그룹을 생성하고, 그룹에 멤버를 추가하고, 그룹 규칙을 생성할 수 있습니다. 그런 다음 정의한 규칙에 따라 그룹을 채울 수 있습니다.

각 사용자에게 개별적으로 사용 권한을 부여하지 않고 두 명 이상의 사용자에게 같은 리소스에 대한 사용 권한을 동시에 부여하려면 그룹을 사용합니다. 한 사용자가 여러 그룹에 속할 수 있습니다. 예를 들어 판매 그룹과 관리 그룹을 생성할 경우 판매 관리자는 두 그룹 모두에 속할 수 있습니다.

그룹 멤버에 적용할 정책 설정을 지정할 수 있습니다. 그룹의 사용자는 사용자 특성에 대해 설정한 규칙으로 정의됩니다. 사용자의 특성 값이 정의된 그룹 규칙 값에서 변경되면 그룹에서 사용자가 제거됩니다.

프로시저

  1. VMware Identity Manager 콘솔의 [사용자 및 그룹] 탭에서 그룹을 클릭합니다.
  2. 그룹 추가를 클릭합니다.
  3. 그룹 이름과 그룹의 설명을 입력합니다. 다음을 클릭합니다.
  4. 그룹에 사용자를 추가합니다. 그룹에 사용자를 추가하려면 사용자 이름을 몇 자 입력합니다. 텍스트를 입력하면 일치하는 이름이 표시됩니다.
  5. 사용자 이름을 선택하고 +사용자 추가를 클릭합니다.

    그룹에 멤버를 계속 추가합니다.

  6. 그룹에 사용자가 추가되면 다음을 클릭합니다.
  7. [그룹 규칙] 페이지에서 그룹 멤버 자격이 부여되는 방식을 선택합니다. 드롭다운 메뉴에서 임의 또는 모두를 선택합니다.

    옵션

    작업

    임의

    그룹 멤버 자격 조건 중에 하나라도 충족되면 그룹 멤버 자격을 부여합니다. 이 작업은 OR 조건과 같이 작동합니다. 예를 들어 판매 그룹마케팅 그룹 규칙에 대해 임의를 선택하면 판매 및 마케팅 직원에게 이 그룹에 대한 멤버 자격이 부여됩니다.

    모두

    그룹 멤버 자격 조건이 모두 충족되면 그룹 멤버 자격을 부여합니다. [모두]를 사용하면 AND 조건과 같이 작동합니다. 예를 들어 판매 그룹이메일이 'western_region'으로 시작 규칙에 대해 다음 중 모두를 선택하면 서부 지역의 판매 직원에게만 이 그룹의 멤버 자격을 부여합니다. 다른 지역의 판매 직원에게는 멤버 자격이 부여되지 않습니다.

  8. 그룹에 하나 이상의 규칙을 구성합니다. 규칙은 중첩할 수 있습니다.

    옵션

    설명

    특성

    첫 번째 열 드롭다운 메뉴에서 이러한 특성 중 하나를 선택합니다. 생성하는 그룹에 기존 그룹을 추가하려면 [그룹]을 선택합니다. 그룹에서 생성하는 그룹의 멤버로 지정할 사용자를 관리하기 위해 다른 유형의 특성을 추가할 수 있습니다.

    특성 규칙

    다음 규칙은 선택한 특성에 따라 사용할 수 있습니다.

    • 이 그룹과 연결할 그룹 또는 디렉토리를 선택하려면 같음을 선택합니다. 텍스트 상자에 이름을 입력합니다. 입력할 때 사용 가능한 그룹 또는 디렉토리 목록이 나타납니다.

    • 제외할 그룹 또는 디렉토리를 선택하려면 같지 않음을 선택합니다. 텍스트 상자에 이름을 입력합니다. 입력할 때 사용 가능한 그룹 또는 디렉토리 목록이 나타납니다.

    • 입력한 조건과 정확하게 일치하는 항목에 그룹 멤버 자격을 부여하려면 일치를 선택합니다. 예를 들어 조직에 중앙 전화 번호를 공유하는 출장 부서가 있을 수 있습니다. 이 전화 번호를 공유하는 모든 직원에게 출장 예약 애플리케이션에 대한 액세스 권한을 부여하려면 "전화 번호가 다음과 일치. (555) 555-1000"과 같은 규칙을 생성합니다.

    • 입력한 조건과 정확하게 일치하지 않는 모든 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 일치하지 않음을 선택합니다. 예를 들어 부서 중 하나가 중앙 전화 번호를 공유하는 경우에는 "전화 번호가 다음과 일치하지 않음. (555) 555-2000"과 같은 규칙을 생성하여 해당 부서가 소셜 네트워킹 애플리케이션에 액세스하지 못하도록 제외할 수 있습니다. 다른 전화 번호가 지정된 디렉토리 서버 항목에서는 애플리케이션에 액세스할 수 있습니다.

    • 입력한 조건으로 시작하는 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 다음으로 시작을 선택합니다. 예를 들어 [email protected]과 같이 조직의 이메일 주소가 부서 이름으로 시작하는 경우가 있습니다. 판매 직원 모두에게 애플리케이션에 대한 액세스 권한을 부여하려면 "이메일이 sales_로 시작"과 같은 규칙을 생성할 수 있습니다.

    • 입력한 조건으로 시작하지 않는 모든 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 다음으로 시작되지 않음을 선택합니다. 예를 들어 인사 부서의 이메일 주소가 [email protected] 형식으로 되어 있는 경우 "이메일이 hr_로 시작하지 않음"과 같은 규칙을 설정하면 인사부 직원의 애플리케이션 액세스를 거부할 수 있습니다. 다른 이메일 주소가 지정된 디렉토리 서버 항목에서는 애플리케이션에 액세스할 수 있습니다.

    특성 임의 또는 모두 사용

    (선택 사항) 특성 [임의] 또는 [모두]를 그룹 규칙의 일부로 포함하려면 이 규칙을 마지막에 추가합니다.

    • 이 규칙의 그룹 멤버 자격에 대한 조건을 하나라도 충족하는 경우에 그룹 멤버 자격을 부여하려면 임의를 선택합니다. [임의]를 사용하면 규칙을 중첩할 수 있습니다. 예를 들어 [다음 중 모두: 판매 그룹, 캘리포니아 그룹] 규칙을 생성할 수 있습니다. [캘리포니아 그룹]에 대해 [다음 중 임의: 전화 번호가 415로 시작; 전화 번호가 510으로 시작]을 지정할 수 있습니다. 그룹 멤버는 캘리포니아주의 판매 직원이며 전화 번호가 415 또는 510으로 시작해야 합니다.

    • 이 규칙에 대해 모든 조건이 충족되도록 하려면 모두를 선택합니다. 이 방법으로 규칙을 중첩할 수 있습니다. 예를 들어 "다음 중 임의: 관리자 그룹; 고객 서비스 그룹" 규칙을 생성할 수 있습니다. [고객 서비스 그룹]에 대해 [다음 중 모두: 이메일이 cs_로 시작; 전화 번호가 555로 시작]을 지정할 수 있습니다. 그룹 멤버는 관리자 또는 고객 서비스 고객 지원 담당자일 수 있지만, 고객 서비스 고객 지원 담당자는 이메일이 cs로 시작하고 전화 번호가 555로 시작해야 합니다.

  9. (선택 사항) 특정 사용자를 제외하려면 텍스트 상자에 사용자 이름을 입력하고 사용자 제외를 클릭합니다.
  10. 다음을 클릭하고 그룹 정보를 검토합니다. 그룹 생성을 클릭합니다.

다음에 수행할 작업

그룹에게 사용 권한이 부여된 리소스를 추가합니다.