그룹 관리
사이드바의 플랫폼 설정 섹션에서 그룹을 선택하세요. 그룹을 선택하여 대시보드 보기에서 상세 정보를 확인하세요.
선택한 그룹에 대한 다양한 정보를 확인할 수 있습니다:
- 그룹 이름: 그룹 이름 변경은 권장하지 않지만, 관리 권한이 있는 사용자는 변경할 수 있습니다 (아래 그룹 이름 변경 참조).
- 그룹 설명: 그룹을 설명하며, 그룹을 발견할 수 있는 그룹의 모든 사용자에게 표시됩니다.
- 그룹 ID: 그룹의 영구적이고 고유한 ID입니다.
- 그룹 유형: 외부, 내부, 또는 규칙 기반 그룹 유형입니다. 내부 영역 그룹 멤버십은 Foundry에서 관리됩니다.
- 영역: 인증 소스, 외부 또는 내부입니다. 외부 그룹의 경우, 영역은 그룹을 관리하는 제공자를 식별합니다.
- 그룹: 이 그룹과 그 설명을 볼 수 있는 그룹의 멤버를 정의합니다.
- 멤버: 이 그룹의 멤버인 사용자입니다. 개별 사용자 또는 그룹일 수 있습니다.
- 그룹 권한: 그룹의 측면을 관리할 수 있는 사용자를 정의합니다. 관리 권한에는 두 가지 유형이 있습니다:
- 권한 관리: 그룹의 측면을 관리하고, 멤버를 관리하며, 메타데이터를 편집할 수 있는 사용자.
- 멤버십 관리: 그룹의 멤버를 관리할 수 있는 사용자, 멤버십 만료 속성을 포함합니다.
- 속성: 일반적으로 다른 Foundry 서비스에서 사용되는 키-값 형식으로 저장된 그룹 정보입니다.
그룹의 그룹에 대한 그룹 멤버십 보기 권한이 있는 경우에만 그룹을 볼 수 있습니다. 이 권한은 설정 > 플랫폼 설정 > 그룹에서 관심 있는 그룹을 선택한 다음 그룹 권한에 대해 관리하기를 선택하여 부여할 수 있습니다. 사용자 및 그룹 목록과 검색 상자가 표시됩니다; 추가된 사용자 및 그룹에 대해 드롭다운 상자를 사용하여 그룹 멤버십 보기 옵션을 활성화하세요.
멤버십 만료
주어진 그룹에서 멤버십 관리를 할 수 있는 경우, 그룹에 대한 새로운 멤버십이 일시적임을 요구할 수 있습니다. 다음 그룹 속성을 구성하여 수행하세요:
- 최신 만료: 모든 새로운 멤버십은 이 날짜보다 이전에 만료되어야 합니다.
- 최대 기간: 모든 새로운 멤버십은 지정된 기간 내에 만료되어야 합니다.
이 속성 중 하나 또는 둘 다 동시에 설정할 수 있습니다. 둘 다 설정된 경우, 최신 허용 만료는 두 속성 중 가장 제한적인 속성이 됩니다.
또한, 멤버십 관리 권한이 있는 경우, 멤버십 만료 날짜 속성이 설정된 일시적 멤버를 그룹에 추가할 수 있습니다. 최신 만료 또는 최대 기간 속성이 설정되지 않은 그룹에 이러한 일시적 멤버를 추가할 수 있습니다.
최신 만료 또는 최대 기간 속성이 있는 그룹에 대한 멤버십 요청을 초래하는 모든 액세스 요청은 최대 만료로 제한됩니다.
멤버십 만료 알림
일시적 그룹 멤버십이 만료되면, 영향을 받는 사용자에게 해지 알림이 전송됩니다. 또한, 일시적 멤버십을 가진 사용자는 멤버십 만료 7일 전에 알림을 받습니다. 그러나 사용자가 7일 미만으로 설정된 만료와 함께 그룹에 추가된 경우, 알림을 받지 않습니다.
사용자가 이러한 알림을 받고 싶지 않은 경우, 플랫폼 사이드바의 계정 > 설정 > 알림에서 플랫폼 알림 설정을 구성할 수 있습니다.
맞춤 Approvals 액세스 요청 양식
프로젝트에 정의된 역할이 있는 그룹의 권한을 관리할 수 있는 경우, 다음 구조를 사용하여 그룹에 속성을 추가하여 해당 프로젝트에 대한 맞춤 액세스 요청 양식을 구성할 수 있습니다:
- 속성 키:
access-request:'group-category-name' - 속성 값:
'intended group value'
이 속성은 그룹의 속성에 추가하면 액세스 요청 팝업 창의 일부로 자동으로 나타나며, 사용자가 액세스 요청 양식의 일부로 선택할 수 있습니다.
예를 들어, 다음 그룹 속성을 추가하면 아래의 맞춤 요청 흐름이 생성됩니다:
- 키:
access-request: Team - 값:
blue
맞춤 액세스 요청 양식은 여러 그룹이 있는 프로젝트에 특히 유용하며, 관리 및 사용자 경험을 개선하기 위해 간소화되고 직관적인 액세스 요청 프로세스를 제공합니다.
액세스 요청 양식에서 그룹 제외
기본적으로, 프로젝트에 역할이 있는 모든 그룹은 액세스 요청 양식에 나타납니다. 특정 그룹을 숨기고 싶다면, 프로젝트 설정에서 제외할 수 있습니다.
프로젝트에 대한 액세스 요청 흐름에서 제외할 그룹을 구성하려면 액세스 패널 > 설정 > 프로젝트 액세스 요청으로 이동하세요.
프로젝트의 소유자인 경우, 관리하기 버튼을 선택한 다음 요청 흐름에서 숨길 그룹을 선택하세요. 프로젝트의 소유자가 아닌 경우, 제외된 그룹을 볼 수 있는 보기 버튼이 표시되지만 변경을 할 수는 없습니다.
그룹 제외는 프로젝트별 설정으로, 유연성을 제공합니다. 대부분의 프로젝트에서 그룹을 제외할 수 있지만 특정 프로젝트에는 포함될 수 있습니다. 사용자는 특정 프로젝트에서 그룹에 대한 액세스를 요청할 수 있습니다. 승인되면, 그룹이 역할을 가진 모든 프로젝트에 대한 액세스를 얻게 됩니다.
이 기능은 관리자 그룹과 같은 그룹에 대한 실수로 인한 멤버십 요청을 방지하면서도 지정된 프로젝트를 통해 필요한 액세스를 허용합니다.
맞춤 Approvals 액세스 요청 정책 [Beta]
맞춤 정책은 개발의 베타 단계에 있으며, 귀하의 등록에 사용할 수 없을 수 있습니다. 기능은 활성 개발 중에 변경될 수 있습니다. 이 기능에 대한 액세스를 요청하려면 Palantir 지원에 문의하세요.
그룹에 대한 멤버십 관리 또는 권한 관리 권한이 있는 사용자는 선택한 그룹에 대한 멤버십 요청을 초래하는 모든 액세스 요청에 적용될 맞춤 정책을 구성할 수 있습니다. 아래와 같이 멤버십 승인 섹션을 통해 구성할 수 있습니다:
그룹에 맞춤 정책이 구성된 경우, 해당 그룹에 대한 요청을 초래하는 모든 액세스 요청에 영향을 미칩니다. 맞춤 정책은 특정 그룹에 멤버를 추가하는 그룹 멤버십 하위 작업에 적용됩니다. 액세스 요청이 승인되려면 모든 하위 작업이 승인되어야 합니다. 승인 정책은 액세스를 요청할 때와 기존 액세스 요청을 검토할 때 모두 전달됩니다.
프로젝트 액세스
선택한 그룹에 대한 프로젝트 액세스 상세 정보를 보려면 상세 탭 옆의 프로젝트 액세스를 선택하세요.
프로젝트 액세스 보기는 그룹 관리자가 그룹이 액세스할 수 있는 모든 프로젝트와 그룹에 부여된 특정 프로젝트 역할을 볼 수 있게 합니다. 이 보기는 사용자를 그룹에 추가하거나 제거할 때 액세스가 어떻게 변경될지를 볼 수 있어 특히 유용합니다.
상속된 권한 표시 토글은 기본적으로 켜짐 상태이며, 모든 중첩된 그룹을 탐색하여 그룹이 액세스할 수 있는 프로젝트를 찾습니다. 이 토글을 꺼짐으로 설정하면, 그룹이 직접 적용된 프로젝트만 목록에 표시됩니다.
그룹 이름 변경
멤버십 관리 권한이 있는 사용자는 그룹 이름을 변경할 수 있습니다. 사용자가 그룹 이름을 변경하면, 일부 작업이 자동으로 수행됩니다:
- 현재 그룹이 이름이 변경되며, 그룹 ID는 동일하게 유지됩니다.
- 원본 이름을 사용하는 새로운 그룹이 생성되어 원본 그룹 이름에 의존할 수 있는 애플리케이션을 지원합니다.
- 원본 그룹은 새로운 이름이 변경된 그룹의 멤버가 됩니다.
연락처 정보 설정
그룹의 연락처 정보를 지정하여 연락처 지점으로 사용할 수 있습니다. 권한 관리 그룹의 사용자는 권한을 관리할 수 있습니다. 사용자는 그룹이 Foundry Issues를 통해 연락을 받을지 또는 지정된 이메일을 통해 연락을 받을지를 정의할 수 있습니다.
그룹에 대한 연락처 정보를 설정하면 프로젝트 리소스 사이드바에서 그룹을 프로젝트 연락처 지점으로 설정할 수 있습니다. 프로젝트 소유자는 프로젝트 개요의 프로젝트 연락처 지점 섹션에서 추가를 선택하여 프로젝트 연락처 지점을 설정할 수 있습니다.
그룹 권한 적용
그룹 상세 대시보드에서 그룹 권한 보기에 액세스하세요. 관리 권한이 있는 사용자는 이 섹션을 사용하여 개별 사용자보다 그룹에 액세스 권한을 부여하여 권한을 더 투명하고 감사 가능하게 만들 수 있습니다.
그룹 권한 부여는 특히 프로젝트에 대한 권한을 할당할 때 유용합니다. 관리자는 위에서 언급한 프로젝트 액세스 탭을 통해 그룹이 어떤 프로젝트에 액세스할 수 있는지를 볼 수 있기 때문입니다. 기본 역할: 뷰어, 편집자, 소유자 각각에 대해 최소한 세 개의 그룹이 있는 프로젝트 설정을 권장합니다. 프로젝트 기본 역할을 발견자로 설정해야 합니다.
제한된 보기 그룹 이름 정책
그룹 이름을 정책 용어 중 하나로 사용하는 제한된 보기를 생성할 때, 그룹의 영역을 지정하여 그룹 이름과 일치시킬 수 있도록 해야 합니다. 플랫폼 설정 > 그룹 인터페이스에서 그룹 영역을 확인하고 제한된 보기 규칙 에디터 하단에서 영역 이름을 변경할 수 있습니다.
영역
사용자 영역
관리자는 일반적으로 Control Panel에서 외부 영역 제공자(예: SSO, SAML 영역, ADFS)를 설정합니다. 필요한 경우, Foundry의 플랫폼 설정에는 ID 제공자의 내부 구현이 포함되어 있습니다. 이 내부 ID 제공자는 외부 인증 시스템이 적합하지 않은 여러 시나리오에서 사용할 수 있습니다.
그룹 외부 영역
외부 영역은 ADFS와 같은 ID 제공자와 같은 외부 시스템에서 직접 파생된 그룹입니다. 플랫폼 설정 구성은 ID 제공자가 할당된 영역을 정의합니다.
외부 영역은 Foundry에서 수정할 수 없으며 읽기 전용 상태로 존재합니다. 외부 시스템에서만 수행할 수 있는 작업에는 이름 변경, 그룹에 사용자 추가, 속성 수정, 새 그룹 생성이 포함됩니다. 외부 영역 그룹은 Foundry에서 대부분의 권한 부여 및 인증 관련 기능에 이상적입니다: * 재량 및 필수 제어 할당, 및 * 플랫폼에 대한 이진 액세스 활성화(특정 그룹에 속한 사용자 집합 허용 또는 거부 등).
외부 영역 그룹은 읽기 전용 상태이므로, 사용자는 Foundry에서 외부 영역 그룹에 가입 요청을 할 수 없습니다. 그러나 Control Panel에서 외부 영역 그룹에 대한 액세스를 요청하려고 할 때 사용자가 받는 메시지를 구성할 수 있습니다. Control Panel > 인증 > Your SSO > SAML > 관리 > 속성 매핑 > 외부 그룹 관리로 이동하여 외부 영역에 대한 맞춤 메시지 및 URL을 설정하세요. 외부 영역과 동일한 영역에 있는 사용자만 맞춤 메시지 및 URL을 볼 수 있습니다. 아래는 관리자가 내부 Jira 인스턴스로의 메시지와 링크를 추가한 예입니다.
맞춤 메시지가 구성된 후, 외부 영역의 모든 그룹을 볼 때 플랫폼 설정에서 이 메시지를 볼 수 있습니다.
사용자가 이 그룹에 역할을 부여하는 프로젝트에 액세스를 요청하려고 할 때 메시지를 볼 수 있습니다.
마지막으로, 외부 영역 그룹을 로그인 시 그룹 할당에 사용할 수 있습니다. 종종 고객 SSO를 통해 얻은 정보는 로그인 시 다른 그룹으로 사용자를 분류하는 입력이 됩니다.
모든 외부 영역 그룹은 그룹에 할당되어야 합니다. 그룹이 할당되지 않으면 그룹은 그룹에 관계없이 모든 사용자에게 표시됩니다.
그룹 내부 영역
Foundry에서 생성된 그룹은 내부 영역에 할당됩니다.
내부 영역 그룹은 Foundry 내에서 수정할 수 있습니다. 그룹 인터페이스에서 수행할 수 있는 작업에는 이름 변경, 그룹에 사용자 추가, 속성 수정, 새 그룹 생성이 포함됩니다. 내부 영역 그룹은 Foundry 수준 기능에 대한 액세스를 부여하는 데 이상적이며, 서비스 사용자 계정을 내부 영역 그룹으로 번들링하여 허용 목록 또는 거부 목록 용도로 사용할 수 있습니다(예: 사용자 계정 만료 규칙에서 서비스 사용자 계정을 제외하기 위해).
외부 영역 그룹이 사용되는 경우, 사용자를 내부 영역 그룹에 직접 할당하지 않는 것이 중요합니다. 대신, 사용자가 추가/제거되는 외부 영역 그룹을 내부 영역 그룹 내에 중첩해야 합니다.