카드홀더 광역 관리를 시작하기 전에, 글로벌 카드홀더 관리를 사용할 때 적용되는 규칙 및 제한을 읽어 보십시오.
로컬 및 글로벌 파티션 관련 규칙
- 공유 게스트는 호스트를 하나만 가질 수 있습니다. 시스템별로 GCS 역할 인스턴스 하나만 허용됩니다.
- 글로벌 파티션은 공유 게스트에서는 수정할 수 없지만, 멤버는 수정할 수 있습니다. 공유 게스트가 실제로 수정할 수 있는 것은 GCS 역할에 할당된 사용자의 권한에 따라 달라집니다.
- 시스템은 자신이 소유한 것만 공유할 수 있습니다. 2단계 공유는 허용되지 않습니다. 이 규칙이 주는 효과는 호스트 시스템에서 수행하지 않는 한, 글로벌 엔터티를 포함하는 로컬 파티션은 글로벌 파티션으로 변환할 수 없다는 것입니다.
- 로컬 엔터티를 글로벌 파티션에 추가하면 로컬 소유자(공유 게스트)의 해당 엔터티 소유권이 파티션 소유자(공유 호스트)로 이전됩니다.
- 공유 게스트에서 글로벌 엔터티를 삭제하면 공유 호스트에서도 삭제되지만, 엔터티가 다른 글로벌 파티션에도 속하는 경우는 예외입니다. 이 경우 엔터티의 멤버십만 최초 파티션에서 제거됩니다.
로컬 및 글로벌 엔터티 관련 규칙
- 멤버십이 글로벌 파티션에 속한다면 엔터티는 글로벌이 됩니다. 따라서 카드홀더는 부모 카드홀더 그룹이 글로벌이라고 해서 자동으로 글로벌이 되지는 않습니다.
- 로컬 출입 규칙은 로컬과 글로벌 카드홀더에 동일하게 적용할 수 있습니다. 출입 규칙은 공유할 수 없습니다. 따라서 로컬 관리자는 언제나 로컬 시설 보안을 완벽하게 통제할 수 있습니다.
- 글로벌 카드홀더 및 그룹은 로컬 카드홀더 그룹의 멤버가 될 수 있습니다.
- 로컬 카드홀더 및 그룹은 로컬 카드홀더 그룹의 멤버가 될 수 있습니다. 이 규칙의 예외는 두 엔터티가 동일한 시스템에 속하는 경우입니다. 이 경우에는 로컬 카드홀더를 공유할 수 없지만, 카드홀더 그룹은 공유할 수 있습니다.
- 글로벌 및 로컬 출입인증 모두 글로벌 카드홀더에 할당할 수 있습니다.
- 글로벌 출입인증은 로컬 카드홀더에 할당할 수 없습니다.
- 사용자 지정 카드 형식을 사용하는 글로벌 출입인증은 공유 게스트에서 사용하고 편집할 수 있습니다. 하지만 출입인증 데이터는 대응하는 사용자 지정 카드 형식(XML 파일)이 사용자 지정 카드 형식 편집기 도구를 이용해 공유 게스트에 정의된 경우에만 표시됩니다.
최상의 방법: 출입 규칙은 항상 개별 카드홀더가 아닌 카드홀더 그룹에 할당하는 것이 좋습니다. 이렇게 하려면 카드홀더를 부모 카드홀더 그룹과 함께 공유해야 합니다. 이 방법을 사용할 수 없다면, 글로벌 카드홀더에 대한 로컬 카드홀더 그룹을 만들어야 합니다.
글로벌 사용자 지정 필드 및 데이터 유형 관련 규칙
- 글로벌 엔터티에 정의된 사용자 지정 필드와 데이터 유형은 글로벌 엔터티 공유 시 자동으로 공유됩니다.
- 글로벌 사용자 지정 필드 및 데이터 유형 정의는 공유 게스트에서 수정할 수 없습니다.
- 글로벌 및 로컬 사용자 지정 필드는 개별 항목으로 유지됩니다. 이러한 필드는 소유자, 즉 해당 필드를 정의한 시스템을 기준으로 구분합니다.
- 글로벌 및 로컬 사용자 지정 필드와 데이터 유형 정의는 동일한 이름을 가질 수 없습니다. 사용자 지정 필드 또는 데이터 유형에 동일한 이름을 사용하면 카드홀더 및 크리덴셜의 동기화가 실패하게 됩니다.
- 글로벌 데이터 유형을 이용해 로컬 사용자 지정 필드를 정의할 수는 없습니다.
- 글로벌 엔터티의 사용자 지정 필드 값은 공유 게스트에서 수정할 수 있습니다.
- 글로벌 사용자 지정 필드는 로컬 엔터티에도 적용되지만, 값은 로컬로 유지됩니다.
- 로컬 사용자 지정 필드는 글로벌 엔터티에도 적용되지만, 값은 로컬로 유지됩니다.
- 게스트 시스템이 글로벌 파티션 공유를 중지하면, 공유 글로벌 엔터티의 모든 로컬 사본과 로컬 엔터티의 사용자 지정 필드 값은 삭제됩니다.
최상의 방법: 조직에서 GCM을 구현하고 싶다면, 공유 호스트의 글로벌 엔터티에 대한 모든 사용자 지정 필드와 데이터 유형을 정의하는 것이 좋습니다.
Federation™ 및 글로벌 엔터티 관련 규칙
- 공유 호스트가 자신의 공유 게스트도 페더레이션한다면, 공유 게스트에 속한 로컬 엔터티만 페더레이션됩니다. 공유하는 엔터티는 공유 호스트에서 페더레이션되지 않습니다.
- Federation™ 호스트이기도 한 공유 호스트는 페더레이션된 엔터티를 소유하지 않으며, 따라서 자신이 페더레이션하는 엔터티를 글로벌 파티션에 추가해 공유할 수는 없습니다. 엔터티는 적법한 소유자만 공유할 수 있습니다. 페더레이션된 엔터티를 공유하려면, 페더레이션된 시스템이 Federation™ 호스트의 공유 게스트여야 합니다. 이 경우 Federation™ 호스트는 페더레이션된 엔터티를 공유할 권한을 얻게 됩니다.
- 세 번째 시스템을 페더레이션하는 공유 게스트는 페더레이션된 엔터티의 소유자가 아니며, 따라서 자신의 페더레이션된 엔터티를 공유 호스트와 공유하지 못합니다.
- 공유 게스트를 다른 시스템이 페더레이션했다면, 로컬 및 글로벌 엔터티 모두 Federation™ 호스트에서 페더레이션된 엔터티로 표시됩니다.
Active Directory 및 글로벌 엔터티 관련 규칙
- Active Directory에서 가져온 카드홀더와 카드홀더 그룹은 공유 호스트의 글로벌 파티션에 추가할 수 있습니다.
- 공유 게스트의 로컬인 Active Directory에서 가져온 카드홀더와 카드홀더 그룹은 글로벌 파티션에 추가할 수 없습니다. Active Directory와 공유 호스트 모두 공유 카드홀더의 소유자가 될 수 없기 때문입니다.
- Active Directory에서 가져온 글로벌 카드홀더와 카드홀더 그룹은 해당 항목의 소유자인 Directory 서비스를 통해서만 수정할 수 있습니다.
경고:
공유 게스트의 Active Directory에서 가져온 글로벌 카드홀더와 카드홀더 그룹은 수정할 수 있지만, 이러한 변경사항은 영구히 적용되지 않습니다. 공유 호스트가 Active Directory와 동기화하면 변경사항이 취소됩니다.
최상의 방법: 모든 카드홀더 데이터 항목을 중앙 집중화 해야 한다면, 기업용 Active Directory에서 카드홀더를 가져온 시스템이 공유 호스트 역할을 하며 모든 수정사항은 Directory 서비스를 이용해 적용해야 합니다.