인프라 구성

Contexa 인프라 레이어에 대한 상세 속성 참조 - 캐싱, Redis pub/sub 및 스트림, Kafka 이벤트 토픽, OpenTelemetry 관측성. 이 속성들은 분산 배포에서 Contexa가 외부 시스템과 통신하는 방식을 제어합니다.

분산 배포 활성화 (PoC / 엔터프라이즈 시연) — 분산 모드가 필요하면 contexa init --distributed 를 실행하세요. CLI 가 자동 처리합니다:

  1. 의존성spring-kafka, redisson 을 빌드 파일에 자동 추가
  2. 인프라docker-compose.yml 에 PostgreSQL + Ollama + Redis + Kafka + Zookeeper 정의
  3. 설정application.yml 의 Contexa 블록에 contexa.infrastructure.mode: DISTRIBUTED + Redis/Kafka 호스트 자동 추가

이 페이지의 속성들은 분산 모드 활성화 후 세부 튜닝에 사용합니다. 운영 배포는 Kubernetes + Helm 을 권장합니다.

Contexa 코어 속성 (요약)

최상위 ContexaProperties 클래스(접두사 contexa)는 인프라 모드, Redis, Kafka, 관측성의 마스터 스위치를 포함합니다. 이 속성들은 구성 개요 페이지에 완전히 문서화되어 있습니다. 인프라 관련 주요 항목은 다음과 같습니다:

속성 타입 기본값 설명
contexa (마스터)
contexa.enabled boolean true Contexa 자동 구성 전체를 켜고 끄는 최상위 마스터 스위치입니다. false 면 모든 하위 모듈이 비활성화됩니다.
contexa.infrastructure
.mode enum STANDALONE STANDALONE (인메모리) 또는 DISTRIBUTED (Redis/Kafka)
.redis.enabled boolean true 분산 캐싱 및 pub/sub을 위한 Redis 활성화
.kafka.enabled boolean true Distributed 모드에서 이벤트 스트리밍을 위한 Kafka 활성화
.observability.enabled boolean true 관측 인프라 활성화
.observability.open-telemetry-enabled boolean true 분산 추적을 위한 OpenTelemetry 활성화

전체 ContexaProperties 참조는 구성 개요를 확인하세요.

캐시 속성

contexa.cache 아래의 속성으로, ContexaCacheProperties에 바인딩됩니다. Identity, 정책, 행동 데이터를 위해 Contexa 전반에서 사용되는 다중 계층 캐싱 하위 시스템을 제어합니다. 로컬(Caffeine), Redis, 하이브리드 캐싱 전략과 선택적 pub/sub 기반 캐시 무효화를 지원합니다.

일반 설정

속성 타입 기본값 설명
contexa.cache
.type CacheType REDIS LOCAL, REDIS, 또는 HYBRID (L1 로컬 + L2 Redis)
.local.max-size int 1000 로컬(L1) 캐시의 최대 항목 수
.local.default-ttl-seconds int 60 로컬 캐시 항목의 기본 TTL (초)
.redis.default-ttl-seconds int 300 Redis 캐시 항목의 기본 TTL (초)
.redis.key-prefix String contexa:cache: 모든 Redis 캐시 키의 접두사 (네임스페이스 격리)
.pubsub.enabled boolean true 클러스터 노드 간 pub/sub 캐시 무효화 활성화
.pubsub.channel String contexa:cache:invalidation 캐시 무효화 브로드캐스트를 위한 pub/sub 채널

도메인별 TTL

각 캐시 도메인은 로컬 및 Redis 계층에 대해 독립적인 TTL 값을 가질 수 있습니다. 이를 통해 세밀한 제어가 가능합니다 - 예를 들어, 자주 변경되는 정책 데이터는 짧은 TTL을 사용하고 안정적인 HCAD 기준선 데이터는 긴 TTL을 사용할 수 있습니다.

속성 타입 기본값 설명
contexa.cache.domains
.users TtlConfig local: 3600 / redis: 3600 사용자 Identity 및 프로필 데이터
.roles TtlConfig local: 14400 / redis: 14400 역할 정의 및 권한 매핑
.permissions TtlConfig local: 28800 / redis: 28800 권한 부여 및 접근 제어 항목
.groups TtlConfig local: 14400 / redis: 14400 그룹 멤버십 및 계층 데이터
.policies TtlConfig local: 30 / redis: 300 XACML/ABAC 정책 정의 (짧은 로컬 TTL)
.soar TtlConfig local: 900 / redis: 900 SOAR 플레이북 및 자동 응답 데이터
.hcad TtlConfig local: 86400 / redis: 86400 HCAD 행동 기준선 (장기 프로필)

각 도메인 항목은 local-ttl-secondsredis-ttl-seconds 필드를 가진 TtlConfig 객체입니다. 각 도메인을 독립적으로 재정의할 수 있습니다:

YAML
contexa:
  cache:
    type: HYBRID
    local:
      max-size: 5000
      default-ttl-seconds: 120
    redis:
      default-ttl-seconds: 600
      key-prefix: "myapp:contexa:cache:"
    pubsub:
      enabled: true
      channel: "contexa:cache:invalidation"
    domains:
      users:
        local-ttl-seconds: 1800
        redis-ttl-seconds: 3600
      policies:
        local-ttl-seconds: 15
        redis-ttl-seconds: 60
      hcad:
        local-ttl-seconds: 43200
        redis-ttl-seconds: 86400

Bridge 속성

BridgePropertiescontexa.bridge에 바인딩됩니다. 외부(레거시) 인증 시스템과 Contexa 사이의 사용자/권한/위임/세션 정보를 양방향으로 매핑하는 브리지 계층을 제어합니다. SecurityContext 추출 키, 세션 attribute 후보, request attribute 키, HTTP 헤더 이름, 동기화 정책, 신뢰 프록시 목록을 정의합니다.

Bridge 핵심 토글

속성타입기본값설명
contexa.bridge.enabledbooleantrueBridge 계층 전체를 켜고 끄는 master switch입니다.
contexa.bridge.populate-security-contextbooleantrue외부 principal 정보를 Spring SecurityContext 로 채울지 여부입니다.

동기화 (Sync)

속성타입기본값설명
contexa.bridge.sync.enabledbooleantrue외부 사용자 정보의 주기적 동기화를 활성화합니다.
contexa.bridge.sync.min-refresh-interval-secondslong60동일 principal 에 대한 동기화 호출 최소 간격(초)입니다. throttle 역할.
contexa.bridge.sync.synthetic-email-domainStringshadow.contexa.local외부에서 이메일이 제공되지 않을 때 합성 이메일을 만들기 위한 도메인 suffix 입니다.

신뢰 프록시 (Network)

속성타입기본값설명
contexa.bridge.network.trusted-proxy-validation-enabledbooleantrueX-Forwarded-* 헤더를 신뢰하기 전에 reverse proxy 출처 검증을 수행할지 여부입니다.
contexa.bridge.network.trusted-proxiesList<String>[] (빈 목록)신뢰하는 reverse proxy IP 또는 CIDR 목록입니다. 비어 있으면 검증이 활성화되어도 헤더는 신뢰되지 않습니다.

Authentication SecurityContext 키

contexa.bridge.authentication.security-context 아래의 속성으로, Authentication.SecurityContext 에 바인딩됩니다. 외부 인증 토큰의 claim/attribute 에서 표시 이름·principal 타입·인증 방식·assurance·MFA 상태·인증 시각·기타 추가 attribute 를 추출할 때 시도하는 키 목록을 정의합니다. 첫 번째 매칭 키의 값이 사용됩니다.

속성타입기본값설명
contexa.bridge.authentication.security-context.enabledbooleantrueSecurityContext 추출 동작을 활성화합니다.
contexa.bridge.authentication.security-context.display-name-keysList<String>[displayName, name, fullName, userName, username, preferred_username]표시 이름 추출 시 시도하는 키 목록입니다.
contexa.bridge.authentication.security-context.principal-type-keysList<String>[principalType, userType, actorType, token_use]principal 타입(user / service / agent 등) 추출 키 목록입니다.
contexa.bridge.authentication.security-context.authentication-type-keysList<String>[authenticationType, authMethod, loginMethod, method, factorType]인증 방식 추출 키 목록입니다.
contexa.bridge.authentication.security-context.authentication-assurance-keysList<String>[authenticationAssurance, authLevel, loa, acr]인증 assurance 레벨(LoA/ACR) 추출 키 목록입니다.
contexa.bridge.authentication.security-context.mfa-keysList<String>[mfa, mfaVerified, mfaCompleted, secondFactorVerified, amr]MFA 완료 여부 추출 키 목록입니다.
contexa.bridge.authentication.security-context.auth-time-keysList<String>[authenticationTime, authenticatedAt, loginTime, issuedAt, auth_time, iat]인증 시각 추출 키 목록입니다.
contexa.bridge.authentication.security-context.attribute-keysList<String>[organizationId, orgId, tenantId, department, team, email, loginIp, authenticationType, authenticationAssurance, mfaVerified, mfaCompleted, authenticatedAt, loginTime, iss, aud, azp, scope, scp, amr, acr]SecurityContext 에 보존할 추가 attribute 키 목록입니다 (20개 기본).

Authentication Session 키

contexa.bridge.authentication.session 아래의 속성으로, 공통 Bridge.Session 에 바인딩됩니다. 외부 시스템이 HTTP 세션의 attribute 로 인증된 사용자 객체를 보관할 때, Contexa 가 어떤 attribute 이름을 시도하고, 그 객체에서 어떤 키로 principal id, 표시 이름, 권한, 인증 방식, MFA 상태, 인증 시각, 추가 attribute 를 추출할지 정의합니다.

속성타입기본값설명
contexa.bridge.authentication.session.enabledbooleantrueHTTP 세션 기반 사용자 추출을 활성화합니다.
contexa.bridge.authentication.session.attributeString"" (빈 문자열)사용자 객체가 들어 있는 세션 attribute 이름을 명시적으로 지정합니다. 비어 있고 auto-discover 가 true 면 후보 목록을 순회합니다.
contexa.bridge.authentication.session.attribute-candidatesList<String>[currentUser, authenticatedUser, sessionUser, userSession, principal, user, securityUser, authenticatedPrincipal]auto-discover 모드에서 시도하는 세션 attribute 후보 이름 목록입니다.
contexa.bridge.authentication.session.auto-discoverbooleantrueattribute 후보 목록을 자동 탐색할지 여부입니다.
contexa.bridge.authentication.session.object-type-nameString"" (빈 문자열)발견된 객체가 특정 클래스 이름과 일치해야 하는 경우 그 fully-qualified 이름을 지정합니다 (선택).
contexa.bridge.authentication.session.principal-id-keysList<String>[userId, username, id, loginId, email]세션 객체에서 principal 식별자를 읽을 때 시도하는 키 목록입니다.
contexa.bridge.authentication.session.display-name-keysList<String>[displayName, name, fullName, userName, preferred_username]표시 이름 추출 키 목록입니다.
contexa.bridge.authentication.session.authorities-keysList<String>[roles, authorities, permissions, scopes]권한·역할·스코프 추출 키 목록입니다.
contexa.bridge.authentication.session.authentication-type-keysList<String>[authenticationType, authMethod, loginMethod]인증 방식 추출 키 목록입니다.
contexa.bridge.authentication.session.authentication-assurance-keysList<String>[authenticationAssurance, authLevel, loa]인증 assurance 레벨 추출 키 목록입니다.
contexa.bridge.authentication.session.mfa-keysList<String>[mfa, mfaVerified, mfa_verified]MFA 완료 여부 추출 키 목록입니다.
contexa.bridge.authentication.session.auth-time-keysList<String>[authenticationTime, authenticatedAt, loginTime]인증 시각 추출 키 목록입니다.
contexa.bridge.authentication.session.attribute-keysList<String>[department, organizationId, orgId, authMethod, loginIp, loginTime]SecurityContext 에 보존할 추가 attribute 키 목록입니다.

Authentication RequestAttributes 키

contexa.bridge.authentication.request-attributes 아래의 속성으로, 공통 Bridge.RequestAttributes 에 바인딩됩니다. 외부 필터가 사용자 객체를 HttpServletRequest attribute 로 보관할 때 어떤 attribute 후보를 시도할지, 그 객체에서 어떤 키로 정보를 읽을지, Contexa 가 다시 request attribute 로 노출할 때 어떤 평면 key 이름을 쓸지를 정의합니다.

탐색 / 추출 (공통 13)

속성타입기본값설명
contexa.bridge.authentication.request-attributes.enabledbooleantruerequest-attribute 기반 사용자 추출을 활성화합니다.
contexa.bridge.authentication.request-attributes.attributeString"" (빈 문자열)사용자 객체가 들어 있는 request attribute 이름을 명시적으로 지정합니다.
contexa.bridge.authentication.request-attributes.attribute-candidatesList<String>[currentUser, authenticatedUser, requestUser, principal, user, authenticatedPrincipal, authUser]auto-discover 모드에서 시도하는 request attribute 후보 이름 목록입니다.
contexa.bridge.authentication.request-attributes.auto-discoverbooleantrueattribute 후보 목록을 자동 탐색할지 여부입니다.
contexa.bridge.authentication.request-attributes.object-type-nameString"" (빈 문자열)발견된 객체가 일치해야 하는 fully-qualified 클래스 이름(선택)입니다.
contexa.bridge.authentication.request-attributes.principal-id-keysList<String>[userId, username, id, loginId, email]principal 식별자 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.display-name-keysList<String>[displayName, name, fullName, userName, preferred_username]표시 이름 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.authorities-keysList<String>[roles, authorities, permissions, scopes]권한·역할·스코프 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.authentication-type-keysList<String>[authenticationType, authMethod, loginMethod]인증 방식 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.authentication-assurance-keysList<String>[authenticationAssurance, authLevel, loa]인증 assurance 레벨 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.mfa-keysList<String>[mfa, mfaVerified, mfa_verified]MFA 완료 여부 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.auth-time-keysList<String>[authenticationTime, authenticatedAt, loginTime]인증 시각 추출 키 목록입니다.
contexa.bridge.authentication.request-attributes.attribute-keysList<String>[department, organizationId, orgId, authMethod, loginIp, loginTime]SecurityContext 에 보존할 추가 attribute 키 목록입니다.

평면 인증 attribute 키 (flat-*, 8)

Contexa 가 request attribute 로 다시 평탄화해서 노출할 때 사용하는 단일 키 이름입니다. 다운스트림 컴포넌트가 이 키로 직접 읽을 수 있습니다.

속성기본값설명
contexa.bridge.authentication.request-attributes.flat-principal-idctxa.auth.principalIdprincipal 식별자.
contexa.bridge.authentication.request-attributes.flat-display-namectxa.auth.displayName표시 이름.
contexa.bridge.authentication.request-attributes.flat-authenticatedctxa.auth.authenticated인증 여부 boolean.
contexa.bridge.authentication.request-attributes.flat-authoritiesctxa.auth.authorities권한 목록.
contexa.bridge.authentication.request-attributes.flat-authentication-typectxa.auth.type인증 방식.
contexa.bridge.authentication.request-attributes.flat-authentication-assurancectxa.auth.assurance인증 assurance 레벨.
contexa.bridge.authentication.request-attributes.flat-mfa-completedctxa.auth.mfaCompletedMFA 완료 여부.
contexa.bridge.authentication.request-attributes.flat-authentication-timectxa.auth.time인증 시각.

Authorization 매핑 키 (7)

속성기본값설명
contexa.bridge.authentication.request-attributes.authorization-effectctxa.authz.effect인가 결정 effect (ALLOW/DENY).
contexa.bridge.authentication.request-attributes.privilegedctxa.authz.privileged특권 흐름 여부.
contexa.bridge.authentication.request-attributes.policy-idctxa.authz.policyId적용된 정책 ID.
contexa.bridge.authentication.request-attributes.policy-versionctxa.authz.policyVersion정책 버전.
contexa.bridge.authentication.request-attributes.scope-tagsctxa.authz.scopeTags스코프 태그.
contexa.bridge.authentication.request-attributes.effective-rolesctxa.authz.roles유효 역할 집합.
contexa.bridge.authentication.request-attributes.effective-authoritiesctxa.authz.authorities유효 권한 집합.

Delegation 매핑 키 (11)

속성기본값설명
contexa.bridge.authentication.request-attributes.delegatedctxa.delegation.enabled위임 활성 여부.
contexa.bridge.authentication.request-attributes.agent-idctxa.delegation.agentId위임받은 agent ID.
contexa.bridge.authentication.request-attributes.objective-idctxa.delegation.objectiveId위임 objective ID.
contexa.bridge.authentication.request-attributes.objective-familyctxa.delegation.objectiveFamilyobjective 계열/타입.
contexa.bridge.authentication.request-attributes.objective-summaryctxa.delegation.objectiveSummaryobjective 요약.
contexa.bridge.authentication.request-attributes.allowed-operationsctxa.delegation.allowedOperations허용 operation 목록.
contexa.bridge.authentication.request-attributes.allowed-resourcesctxa.delegation.allowedResources허용 resource 목록.
contexa.bridge.authentication.request-attributes.approval-requiredctxa.delegation.approvalRequired승인 필요 여부.
contexa.bridge.authentication.request-attributes.privileged-export-allowedctxa.delegation.privilegedExportAllowed특권 export 허용 여부.
contexa.bridge.authentication.request-attributes.containment-onlyctxa.delegation.containmentOnlycontainment-only 제한 여부.
contexa.bridge.authentication.request-attributes.expires-atctxa.delegation.expiresAt위임 만료 시각.

Authentication HTTP 헤더 이름

contexa.bridge.authentication.headers 아래의 속성으로, 공통 Bridge.Headers 에 바인딩됩니다. 외부 reverse proxy 또는 게이트웨이가 인증·인가·위임 정보를 HTTP 헤더로 전달할 때 Contexa 가 어떤 헤더 이름을 읽거나 발행할지 정의합니다. 모든 헤더 이름은 변경 가능합니다.

토글

속성타입기본값설명
contexa.bridge.authentication.headers.enabledbooleantrueHTTP 헤더 기반 추출/발행을 활성화합니다.

인증 헤더 (8)

속성기본값설명
contexa.bridge.authentication.headers.principal-idX-Contexa-Principal-Idprincipal 식별자 헤더.
contexa.bridge.authentication.headers.display-nameX-Contexa-Principal-Name표시 이름 헤더.
contexa.bridge.authentication.headers.authenticatedX-Contexa-Authenticated인증 완료 boolean 헤더.
contexa.bridge.authentication.headers.authoritiesX-Contexa-Authorities권한 목록 헤더.
contexa.bridge.authentication.headers.authentication-typeX-Contexa-Authentication-Type인증 방식 헤더.
contexa.bridge.authentication.headers.authentication-assuranceX-Contexa-Authentication-Assurance인증 assurance 레벨 헤더.
contexa.bridge.authentication.headers.mfa-completedX-Contexa-Mfa-CompletedMFA 완료 여부 헤더.
contexa.bridge.authentication.headers.authentication-timeX-Contexa-Authenticated-At인증 시각 헤더.

Authorization 헤더 (7)

속성기본값설명
contexa.bridge.authentication.headers.authorization-effectX-Contexa-Authz-Effect인가 결정 effect 헤더.
contexa.bridge.authentication.headers.privilegedX-Contexa-Authz-Privileged특권 흐름 boolean 헤더.
contexa.bridge.authentication.headers.policy-idX-Contexa-Authz-Policy적용된 정책 ID 헤더.
contexa.bridge.authentication.headers.policy-versionX-Contexa-Authz-Policy-Version정책 버전 헤더.
contexa.bridge.authentication.headers.scope-tagsX-Contexa-Authz-Scope스코프 태그 헤더.
contexa.bridge.authentication.headers.effective-rolesX-Contexa-Authz-Roles유효 역할 집합 헤더.
contexa.bridge.authentication.headers.effective-authoritiesX-Contexa-Authz-Authorities유효 권한 집합 헤더.

Delegation 헤더 (11)

속성기본값설명
contexa.bridge.authentication.headers.delegatedX-Contexa-Delegated위임 활성 여부 헤더.
contexa.bridge.authentication.headers.agent-idX-Contexa-Agent-Id위임받은 agent ID 헤더.
contexa.bridge.authentication.headers.objective-idX-Contexa-Objective-Id위임 objective ID 헤더.
contexa.bridge.authentication.headers.objective-familyX-Contexa-Objective-Familyobjective 계열/타입 헤더.
contexa.bridge.authentication.headers.objective-summaryX-Contexa-Objective-Summaryobjective 요약 헤더.
contexa.bridge.authentication.headers.allowed-operationsX-Contexa-Allowed-Operations허용 operation 헤더.
contexa.bridge.authentication.headers.allowed-resourcesX-Contexa-Allowed-Resources허용 resource 헤더.
contexa.bridge.authentication.headers.approval-requiredX-Contexa-Approval-Required승인 필요 여부 헤더.
contexa.bridge.authentication.headers.privileged-export-allowedX-Contexa-Privileged-Export-Allowed특권 export 허용 여부 헤더.
contexa.bridge.authentication.headers.containment-onlyX-Contexa-Containment-Onlycontainment-only 제한 헤더.
contexa.bridge.authentication.headers.expires-atX-Contexa-Delegation-Expires-At위임 만료 시각 헤더.

Authorization SecurityContext 키

contexa.bridge.authorization.security-context 아래의 속성으로, Authorization.SecurityContext 에 바인딩됩니다. 외부 시스템이 Spring SecurityContext 의 Authentication 객체에 인가 결정 결과(effect, 정책 ID, 권한 등)를 attribute 로 보관할 때, Contexa 가 어떤 키를 시도해서 그 정보를 읽을지 정의합니다. 첫 번째 매칭 키의 값이 사용됩니다.

속성타입기본값설명
contexa.bridge.authorization.security-context.enabledbooleantrueSecurityContext 기반 인가 정보 추출을 활성화합니다.
contexa.bridge.authorization.security-context.authorization-effect-keysList<String>[authorizationEffect, effect, decision, decisionEffect]인가 결정 effect (ALLOW/DENY) 추출 키 목록입니다.
contexa.bridge.authorization.security-context.privileged-keysList<String>[privileged, isPrivileged, privilegedFlow]특권 흐름 boolean 추출 키 목록입니다.
contexa.bridge.authorization.security-context.policy-id-keysList<String>[policyId, policy, decisionPolicy]적용된 정책 ID 추출 키 목록입니다.
contexa.bridge.authorization.security-context.policy-version-keysList<String>[policyVersion, version]정책 버전 추출 키 목록입니다.
contexa.bridge.authorization.security-context.scope-tag-keysList<String>[scopeTags, scopes, scope, permissionScopes, scp]스코프 태그 추출 키 목록입니다.
contexa.bridge.authorization.security-context.role-keysList<String>[effectiveRoles, roles, roleSet, groups]유효 역할 집합 추출 키 목록입니다.
contexa.bridge.authorization.security-context.authority-keysList<String>[effectiveAuthorities, authorities, permissions, grantedAuthorities, scope, scp]유효 권한 집합 추출 키 목록입니다.
contexa.bridge.authorization.security-context.attribute-keysList<String>[authorizationEffect, effect, privileged, policyId, policyVersion, scopeTags, scopes, scope, scp, roles, effectiveRoles, permissions, effectiveAuthorities]인가 컨텍스트로 보존할 추가 attribute 키 목록입니다 (13개 기본).

Authorization Session 키

contexa.bridge.authorization.session 아래의 속성으로, Authorization.Session 에 바인딩됩니다. 외부 시스템이 HTTP 세션 attribute 의 사용자 객체에 인가 결정 정보를 담아 둘 때 어떤 attribute 후보를 시도하고, 그 객체에서 어떤 키로 effect/정책/스코프/역할/권한을 추출할지 정의합니다.

속성타입기본값설명
contexa.bridge.authorization.session.enabledbooleantrue세션 기반 인가 정보 추출을 활성화합니다.
contexa.bridge.authorization.session.attributeString"" (빈 문자열)사용자 객체가 들어 있는 세션 attribute 이름.
contexa.bridge.authorization.session.attribute-candidatesList<String>[currentUser, authenticatedUser, sessionUser, userSession, principal, user, securityUser, authenticatedPrincipal]auto-discover 모드에서 시도하는 세션 attribute 후보.
contexa.bridge.authorization.session.auto-discoverbooleantrueattribute 후보 자동 탐색 여부.
contexa.bridge.authorization.session.object-type-nameString"" (빈 문자열)발견된 객체가 일치해야 하는 클래스 이름(선택).
contexa.bridge.authorization.session.principal-id-keysList<String>[userId, username, id, loginId, email]principal 식별자 추출 키.
contexa.bridge.authorization.session.authorization-effect-keysList<String>[authorizationEffect, effect, decision, decisionEffect]인가 effect 추출 키.
contexa.bridge.authorization.session.privileged-keysList<String>[privileged, isPrivileged, privilegedFlow]특권 흐름 추출 키.
contexa.bridge.authorization.session.policy-id-keysList<String>[policyId, policy, decisionPolicy]정책 ID 추출 키.
contexa.bridge.authorization.session.policy-version-keysList<String>[policyVersion, version]정책 버전 추출 키.
contexa.bridge.authorization.session.scope-tag-keysList<String>[scopeTags, scopes, scope, permissionScopes]스코프 태그 추출 키 (Authorization.SecurityContext 와 달리 scp 미포함).
contexa.bridge.authorization.session.role-keysList<String>[effectiveRoles, roles, roleSet]유효 역할 집합 추출 키 (groups 미포함).
contexa.bridge.authorization.session.authority-keysList<String>[effectiveAuthorities, authorities, permissions, grantedAuthorities]유효 권한 집합 추출 키 (scope, scp 미포함).
contexa.bridge.authorization.session.attribute-keysList<String>[authorizationEffect, effect, privileged, policyId, policyVersion, scopeTags, scopes, roles, effectiveRoles, permissions, effectiveAuthorities, organizationId, orgId, tenantId, department, team]인가 컨텍스트로 보존할 추가 attribute 키 (16개 기본).

Authorization RequestAttributes / Headers

Authorization 도 동일한 공통 Bridge.RequestAttributes / Bridge.Headers 클래스를 재사용합니다. 키 구조와 기본값은 위 Authentication RequestAttributes 키 · Authentication HTTP 헤더 이름 표와 100% 동일하며, prefix 만 다음과 같이 다릅니다:

  • contexa.bridge.authorization.request-attributes.* — 39 필드, 표 동일
  • contexa.bridge.authorization.headers.* — 27 필드, 표 동일

같은 표를 다시 그리지 않고 prefix 만 안내하는 이유는 코드(BridgeProperties.java) 가 한 클래스를 3개 위치에서 참조하기 때문입니다 — 표 본문은 단일 진실의 출처를 유지합니다.

Delegation Session 키

contexa.bridge.delegation.session 아래의 속성으로, Delegation.Session 에 바인딩됩니다. 외부 시스템이 위임(agent delegation) 관련 정보 — agent ID, objective, 허용 operation/resource, 승인 필요, 만료 등 — 를 세션 attribute 의 사용자 객체에 담아둘 때 어떤 키를 시도할지 정의합니다.

속성타입기본값설명
contexa.bridge.delegation.session.enabledbooleantrue세션 기반 위임 정보 추출을 활성화합니다.
contexa.bridge.delegation.session.attributeString"" (빈 문자열)사용자 객체가 들어 있는 세션 attribute 이름.
contexa.bridge.delegation.session.attribute-candidatesList<String>[currentUser, authenticatedUser, sessionUser, userSession, principal, user, securityUser, authenticatedPrincipal]auto-discover 모드에서 시도하는 세션 attribute 후보.
contexa.bridge.delegation.session.auto-discoverbooleantrueattribute 후보 자동 탐색 여부. (※ Delegation.Session 은 object-type-name 필드를 갖지 않습니다.)
contexa.bridge.delegation.session.principal-id-keysList<String>[userId, username, id, loginId, email]principal 식별자 추출 키.
contexa.bridge.delegation.session.delegated-keysList<String>[delegated, delegationEnabled, agentDelegated]위임 활성 여부 추출 키.
contexa.bridge.delegation.session.agent-id-keysList<String>[agentId, delegateAgentId]agent ID 추출 키.
contexa.bridge.delegation.session.objective-id-keysList<String>[objectiveId, taskPurpose, delegationObjectiveId]위임 objective ID 추출 키.
contexa.bridge.delegation.session.objective-family-keysList<String>[objectiveFamily, objectiveType, delegationObjectiveFamily]objective 계열/타입 추출 키.
contexa.bridge.delegation.session.objective-summary-keysList<String>[objectiveSummary, taskSummary, delegationObjectiveSummary]objective 요약 추출 키.
contexa.bridge.delegation.session.allowed-operations-keysList<String>[allowedOperations, delegatedOperations, permittedOperations]허용 operation 목록 추출 키.
contexa.bridge.delegation.session.allowed-resources-keysList<String>[allowedResources, delegatedResources, permittedResources]허용 resource 목록 추출 키.
contexa.bridge.delegation.session.approval-required-keysList<String>[approvalRequired, requiresApproval]승인 필요 여부 추출 키.
contexa.bridge.delegation.session.privileged-export-allowed-keysList<String>[privilegedExportAllowed, allowPrivilegedExport]특권 export 허용 여부 추출 키.
contexa.bridge.delegation.session.containment-only-keysList<String>[containmentOnly, restrictedContainment]containment-only 제한 여부 추출 키.
contexa.bridge.delegation.session.expires-at-keysList<String>[expiresAt, delegationExpiresAt]위임 만료 시각 추출 키.
contexa.bridge.delegation.session.attribute-keysList<String>[delegated, agentId, objectiveId, objectiveFamily, objectiveSummary, allowedOperations, allowedResources, approvalRequired, privilegedExportAllowed, containmentOnly, expiresAt, organizationId, orgId, tenantId, department, team]위임 컨텍스트로 보존할 추가 attribute 키 (16개 기본).

Delegation RequestAttributes / Headers

Delegation 도 동일한 공통 Bridge.RequestAttributes / Bridge.Headers 클래스를 재사용합니다. 키 구조와 기본값은 Authentication RequestAttributes 키 · Authentication HTTP 헤더 이름 표와 100% 동일하며, prefix 만 다음과 같이 다릅니다:

  • contexa.bridge.delegation.request-attributes.* — 39 필드, 표 동일
  • contexa.bridge.delegation.headers.* — 27 필드, 표 동일

보안 Kafka 속성

contexa.security.kafka 아래의 속성으로, SecurityKafkaProperties에 바인딩됩니다. Contexa 보안 이벤트 파이프라인의 Kafka 토픽 이름을 구성합니다.

속성 타입 기본값 설명
contexa.security.kafka.topic (TopicSettings)
.authorizationStringsecurity-authorization-events인가 결정 이벤트 토픽.
.authenticationStringauth-events인증 이벤트 토픽.
.incidentStringsecurity-incident-events보안 인시던트 이벤트 토픽.
.threatStringthreat-indicators위협 지표 토픽.
.auditStringsecurity-audit-events감사 이벤트 토픽.
.generalStringsecurity-events일반 보안 이벤트 토픽.
.dlqStringsecurity-events-dlq실패한 이벤트 처리를 위한 dead-letter queue 토픽.
.soar-actionStringsoar-action-eventsSOAR action 이벤트 토픽.
contexa.security.kafka.dlq (DlqSettings)
.max-retriesint3DLQ 처리 시 최대 재시도 횟수.
.retry-delay-msint5000재시도 간 지연(ms).
.alert-thresholdint10DLQ 메시지가 이 임계값을 넘으면 알림.
YAML
security:
  kafka:
    topic:
      authorization: security-authorization-events
      authentication: auth-events
      incident: security-incident-events
      threat: threat-indicators
      audit: security-audit-events
      general: security-events
      dlq: security-events-dlq
      soar-action: soar-action-events
    dlq:
      max-retries: 3
      retry-delay-ms: 5000
      alert-threshold: 10

관련 문서: Zero Trust 보안 참조 | SOAR 자동화 참조

OpenTelemetry 속성

contexa.opentelemetry 아래의 속성으로, OpenTelemetryProperties에 바인딩됩니다. 분산 추적, 메트릭 내보내기, 관측성을 위한 OpenTelemetry 통합을 구성합니다.

속성 타입 기본값 설명
contexa.opentelemetry
.enabled boolean true OpenTelemetry 추적 및 메트릭 내보내기 활성화
.service-name String contexa-core 추적 스팬 및 메트릭 라벨의 서비스 이름
.exporter-endpoint String http://localhost:4317 OTLP 내보내기 엔드포인트 (gRPC; HTTP는 4318)
.sampling-probability double 1.0 샘플링 확률 (0.0-1.0); 프로덕션에서는 낮추기
YAML
contexa:
  opentelemetry:
    enabled: true
    service-name: "my-application"
    exporter-endpoint: "http://otel-collector.monitoring:4317"
    sampling-probability: 0.1

Security Plane 속성

contexa.security.plane 아래의 속성으로, SecurityPlaneProperties에 바인딩됩니다. 분산 security-plane agent, Kafka 토픽, Redis relay, 모니터링 배치, deduplication 윈도우, 비동기 보안 분석에 사용하는 LLM executor pool을 구성합니다.

속성타입기본값설명
contexa.security.plane.agent
.nameStringSecurityPlaneAgent-1에이전트 인스턴스 이름
.auto-startbooleantrue기동 시 자동 시작
.organization-idStringdefault-org분산 배포 조직 ID
.execution-modeStringASYNC에이전트 실행 모드
.auto-approve-low-riskbooleanfalse저위험 자동 승인 여부
.event-timeout-mslong30000이벤트 처리 타임아웃
.max-deferred-retriesint3지연 재시도 최대 횟수
contexa.security.plane.kafka
.bootstrap-serversStringlocalhost:9092Kafka bootstrap servers
.group-idStringsecurity-plane-consumerKafka consumer group id
.topics.contexa-security-eventsStringcontexa-security-events보안 이벤트 토픽
.topics.threat-indicatorsStringthreat-indicators위협 지표 토픽
.topics.network-eventsStringnetwork-events네트워크 이벤트 토픽
.topics.auth-eventsStringauth-events인증 이벤트 토픽
contexa.security.plane.monitor
.queue-sizeint10000이벤트 큐 용량
.batch-sizeint8모니터링 배치 크기
.flush-interval-mslong500배치 flush 간격
.correlation-window-minutesint10상관관계 윈도우
.dedup-window-minutesint5중복 제거 윈도우
contexa.security.plane.notifier
.batch-sizeint10알림 배치 크기
.async-enabledbooleantrue비동기 알림 전송 활성화
.critical-thresholddouble0.8치명 알림 임계값
contexa.security.plane.redis
.batch-sizeint50Redis publish 배치 크기
.cache.ttl-minutesint60Redis relay 캐시 TTL
.channel.contexa-security-eventsStringsecurity:events보안 이벤트 Redis 채널
.channel.threat-alertsStringsecurity:threats위협 알림 Redis 채널
contexa.security.plane.llm-executor
.core-pool-sizeint2LLM 분석 코어 스레드 수
.max-pool-sizeint2LLM 분석 최대 스레드 수
.queue-capacityint50대기 중인 LLM 작업 큐 용량
contexa.security.plane.deduplication
.enabledbooleantrue중복 제거 활성화
.window-minutesint5중복 제거 윈도우
.cache-sizeint10000중복 제거 캐시 크기
YAML
security:
  plane:
    agent:
      name: SecurityPlaneAgent-1
      auto-start: true
      organization-id: default-org
      execution-mode: ASYNC
      auto-approve-low-risk: false
      event-timeout-ms: 30000
      max-deferred-retries: 3
    llm-executor:
      core-pool-size: 2
      max-pool-size: 2
      queue-capacity: 50
    deduplication:
      enabled: true
      window-minutes: 5
      cache-size: 10000

관련 문서: Zero Trust 플로우, SOAR 참조

라우터 속성

contexa.security.router 아래의 속성으로, SecurityRouterProperties에 바인딩됩니다. 이벤트 라우팅 결정에 사용하는 점수 임계값을 정의합니다 (SOAR 자동화 / 차단 / 분석 신뢰도 / pass-through).

속성타입기본값설명
contexa.security.router.threshold
.soardouble0.9SOAR 자동 대응 임계값
.blockdouble0.8차단 결정 임계값
.analysis-confidencedouble0.6분석 결과 채택 신뢰도 임계값
.pass-throughdouble0.6pass-through 허용 임계값

이벤트 속성

contexa.security.event 아래의 속성으로, SecurityEventProperties에 바인딩됩니다. 이벤트 발행 게이트, 비동기 executor pool, 계층별 지연 예산, 중복 제거 캐시를 구성합니다.

속성타입기본값설명
contexa.security.event.publishing
.enabledbooleantrue이벤트 발행 활성화
.exclude-urisString/actuator,/health,/metrics발행 제외 URI 목록(쉼표 구분)
.anonymous.enabledbooleantrue익명 사용자 이벤트 발행 활성화
contexa.security.event.executor
.core-pool-sizeintcores × 2이벤트 처리 코어 스레드 수
.max-pool-sizeintcores × 4최대 스레드 수
.queue-capacityint10000대기 큐 용량
contexa.security.event.tier
.critical.max-latency-msint100치명 이벤트 처리 지연 한계(ms)
.contextual.max-latency-msint1000컨텍스트 이벤트 지연 한계(ms)
.general.max-latency-msint10000일반 이벤트 지연 한계(ms)
.general.sampling-ratedouble0.1일반 이벤트 샘플링 비율
contexa.security.event.deduplication
.enabledbooleantrue중복 제거 활성화
.window-minutesint5중복 제거 윈도우(분)
.cache-sizeint10000중복 제거 캐시 크기

콜드패스 속성

contexa.security.coldpath 아래의 속성으로, SecurityColdPathProperties에 바인딩됩니다. 비동기 LLM 분석 경로의 계층별 신뢰도 기준값을 정의합니다.

속성타입기본값설명
contexa.security.coldpath.confidence
.layer1-basedouble0.51계층 분석 기본 신뢰도
.layer2-basedouble0.72계층 분석 기본 신뢰도

파이프라인 속성

contexa.security.pipeline 아래의 속성으로, SecurityPipelineProperties에 바인딩됩니다. 보안 이벤트 파이프라인의 Redis · Kafka 전송 경로를 구성합니다.

속성타입기본값설명
contexa.security.pipeline.kafka
.topicStringcontexa-security-events파이프라인이 publish 할 Kafka 토픽 이름

참고: contexa.security.pipeline.redis 는 빈 marker 그룹입니다. 실제 Redis 동작은 contexa.security.plane.redis · security.zerotrust.redis 에서 구성합니다.

보안 Redis 속성

contexa.security.redis 아래의 속성으로, SecurityRedisProperties에 바인딩됩니다. Contexa 보안 이벤트의 Redis pub/sub 채널 이름, Redis stream 키, TTL, 메모리 임계값을 구성합니다.

속성타입기본값설명
contexa.security.redis.channel (ChannelSettings)
.authorizationStringsecurity:authorization:events인가 이벤트 pub/sub 채널.
.authenticationStringsecurity:events인증 이벤트 pub/sub 채널.
.incidentStringsecurity:incidents인시던트 pub/sub 채널.
.threatStringsecurity:threats위협 pub/sub 채널.
.auditStringsecurity:audit:events감사 pub/sub 채널.
.generalStringsecurity:events일반 pub/sub 채널.
contexa.security.redis.stream (StreamSettings)
.authorizationStringsecurity:stream:authorization인가 Redis stream 키.
.incidentStringsecurity:stream:incident인시던트 Redis stream 키.
.threatStringsecurity:stream:threat위협 Redis stream 키.
.auditStringsecurity:stream:audit감사 Redis stream 키.
.generalStringsecurity:stream:general일반 Redis stream 키.
.authenticationStringsecurity:stream:authentication인증 Redis stream 키.
.maxlenint10000Redis stream 최대 항목 수 (XADD MAXLEN).
contexa.security.redis.ttl (TtlSettings)
.minutesint60이벤트 데이터의 기본 Redis TTL (분).
contexa.security.redis.memory (MemorySettings)
.max-mbint1024Contexa 보안 이벤트가 사용 가능한 Redis 메모리 상한 (MB).
.warning-thresholddouble0.8메모리 사용률 경고 임계값 (0.0~1.0).
.critical-thresholddouble0.9메모리 사용률 critical 임계값 (0.0~1.0).

스케줄러 락 속성

contexa.scheduler.lock 아래의 속성으로, ContexaSchedulerLockProperties (record) 에 바인딩됩니다. 다중 JVM 환경에서 @Scheduled + @SchedulerLock 메서드의 단일 실행을 보장하는 ShedLock auto-configuration 을 제어합니다. 단일 인스턴스 배포에서도 기본값을 유지해도 됩니다 — 락은 항상 성공하고 오버헤드는 무시 가능합니다.

속성타입기본값설명
contexa.scheduler.lock
.enabledbooleantrueShedLock auto-configuration 으로 LockProvider 빈 등록 여부. false 면 모든 @SchedulerLock 이 비활성화되고 각 @Scheduled 메서드는 단일 JVM 내 배타성만 보장합니다.
.default-lock-at-most-forDuration5m특정 스케줄러가 lockAtMostFor 를 지정하지 않을 때 적용되는 fallback 상한입니다. JVM crash 후 락이 영구히 남는 것을 방지합니다.
.use-database-timebooleantruetrueJdbcTemplateLockProvider 가 DB 의 now() 를 사용해 모든 인스턴스가 동일 시각을 봅니다. false 면 JVM 시계로 fallback (로컬 H2 테스트 단순화에 유용).

데이터소스 속성

contexa.datasource 아래의 속성으로, ContexaDataSourceProperties 에 바인딩됩니다. Contexa 가 자체 메타데이터(정책, 사용자, 감사 로그 등)를 저장하는 데이터베이스 연결을 정의합니다. 호스트 application 의 spring.datasource 와 격리할 수 있습니다.

속성타입기본값설명
contexa.datasource
.urlStringnullJDBC URL. 비어 있으면 host application 의 spring.datasource.url 을 공유합니다 (격리 정책에 따라 다름).
.usernameStringnullDB 사용자 이름.
.passwordStringnullDB 비밀번호.
.driver-class-nameStringnullJDBC driver 클래스 이름. 비우면 URL 로부터 자동 탐지.
contexa.datasource.isolation (Isolation)
.allow-shared-application-datasourcebooleanfalse호스트 application 의 datasource 를 공유 사용을 허용합니다. 기본값은 격리 (별도 connection pool).
.shared-application-datasource-risk-acceptedbooleanfalse공유 datasource 사용에 따른 위험을 운영자가 명시 수락했음을 표시합니다.
.contexa-owned-applicationbooleanfalse이 application 자체가 Contexa 가 운영하는 application 임을 표시 (격리 검증 우회).

전체 구성 예제

Redis, Kafka, 외부 OpenTelemetry 수집기를 사용하는 분산 배포를 위한 프로덕션 준비 application.yml로 모든 인프라 속성을 결합한 것입니다.

YAML
# Infrastructure configuration for Contexa distributed deployment
contexa:
  enabled: true
  infrastructure:
    mode: DISTRIBUTED
    redis:
      enabled: true
    kafka:
      enabled: true
    observability:
      enabled: true
      open-telemetry-enabled: true

  # Multi-tier caching
  cache:
    type: HYBRID
    local:
      max-size: 5000
      default-ttl-seconds: 120
    redis:
      default-ttl-seconds: 600
      key-prefix: "contexa:cache:"
    pubsub:
      enabled: true
      channel: "contexa:cache:invalidation"
    domains:
      users:
        local-ttl-seconds: 1800
        redis-ttl-seconds: 3600
      roles:
        local-ttl-seconds: 7200
        redis-ttl-seconds: 14400
      permissions:
        local-ttl-seconds: 14400
        redis-ttl-seconds: 28800
      groups:
        local-ttl-seconds: 7200
        redis-ttl-seconds: 14400
      policies:
        local-ttl-seconds: 15
        redis-ttl-seconds: 120
      soar:
        local-ttl-seconds: 900
        redis-ttl-seconds: 900
      hcad:
        local-ttl-seconds: 86400
        redis-ttl-seconds: 86400

  # OpenTelemetry
  opentelemetry:
    enabled: true
    service-name: "contexa-production"
    exporter-endpoint: "http://otel-collector.monitoring:4317"
    sampling-probability: 0.1

  # Security Infrastructure
  security:
    kafka:
      topic:
        dlq: "security-events-dlq"
    redis:
      ttl:
        minutes: 60
      memory:
        max-mb: 1024
    plane:
      agent:
        organization-id: "default-org"
        execution-mode: "ASYNC"
      llm-executor:
        core-pool-size: 2
        max-pool-size: 2
      deduplication:
        enabled: true
        window-minutes: 5
        cache-size: 10000