InfoGrab Docs

위임된 세분화 관리

요약

Mattermost는 특정 세분화 권한과 System Console 액세스를 가진 시스템 관리 역할의 생성 및 사용자 지정을 지원합니다. 이러한 관리 역할은 System Console의 특정 영역과 관련 API 엔드포인트에 대한 세분화 액세스를 허용합니다.

Mattermost는 특정 세분화 권한과 System Console 액세스를 가진 시스템 관리 역할의 생성 및 사용자 지정을 지원합니다. 이를 통해 대규모 조직의 선임 관리자가 특정 관리 역할로 전문화된 관리 및 관리 작업을 위임하고 분산시킬 수 있습니다.

이러한 관리 역할은 System Console의 특정 영역과 관련 API 엔드포인트에 대한 세분화 액세스를 허용합니다. 이러한 역할을 통해 사용자는 모든 시스템 관리 영역에 대한 액세스 없이도 특정 관리 작업을 수행할 수 있습니다. 이러한 시스템 역할은 사용자의 원래 역할이나 Permissions 스키마에 의해 구성된 사용자의 권한보다 우선하지 않습니다.

Warning

System Console 페이지에 대해 역할이 No Access 또는 Read Only로 설정된 경우에도, System Console 페이지의 Can Edit 권한을 부여하면 기본 구성 엔드포인트(PUT /api/v4/config/patch)에 대한 액세스가 활성화됩니다. 즉, 한 영역에서 쓰기 액세스 권한이 있는 사용자가 모든 영역의 구성 값을 수정할 수 있습니다. 관리자는 Can Edit 권한을 신중하게 할당해야 합니다.

사용 가능한 역할#

시스템 관리자는 System Console에서 다음과 같은 위임된 세분화 관리 역할을 구성할 수 있습니다. 각 역할에는 필요에 따라 조정할 수 있는 기본 권한 세트가 있습니다.

  • System Manager: 이 역할은 다양한 관리 영역에서 읽기/쓰기 권한을 갖도록 구성할 수 있습니다.
  • User Manager: 이 역할은 모든 사용자 관리 영역 및 인증에 대한 읽기/쓰기 권한을 갖도록 구성할 수 있습니다
  • Custom Group Manager 이 역할에는 사용자 지정 사용자 그룹을 생성, 편집, 복원 및 삭제하는 권한이 있습니다. System Console > Permissions > Edit Scheme > Custom Groups를 통해 All Members에서 Custom Groups 권한이 제거되면, 이 역할을 사용하여 개별 사용자에게 사용자 지정 그룹을 관리할 수 있는 기능을 할당할 수 있습니다.
  • Shared Channel Manager 이 역할에는 manage_shared_channels 권한이 있어, 할당된 사용자가 원격 서버에 대한 기존 연결과 채널을 공유하고 공유 해제할 수 있습니다.
  • Viewer: Viewer 역할은 System Console의 모든 영역을 볼 수 있으며, 필요한 경우 쓰기 액세스 권한으로 구성할 수 있습니다.
사용자에게 시스템 역할이 할당되면 System Console 및 기본 API 엔드포인트에 대한 역할 기반 액세스 권한이 부여됩니다. 각 역할에는 다른 기본 권한 세트가 있으며, 사용자가 액세스하거나 볼 수 있는 것은 할당된 역할에 따라 달라집니다.

아래 표에는 각 역할의 기본 권한이 나열되어 있습니다. 관리자는 이러한 설정을 주의 깊게 검토하고 조직의 필요에 맞게 구성해야 합니다. Permissions 쓰기 액세스는 위임된 세분화 관리자 역할을 제외한 모든 역할의 권한을 수정할 수 있으므로 특히 주의를 기울여야 합니다.

시스템 역할읽기/쓰기 액세스읽기 전용 액세스
System Manager- User Management - Groups - Teams - Channels - Permissions - Environment - Site Configuration - Integrations- Edition/License - Reporting - Authentication - Plugins
User Manager- User Management - Groups - Teams - Channels- (User Management) Permissions - Authentication
Custom Group ManagerCustom User GroupsN/A
Shared Channel ManagerShared ChannelsN/A
ViewerN/A- System Console 내 모든 페이지

관리 역할 할당#

역할을 할당하는 두 가지 방법이 있습니다:

  1. User Management > Delegated Granular Administration 아래의 System Console에서.
  2. mmctl 도구 사용. 이 작업은 로컬 또는 원격으로 수행할 수 있습니다.
원하는 작업System Console 사용mmctl 사용
역할 할당System Console > User Management > Delegated Granular Administration > Assigned People로 이동mmctl permissions role assign [role_name] [username...]
사용자에게 System Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 System Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 사용자 이름을 검색하여 선택한 다음 Add를 선택하여 해당 사용자에게 System Manager 역할을 부여합니다.mmctl permissions role assign system_manager user-name
두 사용자에게 User Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 두 사용자를 검색하여 선택한 다음 Add를 선택하여 해당 사용자들에게 User Manager 역할을 부여합니다.mmctl permissions role assign system_user_manager user-name1 user-name2
사용자에게 Viewer 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 Viewer 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 사용자 이름을 검색하여 선택한 다음 Add를 선택하여 해당 사용자에게 Viewer 역할을 부여합니다.mmctl permissions role assign system_read_only_admin user-name
두 사용자에게 Custom Group Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 Custom Group Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 두 사용자를 검색하여 선택한 다음 Add를 선택하여 해당 사용자들에게 Custom Group Manager 역할을 부여합니다. 4. 모든 사용자는 기본적으로 사용자 지정 사용자 그룹을 만들 수 있는 기능이 있습니다. 사용자를 Custom Group Manager 역할에 할당할 때는 System Console > User Management > Permissions > Edit Scheme으로 이동하여 모든 사용자에게서 이러한 권한을 수동으로 제거해야 합니다. All Members에서 Create, Manage members, Edit, Delete를 포함한 모든 Custom Groups 권한을 지웁니다.mmctl permissions role assign system_custom_group_admin user-name1 user-name2
사용자에게 Shared Channel Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 Shared Channel Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 사용자 이름을 검색하여 선택한 다음 Add를 선택하여 해당 사용자에게 Shared Channel Manager 역할을 부여합니다.mmctl permissions role assign system_shared_channel_manager user-name
단일 사용자에게서 System Manager 역할 제거1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 System Manager 역할을 선택합니다. 2. Assigned People에서 사용자를 검색한 다음 Remove를 선택합니다.mmctl permissions role unassign system_manager bob-smith

관리 역할의 권한 편집 (고급)#

시스템 관리자는 Custom Group Manager 및 Shared Channel Manager 역할을 제외한 모든 시스템 역할에 대해 System Console의 다른 영역에 대한 읽기/쓰기 액세스 권한을 부여할 수 있으며, 읽기/쓰기 액세스 권한(기본 액세스 포함)을 제거할 수도 있습니다.

역할을 할당하는 두 가지 방법이 있습니다:

  1. User Management > Delegated Granular Administration 아래의 System Console에서.
  2. mmctl 도구 사용. 이 작업은 로컬 또는 원격으로 수행할 수 있습니다.
원하는 작업System Console 사용mmctl 사용
역할 권한 편집1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 System Manager, User Manager 또는 Viewer 역할을 선택합니다. 2. 각 권한 세트에 대해 Can edit, Read only 또는 No access 중 하나로 액세스 수준을 선택합니다.
Note

권한 하위 섹션을 다른 액세스 수준으로 설정하면 권한 액세스 수준이 Mixed Access로 표시됩니다.

mmctl permissions add [role_name] [permission...] mmctl permissions reset system_read_only_admin
User Manager 역할을 가진 모든 사용자에 대해 System Console의 Authentication 섹션에 쓰기 액세스 권한 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Privileges > Authentication에서 Can edit을 선택한 다음 Save를 선택합니다.mmctl permissions add system_user_manager sysconsole_write_authentication
User Manager 역할을 가진 모든 사용자에 대해 System Console의 Authentication 섹션에 읽기 전용 액세스 권한 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Privileges > Authentication에서 Read only를 선택한 다음 Save를 선택합니다.mmctl permissions remove system_user_manager sysconsole_read_authentication
User Manager 역할을 가진 모든 사용자에 대해 System Console의 Authentication 섹션에 쓰기 액세스 권한 제거1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Privileges > Authentication에서 No access를 선택한 다음 Save를 선택합니다.mmctl permissions remove system_user_manager sysconsole_write_authentication
역할을 기본 권한 세트로 재설정이 작업은 mmctl 도구만 사용하여 완료됩니다.mmctl permissions reset [role_name] 예를 들어 system_read_only_admin 역할의 권한을 재설정하려면: mmctl permissions reset system_read_only_admin

관리 역할 및 권한#

역할#

  • system_manager

  • system_user_manager
  • system_custom_group_admin
  • system_shared_channel_manager
  • system_read_only_admin

    • 권한#

    System Console 섹션권한
    About- PERMISSION_SYSCONSOLE_READ_ABOUT_EDITION_AND_LICENSE - PERMISSION_SYSCONSOLE_WRITE_ABOUT_EDITION_AND_LICENSE
    ReportingSite Statistics - PERMISSION_SYSCONSOLE_READ_REPORTING_SITE_STATISTICS - PERMISSION_SYSCONSOLE_WRITE_REPORTING_SITE_STATISTICS Team Statistics - PERMISSION_SYSCONSOLE_READ_REPORTING_TEAM_STATISTICS - PERMISSION_SYSCONSOLE_WRITE_REPORTING_TEAM_STATISTICS Server Logs - PERMISSION_SYSCONSOLE_READ_REPORTING_SERVER_LOGS - PERMISSION_SYSCONSOLE_WRITE_REPORTING_SERVER_LOGS
    User ManagementUsers - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_USERS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_USERS Groups - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_GROUPS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_GROUPS Teams - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_TEAMS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_TEAMS Channels - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_CHANNELS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_CHANNELS Permissions - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_PERMISSIONS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_PERMISSIONS
    EnvironmentWeb Server - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_WEB_SERVER - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_WEB_SERVER Database - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_DATABASE - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_DATABASE Elasticsearch - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_ELASTICSEARCH - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_ELASTICSEARCH File Storage - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_FILE_STORAGE - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_FILE_STORAGE Image Proxy - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_IMAGE_PROXY - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_IMAGE_PROXY SMTP - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_SMTP - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_SMTP Push Notification Server - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_PUSH_NOTIFICATION_SERVER - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_PUSH_NOTIFICATION_SERVER High Availability - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_HIGH_AVAILABILITY - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_HIGH_AVAILABILITY Rate Limiting - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_RATE_LIMITING - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_RATE_LIMITING Logging - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_LOGGING - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_LOGGING Session Lengths - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_SESSION_LENGTHS - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_SESSION_LENGTHS Performance Monitoring - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_PERFORMANCE_MONITORING - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_PERFORMANCE_MONITORING Developer - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_DEVELOPER - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_DEVELOPER
    Site ConfigurationCustomization - PERMISSION_SYSCONSOLE_READ_SITE_CUSTOMIZATION - PERMISSION_SYSCONSOLE_WRITE_SITE_CUSTOMIZATION Localization - PERMISSION_SYSCONSOLE_READ_SITE_LOCALIZATION - PERMISSION_SYSCONSOLE_WRITE_SITE_LOCALIZATION Users and Teams - PERMISSION_SYSCONSOLE_READ_SITE_USERS_AND_TEAMS - PERMISSION_SYSCONSOLE_WRITE_SITE_USERS_AND_TEAMS Notifications - PERMISSION_SYSCONSOLE_READ_SITE_NOTIFICATIONS - PERMISSION_SYSCONSOLE_WRITE_SITE_NOTIFICATIONS Announcement Banner - PERMISSION_SYSCONSOLE_READ_SITE_ANNOUNCEMENT_BANNER - PERMISSION_SYSCONSOLE_WRITE_SITE_ANNOUNCEMENT_BANNER Emoji - PERMISSION_SYSCONSOLE_READ_SITE_EMOJI - PERMISSION_SYSCONSOLE_WRITE_SITE_EMOJI Posts - PERMISSION_SYSCONSOLE_READ_SITE_POSTS - PERMISSION_SYSCONSOLE_WRITE_SITE_POSTS File Sharing and Downloads - PERMISSION_SYSCONSOLE_READ_SITE_FILE_SHARING_AND_DOWNLOADS - PERMISSION_SYSCONSOLE_WRITE_SITE_FILE_SHARING_AND_DOWNLOADS Public Links - PERMISSION_SYSCONSOLE_READ_SITE_PUBLIC_LINKS - PERMISSION_SYSCONSOLE_WRITE_SITE_PUBLIC_LINKS Notices - PERMISSION_SYSCONSOLE_READ_SITE_NOTICES - PERMISSION_SYSCONSOLE_WRITE_SITE_NOTICES
    AuthenticationSignup - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_SIGNUP - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_SIGNUP Email - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_EMAIL - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_EMAIL Password - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_PASSWORD - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_PASSWORD MFA - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_MFA - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_MFA AD/LDAP - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_MFA - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_MFA SAML 2.0 - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_SAML - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_SAML OpenID Connect - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_OPENID - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_OPENID Guest Access - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_GUEST_ACCESS - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_GUEST_ACCESS
    Plugin- PERMISSION_SYSCONSOLE_READ_PLUGINS - PERMISSION_SYSCONSOLE_WRITE_PLUGINS
    IntegrationsIntegration Management - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_INTEGRATION_MANAGEMENT - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_INTEGRATION_MANAGEMENT Bot Accounts - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_BOT_ACCOUNTS - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_BOT_ACCOUNTS GIF (Beta) - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_GIF - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_GIF CORS - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_CORS - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_CORS
    ComplianceData Retention Policy - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_DATA_RETENTION_POLICY - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_DATA_RETENTION_POLICY Compliance Export - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_COMPLIANCE_EXPORT - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_COMPLIANCE_EXPORT Compliance Monitoring - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_COMPLIANCE_MONITORING - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_COMPLIANCE_MONITORING Custom Terms of Service - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_CUSTOM_TERMS_OF_SERVICE - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_CUSTOM_TERMS_OF_SERVICE
    ExperimentalFeatures - PERMISSION_SYSCONSOLE_READ_EXPERIMENTAL_FEATURES - PERMISSION_SYSCONSOLE_WRITE_EXPERIMENTAL_FEATURES Feature Flags - PERMISSION_SYSCONSOLE_READ_EXPERIMENTAL_FEATURE_FLAGS - PERMISSION_SYSCONSOLE_WRITE_EXPERIMENTAL_FEATURE_FLAGS Bleve - PERMISSION_SYSCONSOLE_READ_EXPERIMENTAL_BLEVE - PERMISSION_SYSCONSOLE_WRITE_EXPERIMENTAL_BLEVE

    자주 묻는 질문#

    User Manager 또는 System Manager가 관리자의 이메일이나 비밀번호를 관리자 몰래 재설정할 수 있습니까?#

    이는 이러한 역할의 기본 권한으로는 불가능합니다. 관리자의 비밀번호 또는 이메일 주소를 재설정하는 기능은 시스템 관리자로 제한됩니다.

    User Manager 또는 System Manager가 구성 파일에 액세스할 수 있습니까?#

    예. 그러나 실제 값을 읽고 권한에 따라 값을 수정할 수만 있습니다. 적절한 읽기 권한이 없으면 기본 키 값이 표시됩니다.

    관리 역할의 모든 작업이 로깅됩니까?#

    모든 관리자가 변경한 모든 사항이 감사 로그에 포함됩니다.

    System Manager가 자신의 권한을 변경하거나 역할을 상승시킬 수 있습니까?#

    아니요. System Manager는 자신의 역할을 상승시킬 수 없으며, 다른 멤버의 역할도 상승시킬 수 없습니다.

    새로운 역할 중 하나가 System Console 내의 API 키/비밀번호 또는 기타 민감한 정보(예: SMTP, AWS, Elastic Search)를 볼 수 있습니까?#

    아니요, 비밀번호 정보는 시스템 관리자만 볼 수 있으며 다른 역할에 대해서는 가려집니다.

    System Console에서 컴플라이언스 내보내기를 위한 다운로드 링크가 활성화된 경우 Read Only Admin이 보고서를 다운로드할 수 있습니까?#

    System Console > Compliance에 대한 액세스 권한이 명시적으로 부여된 역할만 컴플라이언스 보고서를 다운로드할 수 있습니다.

    새로운 역할 중 하나가 비공개 채널에 강제 참여할 수 있습니까?#

    예, 현재는 가능하지만 향후 비공개 채널에 진입하고 있음을 알리는 프롬프트로 이 동작을 개선할 예정입니다. 또한 비공개 채널에 액세스하는 기능을 제거할 수 있는 권한을 추가할 계획입니다.

    새 역할을 만들거나 기존 역할을 복제할 수 있습니까?#

    아니요, 하지만 이 기능에 대한 피드백을 적극적으로 모색하고 있습니다.

    LDAP 필터를 사용하여 이러한 역할을 할당할 수 있습니까?#

    아니요, 하지만 향후 향상을 위해 이 기능을 고려하고 있습니다.

    역할 이름을 변경할 수 있습니까?#

    향후 개발을 위해 고려 중입니다.

    System Manager 또는 User Manager가 다른 관리자나 매니저를 강등 또는 비활성화할 수 있습니까?#

    System 또는 User Manager는 다른 System 또는 User Manager를 강등 또는 비활성화할 수 있지만, 시스템 관리자는 강등 또는 비활성화할 수 없습니다.

    System Manager 또는 User Manager가 관리 역할을 할당 또는 해제할 수 있습니까?#

    시스템 관리자만 시스템 역할을 편집할 수 있습니다.

    위임된 세분화 관리

    원문 보기
    요약

    Mattermost는 특정 세분화 권한과 System Console 액세스를 가진 시스템 관리 역할의 생성 및 사용자 지정을 지원합니다. 이러한 관리 역할은 System Console의 특정 영역과 관련 API 엔드포인트에 대한 세분화 액세스를 허용합니다.

    Mattermost는 특정 세분화 권한과 System Console 액세스를 가진 시스템 관리 역할의 생성 및 사용자 지정을 지원합니다. 이를 통해 대규모 조직의 선임 관리자가 특정 관리 역할로 전문화된 관리 및 관리 작업을 위임하고 분산시킬 수 있습니다.

    이러한 관리 역할은 System Console의 특정 영역과 관련 API 엔드포인트에 대한 세분화 액세스를 허용합니다. 이러한 역할을 통해 사용자는 모든 시스템 관리 영역에 대한 액세스 없이도 특정 관리 작업을 수행할 수 있습니다. 이러한 시스템 역할은 사용자의 원래 역할이나 Permissions 스키마에 의해 구성된 사용자의 권한보다 우선하지 않습니다.

    Warning

    System Console 페이지에 대해 역할이 No Access 또는 Read Only로 설정된 경우에도, System Console 페이지의 Can Edit 권한을 부여하면 기본 구성 엔드포인트(PUT /api/v4/config/patch)에 대한 액세스가 활성화됩니다. 즉, 한 영역에서 쓰기 액세스 권한이 있는 사용자가 모든 영역의 구성 값을 수정할 수 있습니다. 관리자는 Can Edit 권한을 신중하게 할당해야 합니다.

    사용 가능한 역할#

    시스템 관리자는 System Console에서 다음과 같은 위임된 세분화 관리 역할을 구성할 수 있습니다. 각 역할에는 필요에 따라 조정할 수 있는 기본 권한 세트가 있습니다.

    • System Manager: 이 역할은 다양한 관리 영역에서 읽기/쓰기 권한을 갖도록 구성할 수 있습니다.
    • User Manager: 이 역할은 모든 사용자 관리 영역 및 인증에 대한 읽기/쓰기 권한을 갖도록 구성할 수 있습니다
    • Custom Group Manager 이 역할에는 사용자 지정 사용자 그룹을 생성, 편집, 복원 및 삭제하는 권한이 있습니다. System Console > Permissions > Edit Scheme > Custom Groups를 통해 All Members에서 Custom Groups 권한이 제거되면, 이 역할을 사용하여 개별 사용자에게 사용자 지정 그룹을 관리할 수 있는 기능을 할당할 수 있습니다.
    • Shared Channel Manager 이 역할에는 manage_shared_channels 권한이 있어, 할당된 사용자가 원격 서버에 대한 기존 연결과 채널을 공유하고 공유 해제할 수 있습니다.
    • Viewer: Viewer 역할은 System Console의 모든 영역을 볼 수 있으며, 필요한 경우 쓰기 액세스 권한으로 구성할 수 있습니다.
    사용자에게 시스템 역할이 할당되면 System Console 및 기본 API 엔드포인트에 대한 역할 기반 액세스 권한이 부여됩니다. 각 역할에는 다른 기본 권한 세트가 있으며, 사용자가 액세스하거나 볼 수 있는 것은 할당된 역할에 따라 달라집니다.

    아래 표에는 각 역할의 기본 권한이 나열되어 있습니다. 관리자는 이러한 설정을 주의 깊게 검토하고 조직의 필요에 맞게 구성해야 합니다. Permissions 쓰기 액세스는 위임된 세분화 관리자 역할을 제외한 모든 역할의 권한을 수정할 수 있으므로 특히 주의를 기울여야 합니다.

    시스템 역할읽기/쓰기 액세스읽기 전용 액세스
    System Manager- User Management - Groups - Teams - Channels - Permissions - Environment - Site Configuration - Integrations- Edition/License - Reporting - Authentication - Plugins
    User Manager- User Management - Groups - Teams - Channels- (User Management) Permissions - Authentication
    Custom Group ManagerCustom User GroupsN/A
    Shared Channel ManagerShared ChannelsN/A
    ViewerN/A- System Console 내 모든 페이지

    관리 역할 할당#

    역할을 할당하는 두 가지 방법이 있습니다:

    1. User Management > Delegated Granular Administration 아래의 System Console에서.
    2. mmctl 도구 사용. 이 작업은 로컬 또는 원격으로 수행할 수 있습니다.
    원하는 작업System Console 사용mmctl 사용
    역할 할당System Console > User Management > Delegated Granular Administration > Assigned People로 이동mmctl permissions role assign [role_name] [username...]
    사용자에게 System Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 System Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 사용자 이름을 검색하여 선택한 다음 Add를 선택하여 해당 사용자에게 System Manager 역할을 부여합니다.mmctl permissions role assign system_manager user-name
    두 사용자에게 User Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 두 사용자를 검색하여 선택한 다음 Add를 선택하여 해당 사용자들에게 User Manager 역할을 부여합니다.mmctl permissions role assign system_user_manager user-name1 user-name2
    사용자에게 Viewer 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 Viewer 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 사용자 이름을 검색하여 선택한 다음 Add를 선택하여 해당 사용자에게 Viewer 역할을 부여합니다.mmctl permissions role assign system_read_only_admin user-name
    두 사용자에게 Custom Group Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 Custom Group Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 두 사용자를 검색하여 선택한 다음 Add를 선택하여 해당 사용자들에게 Custom Group Manager 역할을 부여합니다. 4. 모든 사용자는 기본적으로 사용자 지정 사용자 그룹을 만들 수 있는 기능이 있습니다. 사용자를 Custom Group Manager 역할에 할당할 때는 System Console > User Management > Permissions > Edit Scheme으로 이동하여 모든 사용자에게서 이러한 권한을 수동으로 제거해야 합니다. All Members에서 Create, Manage members, Edit, Delete를 포함한 모든 Custom Groups 권한을 지웁니다.mmctl permissions role assign system_custom_group_admin user-name1 user-name2
    사용자에게 Shared Channel Manager 역할 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 Shared Channel Manager 역할을 선택합니다. 2. Assigned People에서 Add People을 선택합니다. 3. 사용자 이름을 검색하여 선택한 다음 Add를 선택하여 해당 사용자에게 Shared Channel Manager 역할을 부여합니다.mmctl permissions role assign system_shared_channel_manager user-name
    단일 사용자에게서 System Manager 역할 제거1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 System Manager 역할을 선택합니다. 2. Assigned People에서 사용자를 검색한 다음 Remove를 선택합니다.mmctl permissions role unassign system_manager bob-smith

    관리 역할의 권한 편집 (고급)#

    시스템 관리자는 Custom Group Manager 및 Shared Channel Manager 역할을 제외한 모든 시스템 역할에 대해 System Console의 다른 영역에 대한 읽기/쓰기 액세스 권한을 부여할 수 있으며, 읽기/쓰기 액세스 권한(기본 액세스 포함)을 제거할 수도 있습니다.

    역할을 할당하는 두 가지 방법이 있습니다:

    1. User Management > Delegated Granular Administration 아래의 System Console에서.
    2. mmctl 도구 사용. 이 작업은 로컬 또는 원격으로 수행할 수 있습니다.
    원하는 작업System Console 사용mmctl 사용
    역할 권한 편집1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 System Manager, User Manager 또는 Viewer 역할을 선택합니다. 2. 각 권한 세트에 대해 Can edit, Read only 또는 No access 중 하나로 액세스 수준을 선택합니다.
    Note

    권한 하위 섹션을 다른 액세스 수준으로 설정하면 권한 액세스 수준이 Mixed Access로 표시됩니다.

    		mmctl permissions add [role_name] [permission...] mmctl permissions reset system_read_only_admin
    User Manager 역할을 가진 모든 사용자에 대해 System Console의 Authentication 섹션에 쓰기 액세스 권한 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Privileges > Authentication에서 Can edit을 선택한 다음 Save를 선택합니다.mmctl permissions add system_user_manager sysconsole_write_authentication
    User Manager 역할을 가진 모든 사용자에 대해 System Console의 Authentication 섹션에 읽기 전용 액세스 권한 부여1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Privileges > Authentication에서 Read only를 선택한 다음 Save를 선택합니다.mmctl permissions remove system_user_manager sysconsole_read_authentication
    User Manager 역할을 가진 모든 사용자에 대해 System Console의 Authentication 섹션에 쓰기 액세스 권한 제거1. System Console > User Management > Delegated Granular Administration으로 이동한 다음 User Manager 역할을 선택합니다. 2. Privileges > Authentication에서 No access를 선택한 다음 Save를 선택합니다.mmctl permissions remove system_user_manager sysconsole_write_authentication
    역할을 기본 권한 세트로 재설정이 작업은 mmctl 도구만 사용하여 완료됩니다.mmctl permissions reset [role_name] 예를 들어 system_read_only_admin 역할의 권한을 재설정하려면: mmctl permissions reset system_read_only_admin

    관리 역할 및 권한#

    역할#

    • system_manager

  • system_user_manager
  • system_custom_group_admin
  • system_shared_channel_manager
  • system_read_only_admin

    • 권한#

    System Console 섹션권한
    About- PERMISSION_SYSCONSOLE_READ_ABOUT_EDITION_AND_LICENSE - PERMISSION_SYSCONSOLE_WRITE_ABOUT_EDITION_AND_LICENSE
    ReportingSite Statistics - PERMISSION_SYSCONSOLE_READ_REPORTING_SITE_STATISTICS - PERMISSION_SYSCONSOLE_WRITE_REPORTING_SITE_STATISTICS Team Statistics - PERMISSION_SYSCONSOLE_READ_REPORTING_TEAM_STATISTICS - PERMISSION_SYSCONSOLE_WRITE_REPORTING_TEAM_STATISTICS Server Logs - PERMISSION_SYSCONSOLE_READ_REPORTING_SERVER_LOGS - PERMISSION_SYSCONSOLE_WRITE_REPORTING_SERVER_LOGS
    User ManagementUsers - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_USERS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_USERS Groups - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_GROUPS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_GROUPS Teams - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_TEAMS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_TEAMS Channels - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_CHANNELS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_CHANNELS Permissions - PERMISSION_SYSCONSOLE_READ_USERMANAGEMENT_PERMISSIONS - PERMISSION_SYSCONSOLE_WRITE_USERMANAGEMENT_PERMISSIONS
    EnvironmentWeb Server - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_WEB_SERVER - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_WEB_SERVER Database - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_DATABASE - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_DATABASE Elasticsearch - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_ELASTICSEARCH - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_ELASTICSEARCH File Storage - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_FILE_STORAGE - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_FILE_STORAGE Image Proxy - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_IMAGE_PROXY - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_IMAGE_PROXY SMTP - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_SMTP - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_SMTP Push Notification Server - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_PUSH_NOTIFICATION_SERVER - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_PUSH_NOTIFICATION_SERVER High Availability - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_HIGH_AVAILABILITY - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_HIGH_AVAILABILITY Rate Limiting - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_RATE_LIMITING - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_RATE_LIMITING Logging - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_LOGGING - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_LOGGING Session Lengths - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_SESSION_LENGTHS - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_SESSION_LENGTHS Performance Monitoring - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_PERFORMANCE_MONITORING - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_PERFORMANCE_MONITORING Developer - PERMISSION_SYSCONSOLE_READ_ENVIRONMENT_DEVELOPER - PERMISSION_SYSCONSOLE_WRITE_ENVIRONMENT_DEVELOPER
    Site ConfigurationCustomization - PERMISSION_SYSCONSOLE_READ_SITE_CUSTOMIZATION - PERMISSION_SYSCONSOLE_WRITE_SITE_CUSTOMIZATION Localization - PERMISSION_SYSCONSOLE_READ_SITE_LOCALIZATION - PERMISSION_SYSCONSOLE_WRITE_SITE_LOCALIZATION Users and Teams - PERMISSION_SYSCONSOLE_READ_SITE_USERS_AND_TEAMS - PERMISSION_SYSCONSOLE_WRITE_SITE_USERS_AND_TEAMS Notifications - PERMISSION_SYSCONSOLE_READ_SITE_NOTIFICATIONS - PERMISSION_SYSCONSOLE_WRITE_SITE_NOTIFICATIONS Announcement Banner - PERMISSION_SYSCONSOLE_READ_SITE_ANNOUNCEMENT_BANNER - PERMISSION_SYSCONSOLE_WRITE_SITE_ANNOUNCEMENT_BANNER Emoji - PERMISSION_SYSCONSOLE_READ_SITE_EMOJI - PERMISSION_SYSCONSOLE_WRITE_SITE_EMOJI Posts - PERMISSION_SYSCONSOLE_READ_SITE_POSTS - PERMISSION_SYSCONSOLE_WRITE_SITE_POSTS File Sharing and Downloads - PERMISSION_SYSCONSOLE_READ_SITE_FILE_SHARING_AND_DOWNLOADS - PERMISSION_SYSCONSOLE_WRITE_SITE_FILE_SHARING_AND_DOWNLOADS Public Links - PERMISSION_SYSCONSOLE_READ_SITE_PUBLIC_LINKS - PERMISSION_SYSCONSOLE_WRITE_SITE_PUBLIC_LINKS Notices - PERMISSION_SYSCONSOLE_READ_SITE_NOTICES - PERMISSION_SYSCONSOLE_WRITE_SITE_NOTICES
    AuthenticationSignup - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_SIGNUP - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_SIGNUP Email - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_EMAIL - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_EMAIL Password - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_PASSWORD - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_PASSWORD MFA - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_MFA - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_MFA AD/LDAP - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_MFA - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_MFA SAML 2.0 - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_SAML - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_SAML OpenID Connect - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_OPENID - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_OPENID Guest Access - PERMISSION_SYSCONSOLE_READ_AUTHENTICATION_GUEST_ACCESS - PERMISSION_SYSCONSOLE_WRITE_AUTHENTICATION_GUEST_ACCESS
    Plugin- PERMISSION_SYSCONSOLE_READ_PLUGINS - PERMISSION_SYSCONSOLE_WRITE_PLUGINS
    IntegrationsIntegration Management - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_INTEGRATION_MANAGEMENT - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_INTEGRATION_MANAGEMENT Bot Accounts - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_BOT_ACCOUNTS - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_BOT_ACCOUNTS GIF (Beta) - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_GIF - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_GIF CORS - PERMISSION_SYSCONSOLE_READ_INTEGRATIONS_CORS - PERMISSION_SYSCONSOLE_WRITE_INTEGRATIONS_CORS
    ComplianceData Retention Policy - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_DATA_RETENTION_POLICY - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_DATA_RETENTION_POLICY Compliance Export - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_COMPLIANCE_EXPORT - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_COMPLIANCE_EXPORT Compliance Monitoring - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_COMPLIANCE_MONITORING - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_COMPLIANCE_MONITORING Custom Terms of Service - PERMISSION_SYSCONSOLE_READ_COMPLIANCE_CUSTOM_TERMS_OF_SERVICE - PERMISSION_SYSCONSOLE_WRITE_COMPLIANCE_CUSTOM_TERMS_OF_SERVICE
    ExperimentalFeatures - PERMISSION_SYSCONSOLE_READ_EXPERIMENTAL_FEATURES - PERMISSION_SYSCONSOLE_WRITE_EXPERIMENTAL_FEATURES Feature Flags - PERMISSION_SYSCONSOLE_READ_EXPERIMENTAL_FEATURE_FLAGS - PERMISSION_SYSCONSOLE_WRITE_EXPERIMENTAL_FEATURE_FLAGS Bleve - PERMISSION_SYSCONSOLE_READ_EXPERIMENTAL_BLEVE - PERMISSION_SYSCONSOLE_WRITE_EXPERIMENTAL_BLEVE

    자주 묻는 질문#

    User Manager 또는 System Manager가 관리자의 이메일이나 비밀번호를 관리자 몰래 재설정할 수 있습니까?#

    이는 이러한 역할의 기본 권한으로는 불가능합니다. 관리자의 비밀번호 또는 이메일 주소를 재설정하는 기능은 시스템 관리자로 제한됩니다.

    User Manager 또는 System Manager가 구성 파일에 액세스할 수 있습니까?#

    예. 그러나 실제 값을 읽고 권한에 따라 값을 수정할 수만 있습니다. 적절한 읽기 권한이 없으면 기본 키 값이 표시됩니다.

    관리 역할의 모든 작업이 로깅됩니까?#

    모든 관리자가 변경한 모든 사항이 감사 로그에 포함됩니다.

    System Manager가 자신의 권한을 변경하거나 역할을 상승시킬 수 있습니까?#

    아니요. System Manager는 자신의 역할을 상승시킬 수 없으며, 다른 멤버의 역할도 상승시킬 수 없습니다.

    새로운 역할 중 하나가 System Console 내의 API 키/비밀번호 또는 기타 민감한 정보(예: SMTP, AWS, Elastic Search)를 볼 수 있습니까?#

    아니요, 비밀번호 정보는 시스템 관리자만 볼 수 있으며 다른 역할에 대해서는 가려집니다.

    System Console에서 컴플라이언스 내보내기를 위한 다운로드 링크가 활성화된 경우 Read Only Admin이 보고서를 다운로드할 수 있습니까?#

    System Console > Compliance에 대한 액세스 권한이 명시적으로 부여된 역할만 컴플라이언스 보고서를 다운로드할 수 있습니다.

    새로운 역할 중 하나가 비공개 채널에 강제 참여할 수 있습니까?#

    예, 현재는 가능하지만 향후 비공개 채널에 진입하고 있음을 알리는 프롬프트로 이 동작을 개선할 예정입니다. 또한 비공개 채널에 액세스하는 기능을 제거할 수 있는 권한을 추가할 계획입니다.

    새 역할을 만들거나 기존 역할을 복제할 수 있습니까?#

    아니요, 하지만 이 기능에 대한 피드백을 적극적으로 모색하고 있습니다.

    LDAP 필터를 사용하여 이러한 역할을 할당할 수 있습니까?#

    아니요, 하지만 향후 향상을 위해 이 기능을 고려하고 있습니다.

    역할 이름을 변경할 수 있습니까?#

    향후 개발을 위해 고려 중입니다.

    System Manager 또는 User Manager가 다른 관리자나 매니저를 강등 또는 비활성화할 수 있습니까?#

    System 또는 User Manager는 다른 System 또는 User Manager를 강등 또는 비활성화할 수 있지만, 시스템 관리자는 강등 또는 비활성화할 수 없습니다.

    System Manager 또는 User Manager가 관리 역할을 할당 또는 해제할 수 있습니까?#

    시스템 관리자만 시스템 역할을 편집할 수 있습니다.