|
| |
| Sun Java System Identity Manager 2005Q4M3 관리 | |
1
Identity Manager 개요
Sun Java™ System Identity Manager 시스템을 사용하면 계정과 자원에 대한 액세스를 안전하고 효율적으로 관리할 수 있습니다. Identity Manager는 정기적 작업과 일상 작업을 빠르게 처리할 수 있는 기능과 도구를 제공하므로 내부 및 외부 고객에게 월등한 서비스를 제공할 수 있습니다.
전체 내용오늘날의 비즈니스에는 IT 서비스의 유연성과 기능이 더욱 많이 필요합니다. 역사적으로 비즈니스 정보와 시스템에 대한 액세스를 관리하려면 제한된 수의 계정을 사용한 직접적인 상호 작용이 필요했습니다. 점차적으로 액세스를 관리한다는 것은 내부 고객 수의 증가뿐 아니라 기업 외부의 협력업체 및 고객의 증가를 처리한다는 의미가 되었습니다.
이러한 액세스 요구의 증가로 인한 오버헤드는 상당한 크기가 될 수 있습니다. 따라서 관리자는 기업 내부 및 외부 사용자가 안전하 고 효율적으로 직무를 수행할 수 있도록 해야 합니다. 또한 최초 액세스를 제공한 후, 비밀번호 분실, 역할 및 비즈니스 관계 변화 등 세부적인 업무를 처리해야 합니다.
Identity Manager는 동적 환경에서 이러한 관리 업무를 관리하는 데 도움이 되도록 특별히 개발되었습니다. Identity Manager를 사용하여 액세스 관리 오버헤드를 분산함으로써 액세스를 어떻게 정의할 것인가, 액세스가 정의되면 어떻게 유연성과 제어를 유지할 것인가 등의 주요 업무에 대한 솔루션을 제공할 수 있습니다.
안전하면서도 유연하게 설계되었기 때문에 사용자는 기업의 구조에 맞춰 Identity Manager를 설정하고 이러한 업무를 해결할 수 있습니다. Identity Manager 객체를 사용자 및 자원 등의 관리하는 항목으로 매핑하여 작업의 효율을 크게 향상시킬 수 있습니다.
Identity Manager 시스템의 목표
Identity Manager 솔루션으로 다음과 같은 작업을 할 수 있습니다.
- 매우 다양한 시스템 및 자원에 대한 계정 액세스를 관리합니다.
- 각 사용자의 계정 배열에 대한 동적 계정 정보를 안전하게 관리합니다.
- 사용자 계정 데이터를 만들고 관리할 수 있는 위임 권한을 설정합니다.
- 수 많은 기업 자원뿐 아니라 더욱 증가하는 엑스트라넷 고객 및 협력업체를 처리합니다.
- 사용자가 기업 정보 시스템에 액세스할 수 있도록 안전하게 권한을 부여합니다. Identity Manager를 사용하면 내부 및 외부 조직 전체에 대하여 액세스 권한을 부여, 관리 및 해지하는 통합된 기능을 활용할 수 있습니다.
- 데이터를 보관하지 않음으로써 데이터의 동기화를 유지합니다. Identity Manager 솔루션은 상위 시스템 관리 도구가 준수해야 하는 두 가지 주요 원칙을 지원합니다.
사용자 액세스 정의
사용자는 기업의 직원, 고객, 협력업체, 공급업체 또는 인수업체를 포함하여 회사와 관련된 모든 사람이 될 수 있습니다. Identity Manager 시스템에서 사용자는 사용자 계정으로 표현됩니다.
이들과 귀사 및 다른 엔티티와의 관계에 따라 컴퓨터 시스템, 데이터베이스에 저장된 데이터, 특정 컴퓨터 응용 프로그램 등, 사용자가 액세스해야 하는 항목이 다릅니다. Identity Manager의 측면에서 이들 항목은 자원이 됩니다.
사용자는 때로 액세스할 각 자원에 대해 하나 이상의 아이디를 가지므로 Identity Manager는 서로 다른 자원에 매핑하는 단일 가상 아이디를 만듭니다. 이를 통해 사용자를 하나의 엔티티로 관리할 수 있습니다.
그림 1. Identity Manager 사용자 계정과 자원의 관계
많은 수의 사용자를 효율적으로 관리하려면 이를 그룹으로 묶을 수 있는 논리적 방법이 필요합니다. 대부분의 기업에서 사용자는 기능적 부서 또는 사업 단위로 그룹화됩니다. 각각의 이들 부서는 보통 서로 다른 자원에 액세스해야 합니다. Identity Manager에서 이러한 유형의 그룹을 조직이라는 용어로 표현합니다.
사용자를 그룹으로 묶는 다른 방법에는 회사 관계 또는 직무 등의 유사성을 기준으로 하는 방법이 있습니다.Identity Manager는 이러한 그룹을 역할로 인식합니다.
Identity Manager 시스템에서 사용자 계정에 역할을 지정하여 자원에 대한 액세스를 쉽게 활성화 또는 비활성화로 설정할 수 있습니다. 계정을 조직에 할당하면 관리 책임을 효율적으로 위임할 수 있습니다.
또한 Identity Manager 사용자는 규칙, 비밀번호 및 사용자 인증 옵션을 설정하는 정책을 통해 직접 또는 간접적으로 관리됩니다.
관리 위임
사용자 아이디 관리의 책임을 성공적으로 분산하려면 유연성과 통제의 균형이 적절해야 합니다. 선택한 Identity Manager 사용자에게 관리자 권한을 부여하고 관리 작업을 위임하여 오버헤드를 줄이고 고용 관리자 등 사용자의 요구를 가장 잘 아는 사용자에게 아이디 관리의 책임을 부여하여 유연성을 높일 수 있습니다. 이러한 확장 권한을 가진 사용자를 Identity Manager 관리자라고 합니다.
그러나 위임은 보안 모델에서만 작동합니다. 통제를 적절한 수준으로 유지하기 위하여 Identity Manager에서 관리자에게 서로 다른 수준의 기능을 할당할 수 있습니다. 기능을 사용하여 시스템 내에서 다양한 수준의 액세스와 작업을 허용할 수 있습니다.
또한 Identity Manager 작업 흐름 모델에는 특정 작업에 승인이 필요하도록 하는 방법이 있습니다. Identity Manager 관리자는 작업 흐름을 사용하여 작업의 통제를 유지하고 이의 진행을 추적할 수 있습니다. 작업 흐름에 대한 자세한 내용은 Identity Manager Workflows, Forms, and Views를 참조하십시오.
Identity Manager 객체
성공적인 관리와 시스템 구현을 위해서는 Identity Manager 객체와 이들 객체가 서로 상호작용하는 방식을 명확히 알아야 합니다. 객체는 다음과 같습니다.
사용자 계정
Identity Manager 사용자 계정:
사용자 계정 설정 프로세스는 동적입니다. 계정 설정 동안 선택한 역할에 따라 계정을 만들기 위한 자원 특정 정보의 양을 조정할 수 있습니다. 역할에 지정된 자원의 수와 유형에 따라 계정 작성에 필요한 정보의 양이 달라집니다.
사용자에게 관리 권한을 부여하여 사용자 계정, 자원 및 다른 Identity Manager 시스템 객체와 작업을 관리하도록 합니다. Identity Manager 관리자는 조직을 관리하고 각 관리 조직의 객체에 적용할 수 있는 범위의 기능을 할당 받습니다.
역할
역할은 Identity Manager 객체로 Identity Manager 사용자 유형을 표현하고 자원을 그룹화하고 사용자에게 지정될 수 있도록 합니다. 일반적으로 역할은 사용자 직무 기능을 나타냅니다. 예를 들어 재무 기업의 경우 역할은 은행 창구 직원, 대출, 지점장, 사무원, 회계직원 또는 관리 대리 등의 직무 기능에 해당합니다.
역할은 사용자에 대한 자원의 기본 세트 및 자원 속성을 정의합니다. 또한 다른 역할을 포함하거나 제외하는 등의 다른 역할과의 관계를 정의합니다.
동일한 역할의 사용자는 자원의 공통 기준 그룹에 대한 액세스를 공유합니다. 각 사용자에게 하나 이상의 관리자 역할을 지정하거나, 역할을 전혀 지정하지 않을 수 있습니다.
그림 2. 사용자 계정, 역할, 자원 관계
위의 그림과 같이 User 1(사용자 1)과 User 2(사용자 2)는 Role 2(역할 2) 지정을 통해 동일한 자원 세트에 액세스합니다. 그러나 User 1(사용자 1)은 Role 1(역할 1) 지정을 통해 다른 자원에 액세스할 수 있습니다.
자원 및 자원 그룹
Identity Manager 자원에는 계정이 만들어진 자원 또는 시스템 연결 방법에 대한 정보가 저장됩니다. Identity Manager가 액세스를 제공하는 자원은 다음과 같습니다.
각 Identity Manager 자원에 저장되는 정보는 여러 가지 주요 그룹으로 분류됩니다.
Identity Manager 사용자 계정은 다음을 통해 자원에 액세스할 수 있습니다.
그림 3. 자원 할당
관련 Identity Manager 객체인 자원 그룹은 자원을 할당하는 방법과 동일한 방법으로 사용자에게 할당할 수 있습니다. 자원 그룹은 자원과 상호 관련되므로 특정한 순서로 자원에 대한 계정을 만들 수 있습니다.
조직
조직은 관리 위임을 가능하게 하는 Identity Manager 컨테이너입니다. 조직은 Identity Manager 관리자가 제어 또는 관리하는 항목의 범위를 정의합니다.
또한 디렉토리 기반 자원에 대한 직접 링크를 나타내기도 하는데, 이를 가상 조직이라고 합니다. 가상 조직을 사용하면 정보를 Identity Manager 저장소로 로드하지 않고 자원 데이터를 직접 관리할 수 있습니다. Identity Manager는 가상 조직을 통해 기존 디렉토리 구조와 구성원을 미러링함으로써 많은 시간이 소요되는 중복적인 설정 작업을 할 필요가 없도록 해줍니다.
다른 조직이 포함된 조직은 상위 조직이라고 합니다. 조직은 일차원적 구조로 만들거나 계층으로 정렬할 수 있습니다. 계층은 부서, 지리적 영역 또는 기타 사용자 계정을 관리하는 논리적 단위를 나타냅니다.
기능
각 사용자에게 기능 또는 권한 그룹을 할당하여 Identity Manager을 통한 관리 작업을 수행하도록 할 수 있습니다. 관리 사용자는 기능을 사용하여 시스템에서 특정 작업을 수행하고 Identity Manager 객체에 대한 작업을 수행할 수 있습니다.
일반적으로 기능은 비밀번호 재설정 또는 계정 승인 등의 특정한 직무 책임에 따라 지정됩니다. 각 사용자에게 기능과 권한을 할당하여 데이터 보호를 손상시키지 않고 목표로 한 액세스와 권한을 제공하는 계층적 관리 구조를 만들 수 있습니다.
Identity Manager는 일반적인 관리 기능을 위한 일련의 기본 기능을 제공합니다. 특정 요구에 맞는 기능을 만들어 할당할 수도 있습니다.
관리 역할
관리 역할을 사용하여 관리 사용자가 관리하는 각 조직에 대해 고유한 기능 세트를 정의할 수 있습니다. 관리 역할은 할당된 기능과 제어된 조직이며 관리 사용자에게 할당됩니다.
기능과 제어된 조직은 관리 역할에 직접 할당될 수 있습니다. 또한 관리 사용자가 Identity Manager에 로그인할 때마다 간접적으로(동적으로) 할당할 수 있습니다. 이때 Identity Manager의 규칙이 동적 할당을 제어합니다.
객체 관계
Identity Manager 객체 및 이 객체들간의 관계를 간략히 정리하면 다음 표와 같습니다.
표 1. Identity Manager 객체 관계
Identity Manager 용어Identity Manager 인터페이스와 설명서는 다음과 같이 용어를 정의합니다.
관리 역할
관리 사용자에게 할당된 각 조직 세트에 대한 고유한 기능 세트입니다.
관리자
Identity Manager를 설정하거나 사용자 생성, 자원에 대한 액세스 관리와 같은 운영 작업을 책임지는 사람입니다.
관리자 인터페이스
Identity Manager의 기본 관리 보기입니다.
규칙
XPRESS, XML 객체 또는 JavaScript 언어로 작성된 기능이 포함된 Identity Manager 저장소의 객체입니다. 규칙은 자주 사용되는 논리 또는 양식, 작업 흐름 및 역할에서 재사용되는 정적 변수를 저장하는 방식을 제공합니다.
기능
사용자 계정에 대한 액세스 권한 그룹으로, Identity Manager 내의 낮은 수준의 엑세스 제어로서 Identity Manager에서 수행되는 작업을 관리합니다.
사용자
Identity Manager 시스템 계정이 있는 사람입니다. 사용자는 다양한 Identity Manager 기능을 보유하며 확장된 기능을 보유하는 사용자를 Identity Manager 관리자라고 합니다.
사용자 계정
Identity Manager를 사용하여 만든 계정입니다. Identity Manager 계정 또는 Identity Manager 자원 계정을 참조하십시오. 사용자 계정 설정 프로세스는 동적으로 수행됩니다. 작성할 정보 또는 필드는 역할 할당을 통해 사용자에게 직접 또는 간접적으로 제공되는 자원에 따라 결정됩니다.
사용자 인터페이스
Identity Manager 시스템의 제한된 보기입니다. 사용자용으로 관리 기능이 제외되어 있으며 사용자가 자신과 관련된 다양한 작업(예: 비밀번호 변경 및 인증 질문에 대한 응답 설정)을 수행할 수 있도록 합니다.
스키마
자원의 사용자 계정 속성 목록입니다.
스키마 맵
자원의 Identity Manager 계정 속성에 대한 자원 계정 속성 맵입니다. Identity Manager 계정 속성은 여러 자원에 대한 일반적인 링크를 만들며, 양식에 의해 참조됩니다.
승인자
액세스 요청을 승인 또는 거부하는 관리 기능을 갖고 있는 사용자입니다.
아이디 서식 파일
사용자의 자원 계정 이름을 정의합니다.
양식
웹 페이지 관련 객체로, 브라우저가 페이지의 사용자 보기 속성을 표시하는 방법에 대한 규칙이 포함되어 있습니다. 양식은 비즈니스 논리를 포함할 수 있으며, 보기 데이터를 사용자에게 제공하기에 앞서 처리하는 데 주로 사용됩니다.
역할
Identity Manager에서 역할은 사용자 클래스의 서식 파일 또는 프로필입니다. 각 사용자는 계정 자원 액세스와 기본 자원 속성을 정의하는 하나 이상의 역할에 할당될 수 있습니다.
자원
Identity Manager에서 자원에는 계정이 만들어진 자원 또는 시스템에 연결하는 방법에 대한 정보가 저장됩니다. Identity Manager는 메인프레임 보안 관리자, 데이터베이스, 디렉토리 서비스, 응용 프로그램, 운영 체제, ERP 시스템, 메시징 플랫폼 등의 자원에 액세스를 제공합니다.
자원 그룹
사용자 자원 계정 작성, 삭제 및 업데이트 작업을 관리하는 데 사용되는 자원 모음입니다.
자원 마법사
자원 매개 변수, 계정 속성, 아이디 서식 파일, Identity Manager 매개 변수의 설정 및 구성을 포함하여 자원 작성 및 수정 프로세스를 안내하는 Identity Manager 도구입니다.
자원 어댑터
Identity Manager 엔진과 자원 간의 링크를 제공하는 Identity Manager 구성 요소입니다. 이 구성 요소는 Identity Manager가 특정 자원의 사용자 계정을 관리(작성, 업데이트, 삭제, 인증 및 스캔 기능 포함)할 수 있도록 하고 해당 자원을 통과(Pass-Through) 인증에 사용할 수 있도록 합니다.
자원 어댑터 계정
관리되는 자원에 Identity Manager 자원 어댑터가 액세스하는 데 사용하는 자격 증명입니다.
작업 흐름
문서, 정보 또는 작업이 특정 관계자로부터 다른 관계자로 전달되는 논리적이고 반복적인 프로세스입니다. Identity Manager 작업 흐름은 사용자 계정의 작성, 업데이트, 활성화, 비활성화, 삭제 등을 제어하는 여러 프로세스로 구성됩니다.
정책
Identity Manager 계정에 대한 제한 사항을 설정합니다. Identity Manager 정책은 사용자, 비밀번호 및 인증 옵션을 설정하며 조직이나 사용자에게 연결됩니다. 자원 비밀번호 및 계정 아이디 정책은 규칙, 허용된 단어 및 속성 값을 설정하며 개별 자원에 연결됩니다.
조직
관리 위임을 가능하게 하는 Identity Manager 컨테이너입니다. 조직은 관리자가 제어 또는 관리하는 항목(사용자 계정, 자원 및 관리자 계정)의 범위를 정의합니다. 조직은 주로 Identity Manager 관리의 대상, 즉 위치 정보를 제공합니다.
BPE(Business Process Editor)
Identity Manager 양식, 규칙 및 작업 흐름의 그래픽 보기입니다.
