그룹을 생성하고, 그룹에 멤버를 추가하고, 그룹 규칙을 생성할 수 있습니다. 그런 다음 정의한 규칙에 따라 그룹을 채울 수 있습니다.
각 사용자에게 개별적으로 사용 권한을 부여하지 않고 두 명 이상의 사용자에게 같은 리소스에 대한 사용 권한을 동시에 부여하려면 그룹을 사용합니다. 한 사용자가 여러 그룹에 속할 수 있습니다. 예를 들어 판매 그룹과 관리 그룹을 생성할 경우 판매 관리자는 두 그룹 모두에 속할 수 있습니다.
그룹 멤버에 적용할 정책 설정을 지정할 수 있습니다. 그룹의 사용자는 사용자 특성에 대해 설정한 규칙으로 정의됩니다. 사용자의 특성 값이 정의된 그룹 규칙 값에서 변경되면 그룹에서 사용자가 제거됩니다.
프로시저
- VMware Identity Manager 콘솔의 [사용자 및 그룹] 탭에서 그룹을 클릭합니다.
- 그룹 추가를 클릭합니다.
- 그룹 이름과 그룹의 설명을 입력합니다. 다음을 클릭합니다.
- 그룹에 사용자를 추가합니다. 그룹에 사용자를 추가하려면 사용자 이름을 몇 자 입력합니다. 텍스트를 입력하면 일치하는 이름이 표시됩니다.
- 사용자 이름을 선택하고 +사용자 추가를 클릭합니다.
- 그룹에 사용자가 추가되면 다음을 클릭합니다.
- [그룹 규칙] 페이지에서 그룹 멤버 자격이 부여되는 방식을 선택합니다. 드롭다운 메뉴에서 임의 또는 모두를 선택합니다.
옵션 |
작업 |
임의 |
그룹 멤버 자격 조건 중에 하나라도 충족되면 그룹 멤버 자격을 부여합니다. 이 작업은 OR 조건과 같이 작동합니다. 예를 들어 판매 그룹 및 마케팅 그룹 규칙에 대해 임의를 선택하면 판매 및 마케팅 직원에게 이 그룹에 대한 멤버 자격이 부여됩니다. |
모두 |
그룹 멤버 자격 조건이 모두 충족되면 그룹 멤버 자격을 부여합니다. [모두]를 사용하면 AND 조건과 같이 작동합니다. 예를 들어 판매 그룹과 이메일이 'western_region'으로 시작 규칙에 대해 다음 중 모두를 선택하면 서부 지역의 판매 직원에게만 이 그룹의 멤버 자격을 부여합니다. 다른 지역의 판매 직원에게는 멤버 자격이 부여되지 않습니다. |
- 그룹에 하나 이상의 규칙을 구성합니다. 규칙은 중첩할 수 있습니다.
옵션 |
설명 |
특성 |
첫 번째 열 드롭다운 메뉴에서 이러한 특성 중 하나를 선택합니다. 생성하는 그룹에 기존 그룹을 추가하려면 [그룹]을 선택합니다. 그룹에서 생성하는 그룹의 멤버로 지정할 사용자를 관리하기 위해 다른 유형의 특성을 추가할 수 있습니다. |
특성 규칙 |
다음 규칙은 선택한 특성에 따라 사용할 수 있습니다.
이 그룹과 연결할 그룹 또는 디렉토리를 선택하려면 같음을 선택합니다. 텍스트 상자에 이름을 입력합니다. 입력할 때 사용 가능한 그룹 또는 디렉토리 목록이 나타납니다.
제외할 그룹 또는 디렉토리를 선택하려면 같지 않음을 선택합니다. 텍스트 상자에 이름을 입력합니다. 입력할 때 사용 가능한 그룹 또는 디렉토리 목록이 나타납니다.
입력한 조건과 정확하게 일치하는 항목에 그룹 멤버 자격을 부여하려면 일치를 선택합니다. 예를 들어 조직에 중앙 전화 번호를 공유하는 출장 부서가 있을 수 있습니다. 이 전화 번호를 공유하는 모든 직원에게 출장 예약 애플리케이션에 대한 액세스 권한을 부여하려면 "전화 번호가 다음과 일치. (555) 555-1000"과 같은 규칙을 생성합니다.
입력한 조건과 정확하게 일치하지 않는 모든 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 일치하지 않음을 선택합니다. 예를 들어 부서 중 하나가 중앙 전화 번호를 공유하는 경우에는 "전화 번호가 다음과 일치하지 않음. (555) 555-2000"과 같은 규칙을 생성하여 해당 부서가 소셜 네트워킹 애플리케이션에 액세스하지 못하도록 제외할 수 있습니다. 다른 전화 번호가 지정된 디렉토리 서버 항목에서는 애플리케이션에 액세스할 수 있습니다.
입력한 조건으로 시작하는 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 다음으로 시작을 선택합니다. 예를 들어 [email protected]과 같이 조직의 이메일 주소가 부서 이름으로 시작하는 경우가 있습니다. 판매 직원 모두에게 애플리케이션에 대한 액세스 권한을 부여하려면 "이메일이 sales_로 시작"과 같은 규칙을 생성할 수 있습니다.
입력한 조건으로 시작하지 않는 모든 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 다음으로 시작되지 않음을 선택합니다. 예를 들어 인사 부서의 이메일 주소가 [email protected] 형식으로 되어 있는 경우 "이메일이 hr_로 시작하지 않음"과 같은 규칙을 설정하면 인사부 직원의 애플리케이션 액세스를 거부할 수 있습니다. 다른 이메일 주소가 지정된 디렉토리 서버 항목에서는 애플리케이션에 액세스할 수 있습니다.
|
특성 임의 또는 모두 사용 |
(선택 사항) 특성 [임의] 또는 [모두]를 그룹 규칙의 일부로 포함하려면 이 규칙을 마지막에 추가합니다.
이 규칙의 그룹 멤버 자격에 대한 조건을 하나라도 충족하는 경우에 그룹 멤버 자격을 부여하려면 임의를 선택합니다. [임의]를 사용하면 규칙을 중첩할 수 있습니다. 예를 들어 [다음 중 모두: 판매 그룹, 캘리포니아 그룹] 규칙을 생성할 수 있습니다. [캘리포니아 그룹]에 대해 [다음 중 임의: 전화 번호가 415로 시작; 전화 번호가 510으로 시작]을 지정할 수 있습니다. 그룹 멤버는 캘리포니아주의 판매 직원이며 전화 번호가 415 또는 510으로 시작해야 합니다.
이 규칙에 대해 모든 조건이 충족되도록 하려면 모두를 선택합니다. 이 방법으로 규칙을 중첩할 수 있습니다. 예를 들어 "다음 중 임의: 관리자 그룹; 고객 서비스 그룹" 규칙을 생성할 수 있습니다. [고객 서비스 그룹]에 대해 [다음 중 모두: 이메일이 cs_로 시작; 전화 번호가 555로 시작]을 지정할 수 있습니다. 그룹 멤버는 관리자 또는 고객 서비스 고객 지원 담당자일 수 있지만, 고객 서비스 고객 지원 담당자는 이메일이 cs로 시작하고 전화 번호가 555로 시작해야 합니다.
|
- (선택 사항) 특정 사용자를 제외하려면 텍스트 상자에 사용자 이름을 입력하고 사용자 제외를 클릭합니다.
- 다음을 클릭하고 그룹 정보를 검토합니다. 그룹 생성을 클릭합니다.
다음에 수행할 작업
그룹에게 사용 권한이 부여된 리소스를 추가합니다.