Active Directory 역할 매핑 관리

역할을 보고 관리할 권한이 있는 관리자 또는 사용자는 사용 가능한 Active Directory 역할 매핑의 세부 정보를 볼 수 있습니다.

전제 조건

Control Room에 관리자로 로그인해야 합니다.

기본적으로 Control Room은 Users 디렉터리에서 모든 보안 그룹을 검색합니다.

다른 조직 구성 단위(OU)와 함께 Users 디렉터리에 대한 필터를 사용하여 역할 매핑을 생성하려면 um.properties 파일을 업데이트해야 합니다. Control Room에서 Users 디렉터리는 OU와 유사한 것으로 간주됩니다. 따라서 um.properties 파일에서 필터를 정의해야 합니다.

예를 들어 파일에서 필터를 다음과 같이 설정합니다.
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
주: groupFilter와 같은 그룹 필터는 선택 사항입니다.
이 예에서 이 변경 사항을 um.properties에 적용하면 Control Room가 다음 태스크를 수행합니다.
  1. mydomain.com 도메인으로 이동
  2. 조직 구성 단위 OU1에서 그룹 이름이 groupFilter로 시작하는 모든 보안 그룹을 검색합니다.
  3. 조직 구성 단위 OU2에서 그룹 이름이 groupFilter로 시작하는 모든 보안 그룹을 검색합니다.
  4. Users 디렉터리에서 그룹 이름이 groupFilter로 시작하는 모든 보안 그룹을 검색합니다.

이 설정은 Users 디렉터리 외에 조직 구성 단위 OU1OU2의 사용자가 검색되도록 합니다.

Recommendation: 많은 수의 그룹을 표시하면 성능에 영향을 미치고 문제 해결이 어려워지므로 필터를 사용하여 그룹 표시 범위를 좁힙니다.

um.properties 파일에 정의된 필터는 데이터베이스에 저장됩니다. Control Room 신규 버전으로 업데이트하면 Control Room은 데이터베이스에 저장된 파일을 참조합니다. 설치 시 기본적으로 제공되는 um.properties 파일에는 이러한 필터가 없기 때문입니다. 기본 um.properties 파일에 새 필터를 정의하면 Control Roomum.properties 파일에 정의된 필터를 참조하고 데이터베이스에 저장된 필터를 덮어씁니다.

다중 도메인 매핑

매핑은 쉼표로 구분된 여러 도메인을 지원합니다.

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
위의 예에서 Control Room은 추가 프로세스를 수행합니다.
  1. mydomain2.com 도메인으로 이동
  2. 조직 구성 단위 OU3에서 모든 보안 그룹을 검색
  3. 조직 구성 단위 OU4에서 모든 보안 그룹을 검색

중첩 OU에서 보안 그룹 검색

중첩 OU에서 보안 그룹을 검색하는 예.

다음 예시 조직에서 ‘Marketing’을 추가 중첩 OU가 있고 각 중첩 OU에 보안 그룹이 있는 상위 OU로 가정하겠습니다.

  • 마케팅
    • 그룹 1
    • 그룹 2
    • US_OU
      • 그룹 3
      • California_OU
        • 그룹 4
        • NoCal_OU
          • 그룹 5
        • SoCal_OU
          • 그룹 6
다음 항목을 추가하면 Control Room이 Marketing 및 중첩 OU에서 모든 그룹, 즉 group1, group2, group3, group4, group5 및 group6을 검색합니다.
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
주: 항목에 중첩 OU를 제공하는 것은 지원되지 않습니다.

Active Directory 역할 매핑

관리 > > 역할 > Active Directory 역할 매핑으로 이동합니다. 그러면 Control Room에서 생성된 모든 역할 매핑이 페이지에 표시됩니다. 역할 매핑을 보거나 편집할 수 있습니다. 또한 새 역할 매핑을 생성하거나 Control RoomActive Directory 간에 역할 동기화 프로세스를 다시 시작할 수 있습니다.

이 동기화 프로세스는 활성화되면 기본적으로 하루에 한 번(1,440분) 트리거됩니다. 분의 숫자를 변경하여 임의의 간격으로 동기화를 트리거할 수 있습니다. 간격 설정을 기본값보다 크게 설정하는 것이 좋습니다.

Recommendations:
  • 간격 설정을 기본 설정인 1440분보다 크게 설정해야 합니다.
  • 동기화 프로세스 매핑 및 사용자는 프로세스 집약적입니다. 확장성 문제를 피하기 위해 그룹 목록을 짧게 유지하고 특정 사용자를 이러한 Active Directory의 각 그룹에 할당하는 것이 좋습니다.
  • 가져오기가져오지 않음 매핑을 동일한 시스템에서 모두 사용하지 마십시오. 사용 사례가 복잡해지고 문제를 수정하기 위한 문제 해결이 더 어려워질 수 있습니다.
  • 가져오기가져오지 않음 매핑이 모두 정의되어 있고 사용자가 두 매핑에 모두 포함되어 있으면 가져오기 매핑이 가져오지 않음 매핑보다 우선합니다.

    다음 예를 고려하십시오.

    • AD 매핑 A = 역할 A – 그룹 A – 이 그룹의 사용자를 Automation 360로 가져오기
    • AD 매핑 B = 역할 B – 그룹 B – 이 그룹에서 사용자를 가져오지 않음

    여기서 사용자 D는 Active Directory의 그룹 A와 B에 모두 포함되어 있습니다.

    사용자 D는 Automation 360에서 생성되고 역할 A가 할당됩니다.

    • AD 매핑 A = 역할 A – 그룹 A – 이 그룹의 사용자를 Automation 360로 가져오기
    • AD 매핑 B = 역할 B – 그룹 B – 이 그룹에서 사용자를 가져오지 않음
    • AD 매핑 C = 역할 C – 그룹 C – 이 그룹의 사용자를 Automation 360로 가져오기

    여기서 사용자 D는 Active Directory(AD) 내 그룹 A, B, C에 포함되어 있습니다.

    사용자 D는 Automation 360에서 생성되고 역할 A와 역할 C에 할당됩니다.

기기 라이선스 충돌
기기 라이선스에 다른 여러 매핑이 있고 사용자가 모든 매핑에 매핑된 경우, 사용자당 하나의 기기 라이선스가 허용되기 때문에 어떤 기기 라이선스를 사용자에게 할당할지 결정하기 어렵습니다. 이 시나리오의 경우 Control Roomum.properties 파일에서 정의할 수 있는 기본 정렬 목록을 지원합니다. um.properties 파일의 장치 라이선스에 대한 기본 구성은 다음과 같습니다. um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper. 매핑 할당은 다음 가용성 순서에 따라 기본 라이선스를 선택합니다.
  1. Development
  2. Runtime
  3. AttendedRuntime
  4. CitizenDeveloper

um.properties 파일에서 선호하는 키워드를 새 항목으로 추가하여 기본 기기 라이선스를 변경할 수 있습니다.

다음 테이블에는 선호하는 순서 목록에 사용해야 하는 기기 라이선스의 키워드가 나열되어 있습니다.
키워드 라이선스
개발 Bot Creator
실행 시간 무인 Bot Runner
유인 런타임 유인 Bot Runner
시민 개발자 시민 개발자

사용자가 여러 매핑에 매핑되고 매핑에 서로 다른 자동 로그인 옵션(활성화 또는 비활성화)에 대해 동일한 디바이스 라이선스가 있는 경우, 자동 로그인 구성이 설정을 재정의합니다. 따라서 동일한 기기 라이선스에 대한 모든 매핑에서 자동 로그인 옵션을 일관되게 유지하는 것이 좋습니다.

검색 기준과 일치하는 하나 이상의 사용 가능한 역할 매핑이 역할 매핑 테이블에 나타납니다.
주: 역할 매핑 페이지는 매핑 목록만 표시하며 기본적으로 매핑의 유효성을 검사하지 않습니다. 보안 그룹 및 역할은 잘 변경되지 않으며 네트워크 속도가 느리거나 매핑 수가 많으면 시간이 오래 걸리므로, 페이지에는 매핑 목록만 표시됩니다. 역할 매핑 페이지에서 기본 유효성 검사를 구성하려면 um.properties 파일에 다음 항목을 추가합니다. um.ldap.groupmapping.sync.on.get.mappings=true. 역할 매핑의 유효성 검사는 Active DirectoryControl Room 사이의 역할 매핑을 동기화할 때 진행됩니다.

실행 기기로 설정한 기기나 소비자 권한이 있는 기기 풀에서 자동화를 실행할 수 있습니다(사용자 만들기 ). Active Directory 역할 매핑을 사용하는 경우 매핑된 Active Directory 사용자가 기기를 두 개 이상 사용하게 하려면 기기 풀을 구성해야 합니다(기기 풀 생성).