통합 아이디 및 보안 서비스

Java ES의 중요한 기능 중 하나는 사용자 아이디의 통합 관리와 통합된 인증 및 권한 부여 프레임워크입니다. 이 절에서는 Java ES에서 제공되는 통합 아이디 및 보안 서비스를 이해하기 위한 기술적 배경을 설명합니다.

단일 아이디

Java ES 환경 내에서 최종 사용자는 단일 통합 아이디를 가집니다. 해당 단일 아이디를 기반으로 사용자는 포털, 웹 페이지 및 서비스(예: 메시징, 캘린더, 인스턴트 메시징 등)와 같은 다양한 자원에 액세스할 수 있습니다.

이 통합 아이디와 보안 기능은 Directory Server, Access Manager 및 기타 Java ES 구성 요소 간의 긴밀한 공동 작업을 기반으로 합니다.

Java ES 서비스 또는 자원에 대한 사용자 액세스는 사용자 저장소 또는 디렉토리의 단일 사용자 항목에 사용자별 정보를 저장하여 수행됩니다. 이러한 정보에는 대개 고유 이름 및 비밀번호, 전자 메일 주소, 조직 내 역할, 웹 페이지 기본 설정 등의 데이터가 포함됩니다. 사용자 항목의 정보는 사용자를 인증하거나 특정 자원에 대한 액세스 권한을 부여하거나 해당 사용자에게 다양한 서비스를 제공하는 데 사용될 수 있습니다.

Java ES의 경우 사용자 항목은 Directory Server에서 제공하는 디렉토리에 저장됩니다. 사용자가 Java ES 구성 요소에서 제공되는 서비스를 요청할 때 해당 서비스는 Access Manager를 통해 사용자를 인증하고 특정 자원에 대한 액세스 권한을 부여합니다. 요청된 서비스에서 사용자 디렉토리 항목의 사용자별 구성 정보를 검사합니다. 서비스는 해당 정보를 사용하여 사용자가 요청한 작업을 수행합니다.

다음 그림에서는 사용자 인증 및 권한 부여를 수행하고 사용자에게 서비스를 제공하기 위한 사용자 항목 액세스를 설명합니다.

그림 3–1 여러 서비스를 지원하는 단일 사용자 항목

이 시스템에서 파생된 기능 중 하나는 웹 기반 사용자가 임의의 Java ES 서비스에 사인 온하면 다른 시스템 서비스에 자동으로 인증되는 기능입니다. 단일 사인온 기능은 Java ES에서 제공하는 강력한 기능입니다.

인증 및 단일 사인 온

Access Manager는 Java ES 인증 및 권한 부여 서비스를 제공합니다. Access Manager는 Directory Server의 정보를 사용하여 기업에서 사용자와 Java ES 웹 서비스 또는 기타 웹 기반 서비스 간의 상호 작용을 중개합니다.

Access Manager는 정책 에이전트라는 외부 구성 요소를 사용합니다. 정책 에이전트는 Access Manager로 보호되는 서비스나 자원을 호스트하는 웹 서버에 플러그 인됩니다. 정책 에이전트는 Access Manager를 대신하여 보호되는 자원에 대한 사용자 요청을 중개합니다. Portal Server와 같은 일부 Java ES 구성 요소에 대한 정책 에이전트 기능은 Access Manager SDK 하위 구성 요소에서 제공합니다.

인증

Access Manager에는 기업 내에서 HTTP 또는 HTTPS를 통해 웹 서비스에 대한 액세스를 요청하는 사용자의 아이디를 확인하기 위한 인증 서비스가 포함되어 있습니다. 예를 들어 동료의 전화 번호를 조회해야 하는 회사 직원은 브라우저를 통해 회사의 온라인 전화 번호부로 이동합니다. 전화번호부 서비스에 로그인하려면 사용자 아이디와 비밀번호를 입력해야 합니다.

인증 순서는 그림 3–2에 나와 있습니다. 정책 에이전트는 전화 번호부 로그온 요청을 중개하며(1), 해당 요청을 인증 서비스에 전송합니다(2). 인증 서비스는 Directory Server에 저장된 정보와 대조하여 사용자 아이디 및 비밀번호를 확인합니다(3). 로그인 요청이 유효하면 사용자가 인증되며(4, 5 및 6) 회사 전화 번호부가 해당 직원에게 표시됩니다(7). 로그인 요청이 유효하지 않으면 오류가 생성되며 인증이 실패합니다.

또한 인증 서비스는 HTTPS에서 인증서 기반 인증도 지원합니다.

그림 3–2 인증 순서

단일 사인 온(SSO)

이전 단락에서 설명된 인증 시나리오에서 중요한 단계를 강조합니다. 사용자의 인증 요청이 확인되면 그림 3–2와 같이 Access Manager의 세션 서비스가 사용됩니다(4). 세션 서비스에서 세션 토큰을 생성합니다. 세션 토큰에는 사용자의 아이디 정보 및 토큰 아이디가 포함되어 있습니다(5). 세션 토큰이 정책 에이전트로 다시 전송된 다음(6) 정책 에이전트에서 인증을 요청한 브라우저로 해당 토큰을 쿠키로 전송합니다(7) .

인증된 사용자가 다른 보안 서비스에 액세스하려고 하면 브라우저는 세션 토큰을 해당 정책 에이전트에 전달합니다. 정책 에이전트는 세션 서비스에서 사용자의 이전 인증이 아직 유효한지 확인하여 사용자 아이디 및 비밀번호를 다시 입력하도록 요청하지 않은 채 두 번째 서비스에 대한 액세스 권한을 해당 사용자에게 부여합니다.

따라서 사용자가 한 번만 사인 온하면 Java ES에서 제공하는 여러 웹 기반 서비스에 인증될 수 있습니다. 단일 사인 온 인증은 사용자가 명시적으로 로그아웃하거나 세션이 만료될 때까지 유효합니다.

권한 부여

Access Manager에는 Java ES 환경의 웹 기반 자원에 대한 액세스 제어를 제공하는 정책 서비스도 포함되어 있습니다. 정책은 특정 조건에서 특정 자원에 대한 액세스 권한이 있는 사용자를 설명하는 규칙입니다. 권한 부여 순서는 다음 그림에 나와 있습니다.

그림 3–3 권한 부여 순서

인증된 사용자가 Access Manager로 보호되는 자원을 요청하면(1) 정책 에이전트는 정책 서비스에 알리고(2), 정책 서비스에서는 Directory Server의 정보를 사용하여(3) 해당 자원에 적용되는 액세스 정책을 평가한 다음 사용자에게 해당 자원에 대한 액세스 권한이 있는지 확인합니다(4). 해당 사용자에게 액세스 권한이 있으면(5) 해당 자원 요청이 실현됩니다(6).

Access Manager는 기업에서 정책을 정의, 수정, 부여, 해지 및 삭제하는 수단을 제공합니다. 정책은 Directory Server에 저장되며 조직 항목의 정책 관련 속성을 통해 구성됩니다. 사용자에 대해 역할을 정의하여 정책 정의에 통합할 수도 있습니다.

Access Manager 정책 에이전트가 정책을 시행합니다. 정책 서비스에서 액세스 요청을 거부하면 정책 에이전트도 사용자가 요청 중인 보호되는 자원에 대한 액세스를 거부합니다.