역할 및 권한
SecureCodingHub는 두 가지 역할로 각 조직 내에서 역할 기반 액세스 제어를 사용합니다. 각 역할에는 관리자 화면과 학습자 경험에 걸쳐 정의된 권한 세트가 있습니다.
역할 개요
조직의 모든 사용자는 두 가지 역할 중 하나에 할당됩니다. 내부 열거 값은 org_admin 및 learner입니다. 관리자 UI는 이를 아래의 읽기 쉬운 이름으로 표시합니다.
| 역할 | 설명 |
|---|---|
| 조직 관리자 | 조직 수준 관리자입니다. 사용자, 팀, 과제, 맞춤형 과정, SSO, SCIM, SCORM, API 키, 웹훅, 감사 로그, 컴플라이언스 보고서 및 조직 설정을 관리합니다. 관리자 대시보드에 액세스합니다. |
| 학습자 | 모든 개발자를 위한 표준 사용자 역할입니다. 연습 챌린지와 학습 시나리오를 완료하고, 개인 진행 상황을 추적하고, XP를 획득하며, 자신의 스택 설정을 관리합니다. |
권한 매트릭스
다음 표는 각 역할에 사용할 수 있는 권한을 보여줍니다:
| 권한 | 조직 관리자 | 학습자 |
|---|---|---|
| 관리자 대시보드 보기 | ✓ | ✗ |
| 사용자 관리 (추가, 편집, 제거) | ✓ | ✗ |
| 팀 관리 | ✓ | ✗ |
| 과제 생성 및 관리 | ✓ | ✗ |
| 맞춤형 과정 구축 및 관리 | ✓ | ✗ |
| SSO 구성 | ✓ | ✗ |
| SCIM 프로비저닝 구성 | ✓ | ✗ |
| SCORM 패키지 생성 | ✓ | ✗ |
| API 키 관리 | ✓ | ✗ |
| 웹훅 엔드포인트 관리 | ✓ | ✗ |
| 감사 로그 보기 | ✓ | ✗ |
| 컴플라이언스 대시보드 보기 | ✓ | ✗ |
| 컴플라이언스 / 교육 보고서 생성 | ✓ | ✗ |
| 조직 설정 편집 (리더보드, 임계값) | ✓ | ✗ |
| 연습 챌린지 완료 | ✓ | ✓ |
| 학습 시나리오 완료 | ✓ | ✓ |
| 자신의 진행 상황 및 과제 보기 | ✓ | ✓ |
| 리더보드 보기 (조직이 허용하는 경우) | ✓ | ✓ |
역할 변경
조직 관리자는 조직 내에서 학습자를 조직 관리자으로 승격하거나 조직 관리자를 학습자로 강등할 수 있습니다. 역할 변경은 사용자의 다음 요청에서 즉시 적용됩니다. 모든 역할 변경은 작업자, 대상 및 타임스탬프와 함께 감사 로그에 기록됩니다.
모범 사례
조직 관리자 최소화
조직당 조직 관리자 수를 2~3명으로 유지합니다. 이는 우발적인 잘못된 구성의 표면적을 제한하고 감사 추적을 깨끗하게 유지합니다.
개발자에게는 학습자
모든 개발자에게 학습자 역할을 사용합니다. 그들은 관리 기능 없이 교육 콘텐츠, 진행 상황 추적 및 스택 설정에 대한 전체 액세스 권한을 얻습니다.
조직을 위한 역할 선택
교육 플랫폼 내부의 역할 설계는 운영 시스템 내부의 역할 설계보다 위험이 낮게 느껴지며, 그것이 바로 부주의하게 수행되는 경향이 있는 이유입니다. 교육 플랫폼은 누가 무엇을 알고 있는지, 어떤 팀이 어떤 주제에 가장 약한지, 어떤 엔지니어가 필수 컴플라이언스 교육을 완료했는지에 대한 데이터를 보유합니다. 그 데이터는 경쟁 정보로서와 감사 대화의 증거로서 그 자체로 민감하며, 역할 모델은 이를 반영해야 합니다.
조직 관리자 대 팀 리드에게 위임
성장하는 조직의 유혹은 모든 엔지니어링 매니저를 조직 관리자로 만들어 티켓을 제출하지 않고 자신의 팀을 관리할 수 있도록 하는 것입니다. 그 패턴의 비용은 나중에 나타납니다. 조직 관리자는 자신의 팀뿐만 아니라 모든 팀의 데이터를 볼 수 있으며, 이는 매니저가 동료 팀의 진행 상황을 그 동료의 인지 없이 볼 수 있음을 의미합니다. 그들은 또한 팀 간에 사용자를 재할당하고, 자신이 생성하지 않은 과제의 마감일을 변경하고, SSO 구성을 수정할 수 있습니다. 대부분의 조직에서 두세 명의 조직 관리자가 올바른 상한선입니다 — 일반적으로 엔지니어링 또는 AppSec 책임자와 한두 명의 지정된 관리자입니다.
일상적인 팀 수준 운영의 경우, 더 나은 패턴은 팀 리드를 학습자로 유지하고 자신의 팀에 대한 대시보드 필터를 제공하는 것입니다. 그들은 필요하지 않은 구성 권한 없이 필요한 가시성을 얻습니다. 팀 리드가 팀에 대한 과제를 생성해야 하는 경우, 조직 관리자는 몇 분 안에 할 수 있습니다 — 필요 이상의 더 넓은 그룹에 상시 관리 액세스 권한을 부여하는 장기 비용보다 훨씬 저렴합니다.
최소 권한 및 감사 로깅
최소 권한 원칙은 어디에서나 그렇듯이 교육 플랫폼 내에서도 적용됩니다. 모든 추가 조직 관리자는 침해되면 공격자가 교육 데이터를 읽고, SCIM 구성을 수정하고, 자신의 외부 계정에 조용히 관리자 액세스를 부여할 수 있도록 하는 자격 증명 하나입니다. 여기서 실용적인 최소 권한은 신입 사원을 기본적으로 학습자로 설정하고, 운영 필요가 명확할 때만 승격하고, 누군가 역할을 변경할 때 신속하게 강등하는 것을 의미합니다.
역할 변경 및 중요한 관리 작업은 운영 시스템이 권한 있는 작업을 로깅하는 것과 동일한 이유로 타임스탬프와 작업자 신원과 함께 기록됩니다. 무언가 잘못될 때 — 사용자가 그러지 말았어야 했는데 제거되거나, 감사 며칠 전에 과제가 변경되거나, 팀이 실수로 삭제될 때 — 감사 로그는 무엇이 일어났는지 재구성할 수 있게 해주는 아티팩트입니다. 관리자 권한을 부여할 때 이를 염두에 두세요. 감사 추적은 결국 누군가에 의해 읽힐 것이며, 작은 관리자 명단이 로그를 읽을 수 있게 만들기 때문입니다. 이러한 역할 내부의 사람들을 관리하는 자세한 내용은 사용자 관리를 참조하세요.