이 페이지에서는 커스텀 액세스 수준에서 CEL(Common Expression Language) 표현식을 빌드하는 데 사용되는 객체 및 속성을 자세히 설명합니다. 예시가 포함되어 있습니다.
CEL에 대한 자세한 내용은 CEL 언어 정의를 참조하세요.
이 페이지에는 다음 섹션이 포함되어 있습니다.
객체
Access Context Manager는 액세스 수준 속성을 포함하는 4개의 객체를 제공합니다.
객체 | |
---|---|
origin
|
요청의 출처를 식별하는 속성을 포함합니다. |
request.auth
|
요청의 인증 및 승인 측면을 식별하는 속성을 포함합니다. |
levels
|
다른 액세스 수준에 대한 종속 항목을 정의하는 속성을 포함합니다. |
device
|
요청이 시작된 기기를 설명하는 속성을 포함합니다. |
origin
속성
이 섹션에는 origin
객체에서 지원하는 속성이 나와 있습니다.
속성 | |||||
---|---|---|---|---|---|
ip
|
|
||||
region_code
|
|
request.auth
속성
이 섹션에는 request.auth
객체에서 지원하는 속성이 나와 있습니다.
속성 | |||||
---|---|---|---|---|---|
principal
|
|
levels
속성
이 섹션에는 levels
객체에서 지원하는 속성이 나와 있습니다.
속성 | |||||
---|---|---|---|---|---|
level name
|
|
device
속성
이 섹션에는 device
객체에서 지원하는 속성이 나와 있습니다.
속성 | |||||
---|---|---|---|---|---|
encryption_status
|
|
||||
is_admin_approved_device
|
|
||||
is_corp_owned_device
|
|
||||
is_secured_with_screenlock
|
|
||||
os_type
|
|
||||
vendors
|
|
||||
verified_chrome_os
|
|
함수
Access Context Manager는 커스텀 액세스 수준의 CEL 표현식에 사용할 수 있도록 다음 기능을 제공합니다.
함수 | |||||
---|---|---|---|---|---|
inIpRange(address, [subnets])
|
|
||||
device.versionAtLeast(minVersion)
|
|
||||
certificateBindingState(origin, device)
|
|
CEL 표현식 예시
이 섹션에는 커스텀 액세스 수준을 만드는 데 사용되는 CEL 표현식의 예시가 포함되어 있습니다.
예시 1
device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)
이 예시는 요청을 허용하기 위해 다음 조건을 충족해야 하는 액세스 수준을 나타냅니다.
요청이 시작된 기기가 암호화됩니다.
다음 중 하나 이상에 해당합니다.
요청이 미국에서 시작되었습니다.
요청이 시작된 기기는 도메인 관리자가 승인합니다.
예시 2
(device.os_type == OsType.DESKTOP_WINDOWS && device.is_corp_owned_device) || (device.os_type == OsType.DESKTOP_MAC && device.is_admin_approved_device && device.versionAtLeast("10.11.0"))
이 예시는 요청을 허용하기 위해 다음 조건을 충족해야 하는 액세스 수준을 나타냅니다.
다음 중 하나에 해당합니다.
요청이 시작된 기기는 데스크톱 Windows 운영체제를 사용하며 조직에서 소유합니다.
요청이 시작된 기기는 데스크톱 Mac 운영체제를 사용하며 도메인 관리자가 승인했으며 MacOS 10.11 이상을 사용합니다.
예시 3
(certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE)
이 예시는 요청을 허용하기 위해 다음 조건을 충족해야 하는 액세스 수준을 나타냅니다.
certificateBindingState
확장 프로그램 함수는 요청 시 제공되는 인증서가 기기가 엔드포인트 확인에 등록될 때 등록된 기기 인증서 중 하나와 일치하는지 확인합니다.