user-security

온라인에서 편집하기

user-security 정책을 사용하여 사용자의 신임 정보를 추출하고, 해당 신임 정보를 인증하고, 사용자로부터 권한을 얻을 수 있습니다.

게이트웨이 지원

표 1. 이 정책을 지원하는 게이트웨이와 해당 정책 버전을 보여주는 표
게이트웨이 정책 버전
DataPower® API Gateway 2.0.0

이 항목에서는 OpenAPI 소스에서 정책을 구성하는 방법을 설명합니다. 어셈블리 사용자 인터페이스에서 정책을 구성하는 방법에 대한 자세한 내용은 ‘사용자 보안’을 참조하십시오.

정보

user-security 정책의 형식은 다음과 같습니다.
- user-security:
  version: version
  title: title
  description: description
  factor-id: factor ID
  extract-identity-method: method_used_to_extract_credentials
       .
       .
       .
     properties_specific_to_the specified_identity_extraction_method
       .
       .
       .
  user-auth-method: authentication_method
       .
       .
       .
     properties_specific_to_the specified_authentication_method
       .
       .
       .
  user-az-method: authorization_method
       .
       .
       .
     properties_specific_to_the specified_authorization_method
       .
       .
       .

특성

표 2. user-security 정책 속성
특성 필수 설명 데이터 유형
version 정책 버전 번호입니다. 문자열
title 아니오 해당 정책의 제목입니다. 문자열
description 아니오 정책의 설명입니다. 문자열
factor-id 아니오 API 컨텍스트에서 요소 인증의 결과를 식별하는 ID입니다. 문자열
extract-identity-method 사용자 신임 정보를 추출하는 데 사용되는 메소드를 선택하십시오. 다음 선택사항을 사용할 수 있습니다.
basic
기본 인증 사용을 사용합니다. 추가 구성이 필요하지 않습니다.
context-var
신임 정보는 API Connect 컨텍스트 변수에 의해 제공됩니다. 다음 특성을 지정하십시오.
  • user-context-var: 사용자 이름을 얻는 데 사용되는 컨텍스트 변수입니다.
  • pass-context-var: 비밀번호를 얻는 데 사용되는 컨텍스트 변수입니다.
html-form
양식 기반 ID 추출을 사용합니다. 기본 양식 또는 사용자 정의 양식을 사용할 수 있습니다. 기본 양식을 사용하려면 ei-default-form: true를 지정하십시오. 사용자 정의 양식을 사용하려면 ei-default-form: false를 지정하고 다음 특성을 제공하십시오.
  • ei-custom-form: 양식의 위치입니다.
  • ei-custom-form-tls-client-profile: 원격 서버에 대한 연결의 보안을 설정하는 데 사용되는 TLS 클라이언트 프로파일입니다.

ei-form-time-limit 특성을 사용하여 양식을 제출하는 데 허용되는 시간을 지정하십시오.

redirect
ID 추출을 위해 경로 재지정을 사용합니다. 다음 특성을 지정하십시오.
  • redirect-url: 사용자 신임 정보를 얻기 위해 요청의 경로를 재지정할 URL 단편입니다.
  • redirect-time-limit: 트랜잭션을 완료하는 데 허용되는 시간입니다.
disabled
ID 추출이 사용 불가능합니다. 이 처리 측면은 건너뜁니다.

ID 추출 실패 시 어셈블리 처리를 정지하려면 ei-stop-on-error: true를 지정하십시오. 이 필드는 ID 추출이 사용 안함으로 설정되지 않은 경우에 필요합니다.

 문자열
user-auth-method 인증 방법을 선택하십시오. 다음 선택사항을 사용할 수 있습니다.
auth-url
신임 정보가 외부 엔드포인트에서 인증됩니다. 다음 특성을 지정하십시오.
  • auth-url: 인증 엔드포인트의 URL입니다.
  • auth-tls-client-profile: 인증 엔드포인트에 대한 연결의 보안을 설정하는 데 사용되는 TLS 클라이언트 프로파일입니다.
  • auth-response-headers-pattern: API 컨텍스트에 추가할 응답 헤더를 선택하는 데 사용되는 패턴입니다.
  • auth-response-header-credential: 인증된 사용자 신임 정보를 포함하는 응답 헤더입니다.
ldap
신임 정보가 LDAP 사용자 레지스트리에서 인증됩니다. ldap-registry 특성을 사용하여 필수 레지스트리를 지정하십시오.
disabled
인증이 사용 불가능합니다. 이 처리 측면은 건너뜁니다.

사용자 인증 실패 시 어셈블리 처리를 정지하려면 au-stop-on-error: true를 지정하십시오. 이 필드는 인증이 사용 안함으로 설정되지 않은 경우에 필요합니다.

 문자열
user-az-method 권한 부여 방법을 선택하십시오. 다음 선택사항을 사용할 수 있습니다.
authenticated
이전에 인증된 사용자를 내재적으로 승인합니다. 추가 구성이 필요하지 않습니다.
html-form
사용자가 HTML 양식을 통해 권한을 제공합니다. 기본 양식 또는 사용자 정의 양식을 사용할 수 있습니다.

기본 양식을 사용하려면 az-default-form: true를 지정하십시오. 사용자 정의 양식을 사용하려면 az-default-form: false를 지정하십시오.

다음 특성을 제공하십시오.
  • az-table-dynamic-entries: 권한 부여 동의서에 자동으로 추가할 범위를 지정하는 컨텍스트 변수의 이름입니다.
  • az-form-time-limit: 양식을 제출하는 데 허용되는 시간입니다.
사용자 정의 양식의 경우 다음 특성을 제공하십시오.
  • az-custom-form: 양식의 위치입니다.
  • az-custom-form-tls-client-profile: 원격 서버에 대한 연결의 보안을 설정하는 데 사용되는 TLS 클라이언트 프로파일입니다.
disabled
권한 부여가 사용 불가능합니다. 이 처리 측면은 건너뜁니다.

사용자 권한 부여 실패 시 어셈블리 처리를 정지하려면 az-stop-on-error: true를 지정하십시오. 이 필드는 권한 부여가 사용 안함으로 설정되지 않은 경우에 필요합니다.

 문자열 

# basic authentication with LDAP registry

- user-security:
    version: 2.0.0
    title: user-security
    factor-id: default
    extract-identity-method: basic
    ei-stop-on-error: true
    user-auth-method: ldap
    ldap-registry: corporate-ldap
    au-stop-on-error: true
    user-az-method: authenticated
    az-stop-on-error: true