통합 신원 관리

통합 신원 관리

다수의 기업과 많은 응용 프로그램을 관리하는 일반적 신원 관리 시스템을 의미한다
수천 또는 수백만 명의 사용자를 지원하는 관리 시스템

신원 관리

기업 전역에 걸친 직원이나 권한을 가진 개인이 자원에 접근하는 절차를 중앙 집중화하고 자동화하는 방법을 일컫는다

신원 관리의 핵심

• 각 사용자(사람 또는 프로세스)가 신원을 정의하고 연관 짓고, 사용자가 신원을 인증하는 방법을 강요하는 것이다

SSO

• 신원 관리 시스템의 중심적인 개념이다
• 사용자가 한 번만 인증하면 네트워크 모든 자원에 접속 가능

신원 관리 원칙

• 인증(Authentication):
• 허가(Authorization):
• 계정(Accounting):
• 제공(Provisioning):
• 작업절차 자동화(Workflow automation):
• 관리위임(Delegated administration):
• 패스워드 동기화(Password synchronization):
• 셀프-서비스 패스워드 리셋(Self-service password reset):
• 통합(Federation):

일반 신원 관리 구조

• 중심 개체 : 신원 소지자
  • 보통은 네트워크 상의 자원이나 서비스에 접근하고자 하는 사용자나 사람
  • 중심 개체는 신원 소지자에게 자신을 인증한다
  • 사용자 장치, 에이전트 프로세스, 서버 시스템도 가능
• 신원 제공자
  • 인증 정보를 중심 개체 뿐만 아니라 속성과 하나 이상의 식별자와 연관 짓는다
• 속성 서비스
  • 속성 정보를 생성 유지 관리한다
• 관리자
  • 사용자에게 역할, 접근, 허가, 직원 정보 같은 속성을 부여 한다
• 데이터 소비자
  • 신원이나 속성 제공자가 관리하고 제공하는 데이터를 받아 사용하는 개체

신원 통합

• 핵심 : 다중 보안 도메인으로 신원 관리를 확장하는 것이다
  • 자치적 내부 비즈니스 단위, 외부 비즈니스 파트너, 기타 제 3자 응용이나 서비스 등이 있음
• 목적
  • 디지털 신원 공유를 통해 SSO 제공
  • 중앙 집중화 된 통제가 불가능
  • 안전한 디지털 신원 공유를 위해 표준화나 상호 신뢰 수준에 동의해서 통합
• 기타 기능
  • 속성을 나타내는 표준화 된 수단
  • 신원 매핑

통합 신원 동작

표준

조직에서는 협업 파트너가 처리 할 수 있도록 일종의 보안 티켓을 사용자에게 발행한다
신원 통합 표준

• 티켓 내용과 형식을 정의
• 티켓 교환용 프로토콜 제공
• 다양한 관리 업무 수행
• Ex. 신원 매핑, 로그인 수행, 감사, 속성 전달 수행에 필요한 시스템 구성

표준 종류

• XML(Extensible Markup Language)
• 단순 객체 접근 프로토콜(SOAP: Simple Object Access Protocol)
• WS-보안(WS-security)
• 보안 확인 마크업 언어(SAML: Security Assertion Markup Language)

통합 신원 관리 구현의 문제

• 안전하고 사용자에게 편리한 유틸리티를 제공하기 위해 다수의 기술, 표준, 서비스를 집약하기 어려움

표준 사용 예시