그런 다음 System Console > System Attributes > Attribute-Based Access 로 이동하여 Mattermost 인스턴스에 대한 속성 기반 접근 제어를 활성화합니다. 이 기능은 Mattermost Enterprise Advanced 라이선스가 필요합니다.
Mattermost v10.11부터 사용자 관리 속성은 보안상의 이유로 기본적으로 ABAC 규칙에서 제외됩니다. 이는 사용자가 자신의 프로필 속성을 편집하여 접근 제어 정책을 우회하지 못하도록 합니다. 사용자 관리 속성을 ABAC 규칙에 포함시키려면 시스템 관리자가 EnableUserManagedAttributes 설정을 명시적으로 활성화해야 합니다. 이 기능 활성화에 대한 자세한 내용은 사용자 속성 문서를 참조하세요. 이 설정은 Enterprise Edition Advanced에서만 사용 가능하며 기본적으로 비활성화되어 있습니다.

접근 제어 정책 정의#

단일 정책에 여러 규칙을 추가할 수 있으며 각 규칙에는 여러 속성 값을 포함할 수 있습니다.

  1. System Console에서 System Attributes > Attribute-Based Access 로 이동하고 정책 추가 를 선택합니다.
  2. 고유한 정책 이름을 입력합니다.
  3. 설정된 속성 값에 일치하는 사용자를 새 멤버로 자동 추가할지 여부를 선택합니다. 자동 동기화는 기본적으로 비활성화되어 있습니다.

    4. * True: 사용자 속성이 변경됨에 따라 정의된 규칙에 따라 채널 멤버십을 자동으로 유지합니다.

    * False (기본값): 멤버를 제거하고 정의된 규칙에 일치하지 않는 경우 채널에 추가하는 것만 제한합니다. 사용자는 자동으로 추가되지 않습니다. 이 설정에 관계없이 향후 설정된 속성 값에 더 이상 일치하지 않는 사용자는 다음 채널 동기화 후 채널에서 제거됩니다.
  4. 채널 멤버십을 제한하는 속성 기반 접근 규칙을 정의합니다.

기본 모드는 간단하고 직접적인 접근 제어 시나리오에 이상적입니다. 각 행은 사용자가 정책을 준수하기 위해 충족해야 하는 단일 조건입니다. 기본 모드는 중첩 논리나 혼합 논리 연산자가 없는 단순 조건만 지원합니다. 모든 규칙은 논리 AND 연산자 && 로 결합됩니다.

1. 속성 추가 를 선택하고 접근 제어에 사용할 속성을 선택합니다. 2. 속성이 사용자 프로필과 어떻게 일치해야 하는지 지정합니다. 다음 옵션 중에서 선택할 수 있습니다: - Is: 속성이 값과 정확히 일치해야 합니다. - Is not: 속성에 지정된 값이 포함되어서는 안 됩니다. - In: 속성이 적어도 하나의 값과 일치해야 합니다. - Starts with: 속성 값이 지정된 값으로 시작해야 합니다. - Ends with: 속성 값이 지정된 값으로 끝나야 합니다. - Contains: 속성 값에 지정된 값이 포함되어야 합니다. 3. 채널에 접근 권한이 부여되기 위해 사용자가 가져야 하는 속성 값을 지정합니다.

Advanced Mode

고급 모드는 user.<attribute> == <value> 와 같은 규칙을 지원하고, 여러 조건에 && / || (AND/OR)를 사용하며, () 로 조건을 그룹화하는 CEL 구문이 필요한 복잡한 접근 제어 시나리오에 이상적입니다. CEL 표현식 편집기는 실시간 구문 유효성 검사 및 피드백과 함께 속성, 연산자 및 속성 값에 대한 컨텍스트 인식 자동 완성을 제공합니다. 기본 모드에서 규칙 정의를 시작한 다음 필요에 따라 고급 모드로 전환하여 규칙을 세밀하게 조정할 수도 있습니다. 그러나 다음 중 하나가 해당하면 고급 모드에서 기본 모드로 전환하는 것이 차단됩니다: * 조건 간에 혼합 논리 연산자가 사용된 경우. * 중첩 논리/그룹화(괄호)가 있는 경우. * 지원되지 않는 연산자 또는 표현식이 감지된 경우. 구문 구조는 user.<attribute> <operator> <value> 입니다. 입력하면 자동 완성에서 사용 가능한 속성이 표시됩니다. 속성을 선택하면 자동 완성에서 적절한 CEL 연산자를 제안합니다. 연산자를 선택한 후 속성 값이 미리 정의된 경우 자동 완성에서 선택할 값을 제안합니다. Mattermost는 누락된 연산자, 잘못된 구문, 불완전한 조건과 같은 문제를 명시적으로 표시합니다. 구문 유효성 검사 바를 선택하여 규칙의 구문을 확인합니다. 구문이 유효하면 바가 녹색으로 변하고 구문이 유효하다는 메시지가 표시됩니다. 문제가 있으면 바가 빨간색으로 변하고 오류 메시지가 표시됩니다.

규칙 테스트#

접근 규칙 테스트 를 선택하여 현재 규칙을 기반으로 채널에 접근 권한이 부여될 사용자 수를 반환하는 사용자 기반에 대해 규칙을 테스트합니다. 의도한 범위를 확인하고 예상치 못한 접근 변경을 방지하기 위해 규칙을 테스트하세요.

규칙 관리#

기본 모드 또는 고급 모드를 사용하여 언제든지 기존 규칙에 변경 사항을 적용하거나 규칙을 제거할 수 있습니다. 저장 을 선택하여 변경 사항을 저장합니다.

비공개 채널에 정책 할당#

채널 추가 를 선택하여 원하는 채널을 검색하고 선택함으로써 접근 제어 정책이 적용되는 비공개 채널을 지정합니다. 한 번에 여러 채널에 정책을 할당하거나 나중에 개별 채널에 할당 할 수 있습니다. 저장 을 선택하여 변경 사항을 저장합니다.

Note

속성 기반 접근 제어 정책이 있는 비공개 채널에는 게스트 사용자를 초대할 수 없습니다. ABAC 제어 채널에는 정의된 속성 기준에 일치하는 사용자만 추가할 수 있어 접근 제어 정책의 엄격한 준수가 보장됩니다.

정책 삭제#

제거하려는 정책 옆의 삭제 버튼을 선택하여 정책을 삭제합니다. 현재 어떤 채널에도 할당되지 않은 정책만 삭제할 수 있습니다. 정책이 채널에 할당된 경우 삭제하기 전에 해당 채널에서 먼저 제거해야 합니다.

채널별 접근 제어 정의#

채널 멤버십을 더 세밀하게 제어하기 위해 비공개 채널에 기존 접근 제어 정책을 할당할 수 있습니다. 이는 다른 채널에 다른 규칙을 적용해야 할 때 유용합니다.

  1. System Console에서 User Management > Channels 로 이동하여 설정할 비공개 채널을 선택하고 편집 을 선택합니다.
  2. 채널 관리 섹션에서 속성 기반 채널 접근 활성화 옵션을 활성화합니다.
  3. 접근 정책 아래에서 정책에 연결 을 선택하여 기존 정책을 선택합니다.
Tip

System Console의 채널 관리 아래에 있는 채널 세부 정보 페이지에서 속성 기반 채널 접근 활성화 옵션을 활성화하여 채널에 ABAC 규칙을 직접 할당할 수도 있습니다. 접근 정책 아래에서 정책에 연결 을 선택하여 기존 정책을 선택합니다.

채널 정책 제거#

정책 제거 를 선택하여 채널에 대한 정책을 비활성화합니다. 원하는 경우 채널을 다른 정책에 연결할 수 있습니다.

시스템 전체 속성 기반 접근 정책

원문 보기
요약

이 가이드를 사용하여 System Console에서 조직 전체 속성 기반 접근 정책을 만들고 관리합니다. 단일 정책에 여러 규칙을 추가할 수 있으며 각 규칙에는 여러 속성 값을 포함할 수 있습니다. * True: 사용자 속성이 변경됨에 따라 정의된 규칙에 따라 채널 멤버십을 자동으로 유지합니다.

이 가이드를 사용하여 System Console에서 조직 전체 속성 기반 접근 정책을 만들고 관리합니다. 채널 관리자가 관리하는 채널 수준 규칙은 채널별 접근 규칙 을 참조하세요.

사전 요구 사항#

  • 속성 기반 접근 제어(ABAC) 에는 정의된 사용자 속성이 필요합니다. 먼저 System Console에서 사용자 속성 설정 을 하세요.
  • 그런 다음 System Console > System Attributes > Attribute-Based Access 로 이동하여 Mattermost 인스턴스에 대한 속성 기반 접근 제어를 활성화합니다. 이 기능은 Mattermost Enterprise Advanced 라이선스가 필요합니다.
Mattermost v10.11부터 사용자 관리 속성은 보안상의 이유로 기본적으로 ABAC 규칙에서 제외됩니다. 이는 사용자가 자신의 프로필 속성을 편집하여 접근 제어 정책을 우회하지 못하도록 합니다. 사용자 관리 속성을 ABAC 규칙에 포함시키려면 시스템 관리자가 EnableUserManagedAttributes 설정을 명시적으로 활성화해야 합니다. 이 기능 활성화에 대한 자세한 내용은 사용자 속성 문서를 참조하세요. 이 설정은 Enterprise Edition Advanced에서만 사용 가능하며 기본적으로 비활성화되어 있습니다.

접근 제어 정책 정의#

단일 정책에 여러 규칙을 추가할 수 있으며 각 규칙에는 여러 속성 값을 포함할 수 있습니다.

  1. System Console에서 System Attributes > Attribute-Based Access 로 이동하고 정책 추가 를 선택합니다.
  2. 고유한 정책 이름을 입력합니다.
  3. 설정된 속성 값에 일치하는 사용자를 새 멤버로 자동 추가할지 여부를 선택합니다. 자동 동기화는 기본적으로 비활성화되어 있습니다.

    4. * True: 사용자 속성이 변경됨에 따라 정의된 규칙에 따라 채널 멤버십을 자동으로 유지합니다.

    * False (기본값): 멤버를 제거하고 정의된 규칙에 일치하지 않는 경우 채널에 추가하는 것만 제한합니다. 사용자는 자동으로 추가되지 않습니다. 이 설정에 관계없이 향후 설정된 속성 값에 더 이상 일치하지 않는 사용자는 다음 채널 동기화 후 채널에서 제거됩니다.
  4. 채널 멤버십을 제한하는 속성 기반 접근 규칙을 정의합니다.

기본 모드는 간단하고 직접적인 접근 제어 시나리오에 이상적입니다. 각 행은 사용자가 정책을 준수하기 위해 충족해야 하는 단일 조건입니다. 기본 모드는 중첩 논리나 혼합 논리 연산자가 없는 단순 조건만 지원합니다. 모든 규칙은 논리 AND 연산자 && 로 결합됩니다.

1. 속성 추가 를 선택하고 접근 제어에 사용할 속성을 선택합니다. 2. 속성이 사용자 프로필과 어떻게 일치해야 하는지 지정합니다. 다음 옵션 중에서 선택할 수 있습니다: - Is: 속성이 값과 정확히 일치해야 합니다. - Is not: 속성에 지정된 값이 포함되어서는 안 됩니다. - In: 속성이 적어도 하나의 값과 일치해야 합니다. - Starts with: 속성 값이 지정된 값으로 시작해야 합니다. - Ends with: 속성 값이 지정된 값으로 끝나야 합니다. - Contains: 속성 값에 지정된 값이 포함되어야 합니다. 3. 채널에 접근 권한이 부여되기 위해 사용자가 가져야 하는 속성 값을 지정합니다.

Advanced Mode

고급 모드는 user.<attribute> == <value> 와 같은 규칙을 지원하고, 여러 조건에 && / || (AND/OR)를 사용하며, () 로 조건을 그룹화하는 CEL 구문이 필요한 복잡한 접근 제어 시나리오에 이상적입니다. CEL 표현식 편집기는 실시간 구문 유효성 검사 및 피드백과 함께 속성, 연산자 및 속성 값에 대한 컨텍스트 인식 자동 완성을 제공합니다. 기본 모드에서 규칙 정의를 시작한 다음 필요에 따라 고급 모드로 전환하여 규칙을 세밀하게 조정할 수도 있습니다. 그러나 다음 중 하나가 해당하면 고급 모드에서 기본 모드로 전환하는 것이 차단됩니다: * 조건 간에 혼합 논리 연산자가 사용된 경우. * 중첩 논리/그룹화(괄호)가 있는 경우. * 지원되지 않는 연산자 또는 표현식이 감지된 경우. 구문 구조는 user.<attribute> <operator> <value> 입니다. 입력하면 자동 완성에서 사용 가능한 속성이 표시됩니다. 속성을 선택하면 자동 완성에서 적절한 CEL 연산자를 제안합니다. 연산자를 선택한 후 속성 값이 미리 정의된 경우 자동 완성에서 선택할 값을 제안합니다. Mattermost는 누락된 연산자, 잘못된 구문, 불완전한 조건과 같은 문제를 명시적으로 표시합니다. 구문 유효성 검사 바를 선택하여 규칙의 구문을 확인합니다. 구문이 유효하면 바가 녹색으로 변하고 구문이 유효하다는 메시지가 표시됩니다. 문제가 있으면 바가 빨간색으로 변하고 오류 메시지가 표시됩니다.

규칙 테스트#

접근 규칙 테스트 를 선택하여 현재 규칙을 기반으로 채널에 접근 권한이 부여될 사용자 수를 반환하는 사용자 기반에 대해 규칙을 테스트합니다. 의도한 범위를 확인하고 예상치 못한 접근 변경을 방지하기 위해 규칙을 테스트하세요.

규칙 관리#

기본 모드 또는 고급 모드를 사용하여 언제든지 기존 규칙에 변경 사항을 적용하거나 규칙을 제거할 수 있습니다. 저장 을 선택하여 변경 사항을 저장합니다.

비공개 채널에 정책 할당#

채널 추가 를 선택하여 원하는 채널을 검색하고 선택함으로써 접근 제어 정책이 적용되는 비공개 채널을 지정합니다. 한 번에 여러 채널에 정책을 할당하거나 나중에 개별 채널에 할당 할 수 있습니다. 저장 을 선택하여 변경 사항을 저장합니다.

Note

속성 기반 접근 제어 정책이 있는 비공개 채널에는 게스트 사용자를 초대할 수 없습니다. ABAC 제어 채널에는 정의된 속성 기준에 일치하는 사용자만 추가할 수 있어 접근 제어 정책의 엄격한 준수가 보장됩니다.

정책 삭제#

제거하려는 정책 옆의 삭제 버튼을 선택하여 정책을 삭제합니다. 현재 어떤 채널에도 할당되지 않은 정책만 삭제할 수 있습니다. 정책이 채널에 할당된 경우 삭제하기 전에 해당 채널에서 먼저 제거해야 합니다.

채널별 접근 제어 정의#

채널 멤버십을 더 세밀하게 제어하기 위해 비공개 채널에 기존 접근 제어 정책을 할당할 수 있습니다. 이는 다른 채널에 다른 규칙을 적용해야 할 때 유용합니다.

  1. System Console에서 User Management > Channels 로 이동하여 설정할 비공개 채널을 선택하고 편집 을 선택합니다.
  2. 채널 관리 섹션에서 속성 기반 채널 접근 활성화 옵션을 활성화합니다.
  3. 접근 정책 아래에서 정책에 연결 을 선택하여 기존 정책을 선택합니다.
Tip

System Console의 채널 관리 아래에 있는 채널 세부 정보 페이지에서 속성 기반 채널 접근 활성화 옵션을 활성화하여 채널에 ABAC 규칙을 직접 할당할 수도 있습니다. 접근 정책 아래에서 정책에 연결 을 선택하여 기존 정책을 선택합니다.

채널 정책 제거#

정책 제거 를 선택하여 채널에 대한 정책을 비활성화합니다. 원하는 경우 채널을 다른 정책에 연결할 수 있습니다.