IAM (Identity and Access Management) - 계정과 권한의 관리를 위한 통합관리 솔루션

A. IAM 개요

1. IAM(Identity and Access Management)의 정의

접근권한 관리 중심의 EAM(Extranet Access Management)기술에서 발전하여 Identity 수명주기 동안 계정과 권한의 관리를 위한 통합관리 솔루션

 

IAM의 등장 배경

특 징	설 명
Legacy 어플리케이션 증가	-기업의 시스템과 어플리케이션 관리가 복잡해짐 -다양한 어플리케이션별 계정 및 인증 방법이 혼재함
통합된 사용자 관리 필요	-상이한 환경의 사용자 관리를 위한 업무부하 발생 -개별 사용자에 대한 기록 관리 및 감사 필요
비용절감	-업무와 서비스 권한 관리의 일원화를 통한 인력 및 비용 절감 -통합된 체계를 기반으로 한 업무 효율성 증대

 

2. IAM 구성 및 주요 기능

2-1. IAM 구성

IAM 아키텍처

 

• 일반적으로 아키텍처 내의 중요한 기능적 요소는 프로비져닝 서비스, 접근제어, 디렉토리 서비스 및 IAM 구성요소들의 사후 관계를 관리하는 기능임 
• 아키텍처 왼편에서 오른편으로 이동은 사용자가 포털을 통해서 내부 시스템과 어플리케이션에 접근을 의미함

2-2. IAM의 주요 기능

기 능	설 명
엽합서비스 (Federation service)	-외부 시스템과의 정보공유를 위한 보안환경 제공 -계정관리 인프라스트럭처를 외부 환경으로 확장 지원
인증 (Authentication)	-사용자 ID와 패스워드가 일반적으로 통용되는 인증 방법임 -근래 PKI 인증서, 생체인증 등의 강력한 인증 메커니즘 도입이 시작됨
접근제어 (Access Management)	-네트워크 자원에 대한 접근을 제어하는 정책(Policy) 및 규칙(Rule)에 대한 정의 지원 -다양한 인증과 인가를 조합과 역할, 그룹, 규칙기반의 시스템 사용
프로비저닝 (Provisioning)	-사용자 계정, 규정과 역할 기반의 이메일 사용, 물리적 자원의 사용허가 -워크프로우(Workflow)포함: 관리자가 일련의 이벤트를 구체화하여 사용자 역할을 기반으로 계정을 추가하도록 지원
SSO (Single Sign On)	-사용자가 한번 인증한 후 재인증 없이 여러 응용 프로그램 사용 -어플리케이션이 인증서를 요구할 경우, SSO서버는 해당 요청 중간에 사용자 대신 전달
디렉토리 (Directory) 서비스	-계정 및 접근제어는 사용자 관련 정보를 포함하며 디렉토리에 저장됨 -프로파일 및 정책 등과 같은 공유정보를 관리함 -데이터베이스와 유사하지만 분산 환경에서 인터페이스 유연성과 안전성을 제공함
감사(Audit)	-합법 및 불법 접근시도를 추적하고 리포팅을 제공함 -효과적인 보안관리 및 해당 절차이행을 위해 정보시스템에서 발생하는 이벤트에 대한 감사 제공

 

3. IAM의 구축절차 및 고려사항

3-1. IAM의 구축절차

단 계	설 명	산출물
적용 환경분석	-사용자 요구사항 수집 및 분석 -조직과 인적 사항 분석, 작업대상 선정 -SSO 적용 표준정의, HR 동기화 정책 분석 -계정 Life Cycle 프로세스 분석 -연동시스템 및 권한 유형별 분석	-사용자 요구명세 -SSO표준문서 -계정 Life Cycle -권한 유형정의서
정책 프로세스 설계	-ID마스터 구조와 인증 스키마 설계 -접근제어 정책 및 SSO/IM 시스템 설계 -커스텀 프로스램 정의 및 설계 -HR 동기화 정책 설계 -권한 정책 수립 및 모델링 -계정 Life cycle 프로세스 설계	-인증 스키마 -접근제어 정책서 -SSO/IM 시스템 설계서 -HR동기화 정책서 -권한 정책 및 모델 -계정 Life cycle
설치 및 구현	-인증 DB생성과 데이터 초기화 -정책서버와 웹 에이전트 설치 -정책등록과 커스텀 프로그램 구현 -IAM설치 및 HR 시스템 연동	-인증 데이터베이스 -정책서비 및 등록 프로그램 -IAM 시스템
이행	-단위 테스트 및 통합테스트 -운영 시스템 적용 및 배포 -담당자 교육 및 안정화	-단위/통합 테스트 결과보고서 -교육자료 및 운영 매뉴얼