네트워크 아이덴티티의 구조

김재범/한국썬 프로페셔널서비스과장

네트워크 아이덴티티 시스템을 효과적으로 구축하기 위해서는 일반적으로 다음과 같은 요건이 필요하다.

▲통합 아이덴티티 저장소

분산돼 있는 아이덴티티 정보를 통합 보관하고 검색하도록 하는 기능을 수행한다. 웹 서비스 기반이므로 전체 사용자의 인증, 개별화된 초기화면 구성, 접근권한 확인 등에 필요한 아이덴티티 정보의 막대한 검색 처리요구가 집중된다.

따라서 LDAP 디렉토리 표준을 준수하는 솔루션을 채택하여 빠른 검색능력, 확장성, 안정성 등의 요구사항을 만족시킨다.

▲전사적 접근관리 솔루션(Enterprise Access Management: EAM)

SSO 기능과 접근제어 기능을 제공하며 사용자, 정책, 역할(Role) 관리에 대한 기능도 제공한다. 특히 역할 관리 기능을 통하여 개개의 사용자 단위의 접근제어가 아닌 역할 단위의 접근제어가 가능하여 시스템 운영자의 관리 노력을 획기적으로 감소시켜 줄 수 있다.

▲통합 엔진(Join Engine 또는 Meta Directory)

통합 엔진은 이미 존재하는 분산 아이덴티티의 정보를 통합 아이덴티티 저장소인 디렉토리 서버로 일정한 규칙(Rule)에 기반해 통합하는 역할을 한다. 다양한 형태의 아이덴티티 저장소(RDBMS, LDAP, ERP, File 등)와 통신할 수 있는 능력을 가지고 있으며 사용자가 필요한 규칙을 쉽게 생성하고 관리할 수 있는 기능을 가지고 있다. 통합 엔진은 또 양방향 동기화 기능을 가지고 있어 웹서비스에서 갱신된 내용을 기존 아이텐티티 저장소에 동기화 시키는 기능도 수행한다.

▲인증 강화 솔루션

일부 회사의 경우 네트워크 아이덴티티와 엔터프라이즈 포털 기능을 연계, 직원들이 재택 근무나 출장 시에 회사에서와 동일한 환경을 사용하게 할 수 있다. 이런 경우 단순한 아이디 패스워드 방식보다는 강력한 인증방식을 필요로 하게 되는데 이럴 때 사용되는 방법에는 전자인증서, IC 카드, 원타임 패스워드 발생기 등이 있다. 네트워크 아이덴티티는 고객의 요구에 따라 이러한 인증 강화 솔루션을 적용할 수 있다.

또한 다음과 같은 절차를 통하여 네트워크 아이덴티티를 구축할 때 보다 효과적인 구축을 할 수 있다.

△1단계/요구사항 분석 및 아이덴티티 전략 수립: 고객의 요구사항을 파악하고 기본적인 아이덴티티 환경을 분석하여 아이덴티티 전략을 수립하고 고 레벨의 아키텍처를 작성한다.

△2단계/프로토타이핑: 요구사항 분석 및 아이덴티티 전략 수립 단계에서 파악된 고객의 요구사항을 기반으로 네트워크 아이덴티티 프로토타입을 구축한다.

△3단계/상세분석 설계: 실제적인 네트워크 아이덴티티 프로젝트를 위한 분석 및 설계를 통하여 상세 아키텍처 및 시스템 설계안을 작성한다.

<그림 1> 네트워크 아이덴티티 구성도

<그림 2> 네트워크 아이덴티티 구축 단계

NI의 기본 아키텍처

네트워크 아이덴티티의 기본 아키텍처는 5개의 제품으로 구성돼 있으며 그 기본 개념은 다음과 같다.

△디렉토리 서버: 아이덴티티 프로필(identity profile), 접근 권한, 애플리케이션과 네트워크 자원 정보를 저장, 관리한다.

△디렉토리 프록시: 웹 서버와 프록시 서버의 관계와 마찬가지로 디렉토리 서버에 대한 프록시 서버의 역할을 함으로써 로드밸런싱, 페일 오버 기능을 할 수 있으며 리퀘스트 필터링 기능을 통해 디렉토리 서버에 대한 공격을 방어할 수 있는 기능도 가지고 있다.

△접근제어 서버: 웹 기반 자원에 대한 안전한 액세스를 관리한다. 액세스 관리, 아이덴티티 관리, 디렉토리 서비스를 포함하는 아이덴티티 시스템을 제공한다.

△인증 서버: PKI 기반의 인증서를 발급할 수 있으며 이를 통해 직원, 고객, 협력사 인증을 위한 강력한 전사적 보안성을 제공할 수 있다. 공인 인증기관과의 연동도 가능하다.

△통합 엔진 서버: 고객 데이터베이스, 인적 자원 애플리케이션, 네트워크 운영체제, 메시징 시스템, 전화 데이터베이스 등 서로 다른 소스로부터 아이덴티티 정보를 취합해 디렉토리에 저장되는 단일 통합 뷰(view)를 구축한다.

네트워크 아이덴티티는 이러한 5가지의 제품을 통합, 다음과 같은 통합 인증 아키텍처를 구성하게 된다.

<그림 3> 네트워크 아이덴티티 서비스 아키텍처

NI의 시스템 아키텍처

<그림 3>에서 디렉토리 서버는 기업의 모든 웹 애플리케이션에서 사용하는 인증정보, 사용자 정보, 정책 정보, 인증서 정보 등을 안전하게 저장하고 빠르게 검색할 수 있게 하는 저장소 역할을 한다. 따라서 본 네트워크 아이덴티티 아키텍처의 가장 중심적인 역할을 하며 매우 빠른 검색속도와 안정적인 운영환경이 필수적이다.

기존 애플리케이션들이 이용하는 각종 DB, ERP, 메일, 사설 교환기 등에 퍼져 있는 사용자 정보는 통합 엔진(Join Engine)을 통해 디렉토리 서버에 통합 저장되고 관리되며 디렉토리 서버와 연결되어 있는 웹 애플리케이션을 통해 변경된 데이터는 다시 통합 엔진을 통해 각각의 관련 저장소(DB, ERP, 메일, 사설 교환기)에 저장이 된다. 즉 웹서비스에 필요한 기업내의 모든 사용자 정보는 통합 엔진을 통하여 디렉토리 서버에 통합되고 디렉토리 서버와 각 데이터 저장소는 통합 엔진을 통하여 동기화 되는 것이다.

접근제어 서버는 네트워크 아이덴티티 아키텍처에서 두 가지 역할을 하게 된다.

첫번째 역할은 관리자의 요구에 따라 사용자, 역할, 정책 등의 생성 및 관리를 하는 것이며 두번째 역할은 각 웹 서버, 애플리케이션 서버 또는 포털 서버에 설치된 에이전트들과의 통신을 통하여 웹 브라우저 또는 다양한 디바이스를 통한 사용자 접근을 제어하는 것이다. 다양한 웹 애플리케이션에 대한 SSO 기능 역시 이러한 에이전트의 기능을 이용해 구현되는 것이다.

인증 서버는 인증서 발급 및 관리를 통해 ID/패스워드 보다 더욱 강력하고 안전한 인증 방법을 사용할 수 있도록 해주며 이때 발급되는 인증서는 공인 인증기관과의 연계를 통하여 공인 인증서로의 역할을 할 수도 있다.

이렇게 구성된 네트워크 아이덴티티 환경은 사용자가 웹 서버, 웹 애플리케이션 서버, 또는 포털 서버를 통하여 웹서비스에 접근할 때 인증, 접근제어, 개별화된 웹서비스를 처리하기 위하여 활용된다.

따라서 네트워크 아이덴티티 환경이 정상적인 작동을 못할 경우 전체 웹 서비스의 운영은 불가능하다.

제공 : DB포탈사이트 DBguide.net