권한 부여 관리자를 효과적으로 사용하여 리소스에 대한 액세스를 제어하려면 먼저 역할, 작업 및 작동을 정의해야 합니다.
-
역할은 작업을 수행하기 위해 사용자가 가져야 할 사용 권한 집합입니다. 잘 디자인된 역할은 접수계원, 고용 관리자, 기록 보관인 등 작업 범주나 책임과 상응해야 하고 적절한 이름을 가져야 합니다. 권한 부여 관리자를 사용하면 역할에 사용자를 추가하여 해당 작업에 대한 권한을 갖도록 할 수 있습니다.
-
작업은 작동의 모음이며 때로는 다른 작업들의 모음이 되기도 합니다. 잘 디자인된 작업은 "암호 변경" 또는 "비용 제출"과 같이 인식할 수 있는 작업 항목을 포괄적으로 잘 나타냅니다.
-
작동은 WriteAttributes 또는 ReadAttributes처럼 시스템 수준이나 API 수준 보안 절차와 연관된 사용 권한 집합입니다. 작업을 구성하기 위한 빌딩 블록으로 작동을 사용합니다.
관리자 모드가 아니라 개발자 모드에서만 역할, 작업 및 작동을 정의할 수 있습니다. 개발자 모드를 설정하려면 권한 부여 관리자 옵션 설정을 참조하십시오.
역할 정의
적절한 역할 정의를 만드는 방법은 사용자 조직의 구조와 목표에 따라 다릅니다. 다른 역할로부터 역할을 상속받을 수 있습니다.
역할을 정의하려면 이름, 친숙한 설명, 역할의 일부인 특정 작업, 역할 및 작동 등을 지정합니다. 이것이 역할 상속의 메커니즘을 제공합니다. 예를 들어 지원 센터 역할에 제품 지원 역할이 포함될 수 있습니다.
권한 부여 규칙을 VBScript 또는 JScript로 지정할 수 있습니다. 자세한 내용은
역할 정의와 관련된 권한 부여 규칙이 여러 개가 있으면(예: 역할 정의에 여러 개의 하위 역할과 작업이 있는 경우) 이러한 권한 부여 규칙은 동기적으로 실행됩니다. 권한 부여 관리자에서 순서는 권한 부여에 영향을 미치지 않습니다.
작업 정의
작업 정의는 역할 정의보다 작고 역할과 기타 작업을 정의하는 데 사용될 수 있습니다.
권한 부여 관리자를 사용하여 자연스럽게 작업과 역할을 연결시킵니다. 예를 들어 채용 담당자 역할에는 인터뷰 작업이 포함될 수 있습니다.
역할과 마찬가지로 작업도 조직에 적합한 방법으로 정의됩니다. 작업을 정의하려면 이름, 설명, 작업의 일부인 특정 작업 및 작동 등을 지정합니다. VBScript 또는 JScript 권한 부여 규칙을 지정할 수도 있습니다.
작동 정의
작동은 작업을 정의하는 데 사용되는 컴퓨터 수준의 작은 동작이며 일반적으로 관리자와 관련이 없습니다. 개발자 모드에서만 작동을 정의합니다.
권한 부여 저장소 수준이나 범위 수준이 아니라 응용 프로그램 수준에서 작동 정의를 설정할 수 있습니다.
작동 정의에는 이름, 설명 및 작동 번호가 포함됩니다. 작동 번호 X는 1에서 2,147,483,647 사이의 정수, 즉 1 ≤ X ≤ 2^31 - 1이어야 합니다. 작동 번호는 응용 프로그램에서 작동을 식별하는 데 사용하므로 틀린 작동 번호를 입력하면 액세스 권한 부여 또는 거부가 잘못됩니다. 이로 인해 보안 위반이 발생하거나 클라이언트 응용 프로그램이 원치 않는 방식으로 동작할 수 있습니다.