463
11
장
보안
수 있다. 예를 들어 사람들을 그룹으로 나누거나 역할을 할당하는 것이 일반적이다. 이 정보를
사용하면 그들이 어떤 일을 할 수 있는지 이해할 수 있다. 따라서 헬프데스크 애플리케이션의
경우, 예를 들어
STAFF
(직원 ) 같은 특정 역할이 있는 권한 주체에게만 액세스를 허용할 수 있
다. 하지만 특정 자원이나 엔드포인트에 대한 액세스를 허용 (또는 거부 )하는 것 외에 나머지
는 마이크로서비스 자체에 맡겨야 한다. 즉, 어떤 작업을 허용할 것인지에 대해서는 마이크로
서비스가 추가적인 결정을 내려야 한다.
다시 헬프데스크 애플리케이션으로 돌아가서 어떤 직원이라도 모든 세부 정보를 볼 수 있도
록 허용해야 할까? 아마도 우리는 직장에서 다양한 역할을 맡게 될 것이다. 예를 들어
CALL
_
CENTER
그룹의 보안 책임자는 결제 세부 정보를 제외한, 고객에 대한 모든 정보를 볼 수 있다.
이 권한 주체는 환불을 처리할 수도 있지만 그 환불 금액은 제한이 있을 수 있다. 하지만
CALL
_
CENTER
_
TEAM
_
LEADER
역할을 가진 사람은 더 큰 금액을 환불할 수 있을 것이다.
이러한 결정은 해당 마이크로서비스에서 이뤄져야 한다. 필자는 사람들이
CALL
_
CENTER
_
50
_
DOLLAR
_
REFUND
와 같이 지나치게 세분화된 역할을 사용해 끔찍한 방식으로
ID
제공자가 제공
하는 다양한 속성을 사용하는 것을 봤다. 이때 마이크로서비스 기능 일부분에 대한 특정 정보
가 디렉터리 서비스에 유입된다. 이는 서비스가 어떻게 작동하는지에 ...