1. 온프레미스 액세스 관리에서 Oracle Identity Cloud Service로 이전하는 방법에 대해 알아보기
  2. 클라우드 로드맵 단계에 대해 알아보기

클라우드 로드맵 단계에 대해 알아보기

이 클라우드 도입 로드맵의 목표는 온프레미스 액세스 관리 시스템을 Oracle Identity Cloud Service로 마이그레이션하고, 클라우드 및 온프레미스 애플리케이션을 Oracle Identity Cloud Service에서 제공하는 Single Sign-On과 통합하는 것입니다.

이 로드맵에는 네 단계가 있습니다. 고유한 업무 우선순위와 타임라인이 있으므로 한 단계에서 다른 단계로 마이그레이션하는 프로세스는 고유합니다. 로드맵에는 다음 단계로 마이그레이션할 수 있도록 각 단계에 대해 충족해야 하는 최소 요구 사항이 포함되어 있습니다.

단계 1 이해

이 단계에서는 온프레미스 및 클라우드 애플리케이션에 대한 환경을 분리했습니다. 이러한 응용 프로그램은 인증 목적으로 통합되지 않습니다. 사용자는 사인인하여 온프레미스 애플리케이션에 액세스한 후 다시 사인인해야 서로 다른 인증 플로우를 통해 클라우드 애플리케이션에 액세스할 수 있습니다.

다음은 cloud-roadmap-stage-1.png에 대한 설명입니다.
그림 cloud-roadmap-stage-1.png에 대한 설명

단계 2 이해

이 단계에서는 Oracle Identity Cloud Service를 사용하여 온프레미스와 클라우드 애플리케이션 간에 SSO(Single Sign-On)를 설정합니다.

사용자의 온프레미스 애플리케이션에 사인인하는 방법을 변경하여 사용자에게 영향을 주지 않으려면 SAML(보안 검증 마크업 언어)을 사용하여 온프레미스 액세스 관리 시스템을 Oracle Identity Cloud Service와 통합할 수 있습니다. 액세스 관리 시스템은 ID 제공자의 역할을 하며 Oracle Identity Cloud Service는 서비스 제공자의 역할을 합니다.

사용자가 Oracle Identity Cloud Service와 통합된 클라우드 애플리케이션에 액세스하려고 하면 Oracle Identity Cloud Service에서 온프레미스 액세스 관리 시스템에 인증을 위임합니다. 액세스 관리 시스템은 사인인 페이지를 제공하며 사용자는 자격 증명을 시스템에 제출합니다.

다음은 cloud-roadmap-stage-2.png에 대한 설명입니다.
그림 cloud-roadmap-stage-2.png에 대한 설명

또는 사용자가 Oracle Identity Cloud Service에 사인인하여 온프레미스 애플리케이션에 액세스하도록 하려는 경우 온프레미스 액세스 관리 시스템과 Oracle Identity Cloud Service 간의 신뢰 관계를 변경합니다. 이렇게 하면 Oracle Identity Cloud Service가 ID 제공자로 작동하고 액세스 관리 시스템이 서비스 제공자로 작동합니다. 사용자가 Oracle Identity Cloud Service와 통합된 클라우드 애플리케이션에 액세스하려고 하면 Oracle Identity Cloud Service가 사용자를 인증합니다. 그런 다음 사용자가 온-프레미스 액세스 관리 시스템과 통합된 온-프레미스 애플리케이션에 액세스하려고 하면 시스템에서 인증을 Oracle Identity Cloud Service에 위임합니다.

Oracle Identity Cloud Service를 ID 제공자로 사용하면 4단계에 나열된 기능과 같은 기능을 활용할 수 있습니다. Oracle Identity Cloud Service 사인인 페이지를 사용자정의하거나 이 페이지를 브랜드화하여 회사의 표준을 따를 수도 있습니다. 이렇게 하면 유저에 대한 인증 흐름의 변경 효과를 최소화할 수 있습니다.

단계 3 이해

이 단계에서는 온프레미스 애플리케이션을 Oracle Identity Cloud Service와 직접 통합합니다.

Oracle Identity Cloud Service에서 지원하는 통합 방법을 식별하여 Single Sign-On 용도로 애플리케이션을 통합해야 합니다. 예를 들면 다음과 같습니다.

  • 앱 카탈로그에 나열된 애플리케이션에 대한 앱 템플리트입니다.
  • 통합 - 애플리케이션이 서비스 제공자이고 Oracle Identity Cloud Service가 ID 제공자인 SAML(보안 검증 마크업 언어) 애플리케이션의 경우
  • OpenID Connect - OpenID Connect를 지원하는 애플리케이션용입니다.
  • EBS Asserter - Oracle E-Business Suite 애플리케이션용
  • SDK(소프트웨어 개발 키트) - 소스 코드에 액세스할 수 있는 응용 프로그램입니다.
  • WebGate - WebGate 보호 애플리케이션의 경우
  • OpenID Connect, OAuth, SDK 또는 SAML이 애플리케이션에 적용되지 않는 경우 Secure Form Fill입니다.
  • 앱 게이트웨이 - 게이트웨이에서 지원하는 엔터프라이즈 애플리케이션용입니다.
다음은 cloud-roadmap-stage-3.png에 대한 설명입니다.
그림 cloud-roadmap-stage-3.png에 대한 설명

온프레미스 액세스 관리 시스템에서 Oracle Identity Cloud Service로 애플리케이션을 마이그레이션하는 데 필요한 노력을 평가해야 합니다. 또한 일부 응용 프로그램을 마이그레이션하지 못할 수 있으므로 이러한 응용 프로그램은 액세스 관리 시스템에 따라 달라집니다.

단계 4 이해

이 단계에서 온프레미스 애플리케이션은 더 이상 액세스 관리 시스템에 의존하지 않습니다.

온프레미스 액세스 관리 시스템에서 Oracle Identity Cloud Service의 연결을 해제하고 Oracle Identity Cloud Service 기능을 활용할 수 있습니다. 다음과 같은 몇 가지 기능이 있습니다.

  • 적응형 보안: Oracle Identity Cloud Service 내의 사용자 동작에 따라 강력한 인증 기능을 제공합니다. Adaptive Security는 활성화된 경우 너무 많은 로그인 실패 및 MFA(다중 요소 인증) 시도와 같은 과거 동작을 기반으로 사용자의 위험 프로파일을 분석할 수 있습니다.
  • 사인인 정책: 사인온을 허용하거나 사용자가 Oracle Identity Cloud Service에 사인인하지 못하도록 하는 관리자 정의 기준입니다.
  • MFA: 유저 ID를 확인하려면 두 가지 요소가 필요합니다. 첫번째 요소는 사용자 이름과 암호를 묻는 프롬프트입니다. 두 번째 요소는 추가 정보 또는 사용자의 신원을 확인하고 로그인 프로세스를 완료하기 위한 두 번째 장치로 구성된 또 다른 확인입니다. 두 가지 요소가 함께 작동하여 다른 보안 계층을 추가합니다.
  • 계정 복구: 사용자가 로그인하는 데 문제가 있거나, 계정이 잠겨 있거나, 비밀번호를 잊어버린 경우 계정에 액세스할 수 있도록 합니다. 관리자는 보안 질문, 전자메일 및 텍스트 메시지의 세 가지 계정 복구 요소를 구성할 수 있습니다.
  • 소셜 사인온: 사용자는 소셜 계정을 사용하여 Oracle Identity Cloud Service에 사인인할 수 있습니다.

Oracle Identity Cloud Service는 이제 액세스 관리 시스템으로 작동하므로 온프레미스 엔터프라이즈 디렉토리를 평가하는 것이 중요합니다. 디렉토리가 필요한 경우 계속해서 AD(Active Directory) 엔터프라이즈 디렉토리 또는 엔터프라이즈 LDAP(Lightweight Directory Access Protocol)에서 Oracle Identity Cloud Service로 사용자를 동기화합니다. 이렇게 하려면 다음 브리지 중 하나를 사용합니다.

  • AD 브리지: AD 엔터프라이즈 디렉토리 구조와 Oracle Identity Cloud Service 간에 링크를 제공합니다. Oracle Identity Cloud Service는 새 사용자 레코드, 업데이트된 사용자 레코드 또는 삭제된 사용자 레코드가 Oracle Identity Cloud Service로 전송되도록 이 디렉토리 구조를 동기화할 수 있습니다. 이 브리지는 AD에서 이러한 레코드에 대한 변경사항을 폴링하고 해당 변경사항을 Oracle Identity Cloud Service로 가져옵니다. 따라서 사용자가 AD에서 삭제되면 이 변경사항이 Oracle Identity Cloud Service로 전달됩니다.
  • 프로비전 브리지: Oracle Internet Directory와 같은 엔터프라이즈 LDAP와 Oracle Identity Cloud Service 간의 링크를 제공합니다. 동기화를 통해 LDAP에서 직접 생성 및 업데이트된 계정 데이터가 Oracle Identity Cloud Service로 풀링되어 해당 사용자를 위해 저장됩니다. 이러한 레코드에 대한 변경사항은 Oracle Identity Cloud Service로 전송됩니다.
다음은 cloud-roadmap-stage-4.png에 대한 설명입니다.
그림 cloud-roadmap-stage-4.png에 대한 설명

마이그레이션할 수 없고 온프레미스 액세스 관리 시스템에 종속된 애플리케이션인 경우 액세스 관리 시스템과 Oracle Identity Cloud Service 간의 신뢰 관계를 변경하십시오. 이렇게 하면 Oracle Identity Cloud Service가 ID 제공자로 작동하고 액세스 관리 시스템이 서비스 제공자로 작동합니다.