[ Splunk Cloud ] 사용자 Authentication(인증) 및 Authorization(권한부여)

 

🎠 사용자 접근 🎠

Cloud에 접근하기 위해서는 인증된 credential이 필요하며 

Cloud Admin의 핵심 업무는 사용자의 안전하고 안정적인 액세스이다.

Splunk Cloud에 접근하기 위해, 사용자 계정은

• Splunk 에 의해서 인증되거나, 신뢰할 만한 외부 신원 제공 업체에 의해서 인증되어야 함
• 하나 이상의 Splunk 역할에 의해서 권한을 부여 받아야 함.

Splunk role은 사용자의 권한과 관리 접근 제어를 정의한다.

사용자 계정은 다음을 통해서 만들 수 있다.

• Native Splunk
• LDAP
• SAML

 

🎠 Authentication vs Authorization 🎠

Splunk 접근 제어는 두 개의 configuration file에 의해서 유지되며, 
Cloud Admin은 이를 UI를 통해 관리한다.

 

   ◾️ Authentication(인증) (authentication.conf)

           자신이 누구라고 주장하는 사람을 확인하는 절차

           인증된 Splunk 사용자는 역할을 부여 받아야한다.

 

           🔅 인증 옵션

              -  Splunk Native

              -  LDAP

              -  SAML SSO

           

   ◾️ Authorization(권한부여) (authorization.conf)

          어떤 리소스에 접근할 수 있는지

          어떤 업무를 수행하는지

          어떤 제한이 있는지

 

           🔅 권한 부여 옵션

              -  사용자는 역할에 매핑된다.

              -  역할은 할 수 있는 것을 정의한다.

              -  데이터나 인덱스의 접근 제어

              -  제한 사항 적용

 

 

🎠 Splunk Cloud Authentication Options 🎠

       Splunk Cloud Search Head에서 설정된다.

       사용자 관리자 역할은 change_authentication capability(sc_admin의 기본 설정)가 요구된다.

       Cloud 인증은 DUO Two Factor Authentication(2FA)을 지원하지 않는다.

 

 

 

Search Head UI에서 사용자 계정을 만들고 관리하자

 

Splunk Cloud의 설정을 클릭하면 다음과 같은 화면이 나온다.

여기서 사용자를 클릭하면

모든 사용자 관리 및 사용자 계정을 생성할 수 있고

역할을 클릭하면

모든 사용자 역할의 capability를 관리하고 설정할 수 있다.

native Splunk와 LDAP 또는 SAML 사용자를 섞어 사용할 때는

Splunk Native 인증이 우선순위를 차지하고

지역 권한이 적용될 수 있다.

Splunk Cloud 는 접근이 제한되어 있기 때문에 sc_admin은 

Splunk native User의 편집과 삭제만 할 수 있다.

LDAP 및 SAML user의 Time zone과 기본 앱을 변경

• 다른 설정들은 역할 상속 및 IdP integration에 의해 결정된다.

 

사용자를 생성해보자(Splunk Native Authentication)

설정해야할 것들:

• 사용자 이름 및 비밀번호
• 시간대 설정
• 기본 앱 설정
• 역할 설정
• 비밀번호 변경 필요

Splunk Cloud에는 2가지 추가적인 역할이 있다.

• sc_admin ( cloud administrator )
• apps ( application management )

 

🍀 사용자 생성 과정 🍀 

1. 설정에서 사용자 클릭

 

2. 우측 상단의 새로 만들기 사용자 클릭

 

 

3. 눈치껏 다양한 정보와 설정을 입력하고 저장