보안 영역 정보

CA APM 보안 개요 › CA APM 보안 및 권한 개요 › 보안 영역 정보

보안 영역 정보

보안 영역은 인증, 권한 부여 또는 사용자 인증 및 사용자 권한 부여를 담당하는 액세스 정책, 사용자, 사용자 그룹의 원본을 정의합니다.

CA APM 보안을 위해 realms.xml 파일에 하나 이상의 보안 영역을 구성할 수 있습니다. Introscope 및 CA CEM은 realms.xml에 구성된 보안 영역을 사용하여 사용자 인증 및 권한 부여 방법을 결정합니다. 사용자가 Introscope 또는 CA CEM에 로그인하면 로그인하는 응용 프로그램은 realms.xml에 정의된 순서로 각 보안 영역을 검사합니다. 응용 프로그램은 특정 ID를 갖는 사용자가 존재하는지 검사합니다. 입력한 사용자 암호가 특정 보안 영역에 대해 제공된 값과 일치하는 경우 인증이 성공합니다. 다음 조건 중 하나에 해당하는 경우 인증이 실패합니다.

정의된 모든 영역에서 해당 이름의 사용자를 찾을 수 없는 경우
영역에 해당 사용자가 있지만 암호가 틀린 경우

realms.xml에 영역을 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.

지원되는 방식으로 다음 세 보안 영역을 조합하여 Introscope 보안을 배포할 수 있습니다.

로컬 XML 파일(로컬): 로컬 보안은 Enterprise Manager의 <EM_Home>/config 디렉터리에 저장된 XML 파일을 사용하는 로컬 인증 및 권한 부여로 구성됩니다.
- 로컬 인증의 경우 XML 파일은 각 Enterprise Manager에 사용자 이름과 암호 정보를 로컬로 저장하는 데 사용됩니다. 기본 파일 이름은 users.xml입니다. Introscope는 런타임에 로컬 파일(users.xml)을 확인하여 CA APM 사용자를 인증합니다.
- 로컬 권한 부여의 경우 Introscope는 두 XML 파일을 각 Enterprise Manager에 로컬로 저장합니다. 이때 도메인 권한에는 domains.xml이 사용되고, 서버 권한에는 server.xml이 사용됩니다. Introscope는 런타임에 로컬 파일(domains.xml 및 server.xml)을 확인하여 CA APM 사용자에게 권한을 부여합니다.
Introscope에서는 기본적으로 로컬 보안이 제공됩니다.

중요: Workstation, WebView, Web Start Workstation 또는 CEM 콘솔에서 Enterprise Manager로 기본 CA APM 로그인을 변경하는 것이 권장됩니다. 이 권장 사항을 따르지 않고 Introscope 로컬 보안만 사용하는 경우 아이덴티티 도용의 가능성이 높아집니다. 이러한 이유로 CA EEM은 권장되는 보안 메커니즘입니다.
LDAP(Lightweight Directory Access Protocol): TCP/IP를 통해 실행되는 디렉터리 서비스를 쿼리 및 수정하는 응용 프로그램 프로토콜입니다.
인증을 위해 로컬 XML 파일을 사용하는 경우 LDAP 보안 영역을 사용해서만 CA APM 사용자를 인증할 수 있습니다. 자세한 내용은 LDAP를 사용한 Introscope 보안을 참조하십시오.
CA EEM(CA Embedded Entitlements Manager): 다른 응용 프로그램이 공통 액세스 정책 관리, 인증 및 권한 부여 서비스를 공유할 수 있게 해 주는 CA Technologies 응용 프로그램입니다.
참고: CA EEM 보안은 Introscope에서 선택 사항이지만 CA Technologies는 여러 이유로 Introscope 보안을 위해 CA EEM을 권장합니다. CA EEM은 업계 표준 솔루션, 사용자 관리를 위한 사용자 인터페이스, 세부적인 권한 부여가 가능한 중앙화된 저장소를 제공합니다. Introscope 응용 프로그램 심사 맵에 보안을 적용하려면 CA EEM을 배포하십시오.

CA APM 사용자 인증과 권한 부여를 위해 CA EEM을 배포할 수 있습니다.

또한 인증에는 LDAP를 사용하고 권한 부여에는 CA EEM을 사용하도록 CA EEM을 구성할 수도 있습니다. 자세한 내용은 LDAP를 사용하여 CA EEM 인증 구성을 참조하십시오.

이 표는 Introscope 보안 영역이 지원하는 주요 기능을 나열합니다.

보안 영역이 지원하는 기능	CA EEM	LDAP	로컬
여러 Enterprise Manager에 공유되는 중앙 보안 서버	예	예	아니요
보안 영역을 항상 사용 가능함	아니요	아니요	예 Enterprise Manager에서 실행되므로 항상 사용 가능함
장애 조치(failover) 지원	예	예	해당 없음
SiteMinder와 통합됨	예	아니요	아니요
세분화된 권한 지원? 다음과 같은 세부 권한 유형을 지원합니다. 응용 프로그램 심사 맵 권한 비즈니스 서비스 기반 보안 유연한 CA CEM 권한	예	해당 없음	아니요
업계 표준 솔루션	예	예	아니요
감사 허용	예	예	아니요
사용자를 관리할 수 있는 사용자 인터페이스 제공	예	예	아니요
액세스 정책을 관리할 수 있는 사용자 인터페이스 제공	예	해당 없음	아니요

지원되는 방식으로 다음 두 보안 영역을 조합하여 CA CEM 보안을 배포할 수 있습니다.

로컬 XML 파일(로컬): 로컬 보안은 Enterprise Manager의 <EM_Home>/config 디렉터리에 저장된 XML 파일을 사용하는 로컬 인증 및 권한 부여로 구성됩니다.
- 로컬 인증 및 권한 부여의 경우 XML 파일은 각 Enterprise Manager에 사용자 이름과 암호 정보를 로컬로 저장하는 데 사용됩니다. 4가지 기본 CEM 보안 그룹과 해당 그룹의 사용자도 이 파일에 정의됩니다. 기본 파일 이름은 users.xml입니다. 권한 부여는 4가지 기본 보안 그룹에 정의된 구성원 자격에 기반하여 확인됩니다. 런타임에 로컬 파일(users.xml)은 CA CEM 사용자의 인증 및 권한 부여에 사용됩니다.
Introscope에서는 기본적으로 로컬 보안이 제공됩니다.
CA EEM(CA Embedded Entitlements Manager): 공용 액세스 정책 관리, 인증 및 권한 부여 서비스를 서로 다른 응용 프로그램 간에 공유할 수 있도록 하는 CA Technologies 응용 프로그램입니다.
참고: CA Technologies는 여러 이유로 CA APM 보안을 위해 CA EEM을 권장합니다. CA EEM은 업계 표준 솔루션, 사용자 관리를 위한 사용자 인터페이스, 세부적인 권한 부여가 가능한 중앙화된 저장소를 제공합니다.
- CA APM 사용자 인증과 권한 부여를 위해 CA EEM을 배포할 수 있습니다.
- CA SiteMinder를 사용하여 CA EEM 인증을 구성하고 인증에 위해 CA EEM을 구성합니다.
- 인증에만 CA EEM을 구성하고 권한 부여를 위해 로컬 XML 파일을 구성합니다.
CA EEM에 대한 자세한 내용은 CA EEM을 사용한 Introscope 보안을 참조하십시오.

CA APM은 단일 로그인 기능을 제공합니다. CA CEM 및 Introscope 모두에 액세스할 수 있는 사용자는 다시 로그인할 필요 없이 두 응용 프로그램 사이에서 이동할 수 있습니다. CA CEM 또는 Introscope 사용자 인증 시 CA APM은 사용자 아이덴티티 및 이 사용자를 인증한 영역의 이름을 획득합니다. Introscope는 이 정보를 사용하여 사용자가 속한 그룹을 확인합니다. 그런 다음 CA APM은 다음 방법 중 하나를 사용하여 사용자를 인증합니다.

CA EEM의 경우, 사용자 액세스 정책
로컬 보안의 경우, 하나 이상의 CA CEM 보안 사용자 그룹의 구성원 자격

CA APM 보안을 설정할 때 조직에서는 단일 보안 영역을 배포할지, 아니면 혼합 보안 영역을 사용할지 결정해야 합니다. CA APM 사용자가 Introscope에 액세스할 수 있도록 하려면 로컬 또는 CA EEM 영역을 배포하십시오.

참고: CA Technologies에서는 CA EEM 인증 및 권한 부여 모두를 배포할 것을 권장합니다. 자세한 내용은 CA EEM을 사용하여 CA APM을 보호하는 경우의 이점을 참조하십시오.