Active Directory 역할 매핑 관리
- 최종 업데이트2023/03/15
Active Directory 역할 매핑 관리
역할을 보고 관리할 권한이 있는 관리자 또는 사용자는 사용 가능한 Active Directory 역할 매핑의 세부 정보를 볼 수 있습니다.
전제 조건
Control Room에 관리자로 로그인해야 합니다.
기본적으로 Control Room은 Users 디렉터리에서 모든 보안 그룹을 검색합니다.
다른 조직 구성 단위(OU)와 함께 Users 디렉터리에 대한 필터를 사용하여 역할 매핑을 생성하려면 um.properties 파일을 업데이트해야 합니다. Control Room에서 Users 디렉터리는 OU와 유사한 것으로 간주됩니다. 따라서 um.properties 파일에서 필터를 정의해야 합니다.
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
- mydomain.com 도메인으로 이동
- 조직 구성 단위 OU1에서 그룹 이름이 groupFilter로 시작하는 모든 보안 그룹을 검색합니다.
- 조직 구성 단위 OU2에서 그룹 이름이 groupFilter로 시작하는 모든 보안 그룹을 검색합니다.
- Users 디렉터리에서 그룹 이름이 groupFilter로 시작하는 모든 보안 그룹을 검색합니다.
이 설정은 Users 디렉터리 외에 조직 구성 단위 OU1
및 OU2
의 사용자가 검색되도록 합니다.
um.properties 파일에 정의된 필터는 데이터베이스에 저장됩니다. Control Room 신규 버전으로 업데이트하면 Control Room은 데이터베이스에 저장된 파일을 참조합니다. 설치 시 기본적으로 제공되는 um.properties 파일에는 이러한 필터가 없기 때문입니다. 기본 um.properties 파일에 새 필터를 정의하면 Control Room은 um.properties 파일에 정의된 필터를 참조하고 데이터베이스에 저장된 필터를 덮어씁니다.
다중 도메인 매핑
매핑은 쉼표로 구분된 여러 도메인을 지원합니다.
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
- mydomain2.com 도메인으로 이동
- 조직 구성 단위 OU3에서 모든 보안 그룹을 검색
- 조직 구성 단위 OU4에서 모든 보안 그룹을 검색
중첩 OU에서 보안 그룹 검색
중첩 OU에서 보안 그룹을 검색하는 예.
다음 예시 조직에서 ‘Marketing’을 추가 중첩 OU가 있고 각 중첩 OU에 보안 그룹이 있는 상위 OU로 가정하겠습니다.
- 마케팅
- 그룹 1
- 그룹 2
- US_OU
- 그룹 3
- California_OU
- 그룹 4
- NoCal_OU
- 그룹 5
- SoCal_OU
- 그룹 6
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Active Directory 역할 매핑
Control Room에서 생성된 모든 역할 매핑이 페이지에 표시됩니다. 역할 매핑을 보거나 편집할 수 있습니다. 또한 새 역할 매핑을 생성하거나 Control Room과 Active Directory 간에 역할 동기화 프로세스를 다시 시작할 수 있습니다.
으로 이동합니다. 그러면이 동기화 프로세스는 활성화되면 기본적으로 하루에 한 번(1,440분) 트리거됩니다. 분의 숫자를 변경하여 임의의 간격으로 동기화를 트리거할 수 있습니다. 간격 설정을 기본값보다 크게 설정하는 것이 좋습니다.
- 간격 설정을 기본 설정인 1440분보다 크게 설정해야 합니다.
- 동기화 프로세스 매핑 및 사용자는 프로세스 집약적입니다. 확장성 문제를 피하기 위해 그룹 목록을 짧게 유지하고 특정 사용자를 이러한 Active Directory의 각 그룹에 할당하는 것이 좋습니다.
- 가져오기 및 가져오지 않음 매핑을 동일한 시스템에서 모두 사용하지 마십시오. 사용 사례가 복잡해지고 문제를 수정하기 위한 문제 해결이 더 어려워질 수 있습니다.
-
가져오기 및 가져오지 않음 매핑이 모두 정의되어 있고 사용자가 두 매핑에 모두 포함되어 있으면 가져오기 매핑이 가져오지 않음 매핑보다 우선합니다.
다음 예를 고려하십시오.
- AD 매핑 A = 역할 A – 그룹 A – 이 그룹의 사용자를 Automation 360로 가져오기
- AD 매핑 B = 역할 B – 그룹 B – 이 그룹에서 사용자를 가져오지 않음
여기서 사용자 D는 Active Directory의 그룹 A와 B에 모두 포함되어 있습니다.
사용자 D는 Automation 360에서 생성되고 역할 A가 할당됩니다.
- AD 매핑 A = 역할 A – 그룹 A – 이 그룹의 사용자를 Automation 360로 가져오기
- AD 매핑 B = 역할 B – 그룹 B – 이 그룹에서 사용자를 가져오지 않음
- AD 매핑 C = 역할 C – 그룹 C – 이 그룹의 사용자를 Automation 360로 가져오기
여기서 사용자 D는 Active Directory(AD) 내 그룹 A, B, C에 포함되어 있습니다.
사용자 D는 Automation 360에서 생성되고 역할 A와 역할 C에 할당됩니다.
- Development
- Runtime
- AttendedRuntime
- CitizenDeveloper
um.properties 파일에서 선호하는 키워드를 새 항목으로 추가하여 기본 기기 라이선스를 변경할 수 있습니다.
키워드 | 라이선스 |
---|---|
개발 | Bot Creator |
실행 시간 | 무인 Bot Runner |
유인 런타임 | 유인 Bot Runner |
시민 개발자 | 시민 개발자 |
사용자가 여러 매핑에 매핑되고 매핑에 서로 다른 자동 로그인 옵션(활성화 또는 비활성화)에 대해 동일한 디바이스 라이선스가 있는 경우, 자동 로그인 구성이 설정을 재정의합니다. 따라서 동일한 기기 라이선스에 대한 모든 매핑에서 자동 로그인 옵션을 일관되게 유지하는 것이 좋습니다.
um.ldap.groupmapping.sync.on.get.mappings=true
. 역할 매핑의 유효성 검사는 Active Directory 및 Control Room 사이의 역할 매핑을 동기화할 때 진행됩니다.봇 실행 기기로 설정한 기기나 소비자 권한이 있는 기기 풀에서 자동화를 실행할 수 있습니다(사용자 만들기 ). Active Directory 역할 매핑을 사용하는 경우 매핑된 Active Directory 사용자가 기기를 두 개 이상 사용하게 하려면 기기 풀을 구성해야 합니다(기기 풀 생성).