자주 묻는 질문(FAQ)

온라인에서 편집하기

속성 동기화에 대한 구성 항목에 대한 추가 설명이 있나요?
이 구성은 Directory Sync에서 테넌트 레지스트리를 업데이트하기 위해 사용자 및 그룹 SCIM REST API 호출을 생성하는 데 사용됩니다. 따라서 이 구성은 해당 API의 입력 형식과 유사하므로, 이 API의 설명서를 참고하면 이해하는 데 도움이 될 것입니다. https://docs.verify.ibm.com/verify/reference/createuser /v2.0/Groups예를 들어, 및 에 대한 /v2.0/Users POST, PATCH, PUT 연산을 참조하십시오.
@realm‘and’와 unqualifiedUserName ‘or’ 중 어떤 것을 사용해야 할까요, urn:ietf:params:scim:schemas:extension:ibm:2.0:User.realm 아니면 그냥 userName ‘with’만 사용해야 할까요?
urn:ietf:params:scim:schemas:extension:ibm:2.0:User.realmunqualifiedUserName 는 무시되며 샘플 구성 파일에서 제거됩니다. @realm와 함께 사용하세요 userName . "verify-realm"예를 들어, 속성 userPrincipalName 값이 testuser@adomain.comuserName 이고 검증 영역이 인 경우, 다음 예제를 참고하여 를 userName 설정하십시오.
{
  "ldap": "userPrincipalName",
  "tweaks": {
    "append": "@verify-realm"
  }
  "new-attr":{
    "scim":{"userName":"{{value}}"}
  },
  "mod-attr":{
    "scim":{
      "add":{"op":"add","path":"userName","value":"{{value}}"},
      "remove":{"op":"remove","path":"userName"},
      "replace":{"op":"replace","path":"userName","value":"{{value}}"}
    }
  }
}
결과적으로 앞서 제시된 예시 값들에 대해 가 userName"testuser@adomain.com@verify-realm" 설정됩니다.
참고: 동일한 온프레미스 레지스트리에 대해 Bridge 에이전트도 IBM® Verify 사용 중인 경우, `set on userName `은 @realm Bridge 에이전트와 연결된 ID 소스와 일치해야 합니다.
Active Directory 를 사용할 때 구성 옵션이 "ldap-base-dn" 충분히 세분화되어 있지 않습니다. 다른 해결책으로는 어떤 것들이 있나요?
"msDs-parentdistname"Active Directory 특정 DN 그룹과 일치시킬 수 있는 운영 속성을 제공합니다. 이 속성을 구성 문자열에 "ldap-search-filter" 추가하면 디렉터리의 특정 영역에 한해 사용자와 그룹을 필터링할 수 있습니다. "msDs-parentdistname" 는 일치하는 DN의 모든 직계 자식을 의미합니다 true . 이 일치는 부분 트리 일치가 아니라 단일 레벨 일치입니다. 예를 들면 다음과 같습니다.
"ldap-base-dn": "DC=adomain,DC=com",
"ldap-search-filter":"(|(&(objectClass=user)(msDs-parentdistname=CN=SyncUsers,DC=adomain,DC=com))(&(objectClass=group)(msDs-
parentdistname=CN=SyncGroups,DC=adomain,DC=com))"
DC=comCN=testgroupcn=testuser이 필터는, CN=SyncUsers, DC=adomain, DC=com, 와 같은 사용자와, CN=SyncGroups, DC=adomain, 와 같은 그룹에만 일치합니다.
동기화 대상 사용자를 그룹 소속 여부로만 식별할 수 있습니까?
네, 하지만 그룹 멤버십을 조건으로 "ldap-search-filter" 삼아서는 안 됩니다. Active Directory 에 사용자 항목을 처음 생성할 때는 해당 사용자의 그룹 멤버십 정보가 존재하지 않습니다. 생성 단계 이후에 추가됩니다. "ldap-search-filter"따라서 사용자 생성 이벤트는.에서 사용될 때 무시되고 사라집니다. 해결책은 구성 항목을 "user-sync-filter" 사용하는 것입니다. ‘cloud-bridge’ JSON 객체를 참조하십시오. memberOf이 구성 항목은 ~에만 국한되지 않습니다. 다른 사용자 속성도 이와 유사한 방식으로 사용할 수 있습니다.
SaaS 의 Verify 속성은 upn 필수인가요?
UPN(사용자 주 이름) 속성은 기술적으로 액티브 디렉토리( Active Directory, AD) 통합에 필수적인 것은 아니지만, 사용을 권장합니다. IBM VerifyAzure AD나 특정 SAML 또는 OIDC 서비스 제공자와 같은 애플리케이션이나 통합 기능이 UPN 속성을 명시적으로 요구하는 경우, 이를 내에서 사용자 정의 속성으로 구성할 수 있습니다. 이는 사용 사례에 UPN에 의존하는 SSO 어설션이나 속성 매핑이 포함된 경우에만 필요하며, 특히 다음과 같은 경우에 해당합니다:
  • UPN을 기준으로 라우팅되는 사용자 지정 로그인 페이지 사용
  • 여러 도메인 또는 리얼름 지원
  • SSO 시나리오 구현
브리지 인스턴스(사용자, 관리자, 그룹)를 분리하는 것이 권장되나요?
아니요, IBM 의 모범 사례에 따르면 이러한 분리 방식은 권장되지 않습니다. IBM Verify Bridge for Directory Sync 단일 인스턴스에서 사용자와 그룹을 모두 관리할 수 있도록 설계되었습니다. 표준 배포 모델은 디렉터리 소스당 하나의 디렉터리 동기화 브릿지를 사용하며, 고가용성을 위해 대기용 중복 인스턴스를 포함합니다. 또한 기능(사용자, 그룹)별로 분리하는 것은 복잡성을 증가시키고 동기화 문제를 일으킬 수 있으므로 권장하지 않습니다.
IBM Verify 에 왜 두 개의 username 속성(preferred_usernameusername)이 있으며, 이 둘의 차이점은 무엇인가요?
IBM Verify 두 가지 서로 다른 사용자 이름 관련 속성을 사용합니다.
  • userName 인증 및 시스템 운영에 사용되는 주요 식별자입니다. 이는 시스템 내에서 사용자를 식별하는 주요 고유 식별자 역할을 하며, 리얼름 내에서 고유해야 합니다. 인증 절차, 사용자 조회 및 시스템 운영에 사용됩니다. 이 계정은 대개 Active Directory 의 UPN(사용자 principal 이름 userPrincipalName )에 매핑되며, 시스템 기능에 있어 매우 중요합니다.
  • preferred_username 일반적으로 표시용으로 사용되는 대체 사용자 이름입니다. 주로 사용자 인터페이스에서 표시 목적으로 사용되며, 더 친숙한 표시 이름을 제공합니다. 사용자 프로필 및 UI 요소에 표시될 수 있습니다. 이 설정은 인증이나 시스템 조회 용도로 사용되지 않으며, 핵심 인증 기능에 영향을 주지 않고 변경할 수 있습니다.
디렉터리 동기화를 비밀번호 인증용 브리지 에이전트와 함께 사용할 때, 연동 사용자(federated users)와 일반 사용자 중 어떤 유형을 생성하는 것이 더 적합할까요?
‘연동된 사용자’가 올바른 선택입니다. 연동된 사용자는 IBM Verify SSO 기능을 지원합니다. 그들은 온프레미스 레지스트리를 신원 정보의 공식적인 출처로 관리합니다. 사용자는 외부 신원 정보 소스(온프레미스 Bridge 에이전트)를 통해 인증을 거치며, 사용자의 속성은 온프레미스 레지스트리에서 동기화됩니다.