Federated Identity Management Jinyong JO jiny92@kisti.re.kr, KREONET, KISTI 본발표의내용은 KISTI/KREONET 의공식적인입장을대변하지않습니다.
국가과학기술연구망 KREONET 2 인프라 네트워크인프라 - 교육과학기술부, 1988-100Gbps 백본 / 국제망, SDN - 17 지역망센터, 200 여가입기관인증 / 인가 (AA) 인프라 - 미래창조과학부, 2015
1 소개 Federated Identity Management
Background Federated Identity Management (FIM) == Federated Identity and Access Management (IAM) Cross domain 간 AA 관리체계 Federation 을통한 ICT 자원공유
FIM Goal 향상된 Accessibility 와 Usability 확보 PD - 가입해야돼? - ID/ 패스워드가뭐더라? 연합 ID 관리를통해해결가능 로그인실패원인 로그인실패횟수
FIM Big Picture Key feature 소속기관에등록된사용자 ID 와비밀번호로외부기관에서제공하는서비스를이용 <img src: incommon.org>
FIM How 서비스제공자와 ID 제공자로구성 FIM 은 ID 제공자와서비스제공자간관계 사용자인증사용자정보제공 SAML 사용자인가 ICT 자원제공 ID 제공자 (Identity Provider/IdP) 사용자인증기능과사용자속성정보를서비스제공자에게제공 ex) 교육기관, 연구기관 서비스제공자 (Service Provider/SP) 속성정보를소비해사용자를인가하고자원을제공 ex) 교육기관, 연구기관, 민간사업자
FIM-based user login Walkthrough 2 인증 4 인가 1 인증요청 사용자 DB ID 제공자 ( 예, 학교 ) 3 속성정보제공 (uid, mail) 서비스제공자 ( 예, 화상회의 ) SAML 게이트웨이구축 SAML 기능추가 [demo single sign in/single sign out]
2 기술개요 Federated Identity Management
FIM Enabler Technology OpenID 하나의 ID 로여러사이트를이용이용편의성확보 SAML 한번의인증으로여러사이트를이용 OAuth API 접근위임을통한사용자인가 2015년, Oauth 2.0을기반으로 SAML을통합한규격발표
Why SAML for FIM? 상호호환성 (Interoperability) The eldest brother(2003 년, Shibboleth 1.0) 행정 / 공공기관간인증게이트웨이연동은 SAML 로 ( 행안부고시, 2010 년 ) SaaS 제공자의 97% 가 SAML ready(2014 년 ) 타통합 ID 관리프로토콜과 Bridging/proxying 가능 신뢰관계 (Trust relationship) 교육및연구기관은 LoA(Level of Assurance) 및 Trust relationship 이중요 ID 제공자와서비스제공자간 1:1 신뢰관계확보필수
What is SAML? Security Assertion Markup Language - OASIS 공개표준 - 사용자인증 / 인가정보의교환을위한 XML 기반의데이터포맷 - 웹싱글사인온 (Web SSO) 을위해필요 - SAML Assertions, Protocols, Bindings, Profiles 로구성 <img src: forumsys.com, C. Pisarkiewicz, 2014>
Trust Relationship SAML 2.0 Metadata - 인증요청한서비스제공자를신뢰? - 인증완료후리다이렉트할주소는? - 사용자속성정보를제공한 ID 제공자를신뢰? - Artifact를해석할주소는? ID 제공자메타데이터 서비스제공자메타데이터 Entity(ID 제공자또는서비스제공자 ) metadata 의생성, 등록, 교환 협약 (agreement) 과 metadata 교환을통해신뢰관계확보 메타데이터교환을통한신뢰관계확보
Circle of Trust (CoC) is a Federation Circle of Trust - An authentication domain - 서비스제공자들과하나이상의 ID 제공자들의연합 - Trust relationship의집합
N:N Trusted Relationship CoC == a federation N:N 신뢰관계시문제점 - 호환성 (profile, signing, encryption 등 ) - 법령준수 ( 개인정보보호법등 ) - 협약 (agreement) - 메타데이터관리편의성 (manual creation/management) N:N 콘트롤타워필요
Control Tower Connection management Trusted 3 rd Party (TTP) - Policy documents; main body and profiles 호환성 (profile, signing, encryption 등 ) 법령준수 ( 개인정보보호법등 ) 협약 (agreement) - Federation tools and services 호환성검증 메타데이터관리편의성 (manual creation/management) Single/central/shared point of connection management <img src: H. Zandbelt, Next gen federation architectures, 2014>
2 TTP Model TTP TTP Hub-and-spoke +: enhanced controllability, protocol translations -: management cost, breaches by compromised users Full mesh with discovery service +: low management cost, -: low controllability <img src: H. Zandbelt, Next gen federation architectures, 2014>
TTP provides federation tools Discovery service - 다수의 ID 제공자 (Authentication service) 존재 - 로그인할 ID 제공자들을탐색 Resource registry - SAML 2.0 메타데이터관리편의성제공
3 장점및필요성 Federated Identity Management
Benefits Borderless access with SSO Accessibility & Usability 향상 Privacy Information Protection 강화용이한사용자 / 자원 Integration 공유를통한 Cost 절감 <img src: incommon.org> 사용자 ID 관리의효율성향상, 통합인증을통한서비스이용동선간소화, 사용자정보의일관성유지, 개인정보유출위험성감소, 개인정보관리비용의절감, 인증관련사용자지원비용절감, 신규사용자나서비스의용이한통합, 서비스공동활용, 보안관리지점단일화, 빠른시장진입및국외시장진출용이, 서비스브랜드가치제고
Who benefits? Students, researchers, campus(institutions) 학생및연구자 협력기회증대 자원및데이터접근기회증가 효과적자원활용 연구커뮤니티 쉬운연구협업 (setup 시간을줄임 ) 데이터를이동시키거나공유하기쉬워짐 기관 reputation 향상 대학 / 연구소 강화된보안프로파일적용 양자간계약횟수를줄임 ( 예. 공동구매 )
Benefits Compelling Reason to Act 업무부담경감개인정보동기화개인정보보호강화 Attack point 최소화 인증관련업무 (e.g., Help desk) 가줄어듦 Penn State Univ. 의경우인증관련전화가 85% 감소 한곳에서만개인정보를변경 응용서비스가유지하는개인정보 ( 전화번호, 주소등 ) 가갱신되지않고있음 서비스취약점으로부터개인정보보호강화 탈취할수있는정보가극히제한적 개인정보탈취를위한공격지점이 IdP 로줄어듦 한 IdP 에서얻을수있는개인정보의범위와총량은매우제한적
Need FIM I Collaboration Cloud 이용 COREEN 응용서비스이용 - COREEN 은 KISTI 에서제공하는연구협업환경 - 웹기반, KREONET 자체제공서비스무료 ($1,300/MM), www.coreen.or.kr
Need FIM II Inter-organizational Collaboration University/ Laboratory/ R&D community University/ Laboratory/ R&D community ICT 자원공유를통한협력강화예 ) - 달빛상생프로젝트 (GIST-DGIST) - Grand ICT( 인력양성 / 공동학위 ) - R&D Community 내자원공유 - 대학간통합 University/ Laboratory/ R&D community
Need FIM III Cloud-first 정책 민간클라우드서비스이용 - 인증게이트웨이활용으로비용절감상용 IDM(ID management system) 이용시월 90 원 / 사용자 - 구성원개인정보보호강화 - 서비스종속성완화
Need FIM IV Increased users University/ Research Institution Identity Providers ICT 기술개발 or 도입후활용확산및마케팅 - ID 제공자기관의구성원은잠재적고객 - 기술생존기간연장 Nⅹversion up = new tech. 인터넷, Grid, SAML 이지속적으로이용되고있는이유중하나? 사용자 Research output (Apps/Services)
4 국내외현황 Federated Identity Management
International Status 61 개국가에서자국내연구 / 교육기관을대상으로 FIM 서비스제공 - 한국측 initiative 는 KAFE(Korean Access Federation) - 2016 년현재 pilot 서비스국가로분류 - 선도국경우, 2005~2008 에서비스시작 - 연구망운영기관에서주도
World Top 50 Universities 96% 자국내페더레이션연합체가입 - 총 13 개국가 - 2 개대학소속국가 ( 싱가폴, 홍콩 ) 는페더레이션연합체없음
edugain international FIM hub <img src: surfconext, surf.nl> (EU) 에서운영 37 개국가의페더레이션연합체에서가입 Freely and easily share internationally
Federations joined in edugain 39 개국가에서참여 https://met.refeds.org/
Domestic Status KAFE( 연구교육인증연합 ) 한국내 ID 페더레이션연합체로써국내연구및교육분야 (research and higher education) 을대상으로서비스 한국과학기술정보연구원 (KISTI)/ 국가과학기술연구망 (KREONET) 에서관리 / 운영 ID 제공자 : 연구기관, 교육기관서비스제공자 : 연구기관, 교육기관, 민간사업자 시기 내용 5, 2015 국제연구교육연합, 한국측 initiative 로등록 9, 2015 DGIST( 대경과기원 ), 국내최초 KAFE 가입 12, 2015 8 개서비스제공자확보 2, 2016 GIST( 광주과기원 ), KAFE 가입 3, 2016 UST( 과기연합대학원대학교 ), KAFE 가입한국기술교육대학교, KAFE 가입 5, 2016 충남대학교, KAFE 가입검토중 9, 2016 edugain 참여예정 12. 2016 11 개서비스제공자확보 ( 누계 )
Cases: Gakunin, incommon incommon(internet2/ 미 ) 3,219 개기관 ( 행정기관포함 ) 에서참여연구, 교육, 협업서비스 Gakunin(NII/ 일 ) 일본내국립대 90% 참여 (2008 년부터서비스 ) e-journal, e-learning 서비스
Gakunin FIM-enabled service category 서비스제공자 - 대학 7 개서비스 - 기타 ( 민간, 공공 ) 56 개서비스 - E-journal(content), LMS(education), collaboration 서비스 ID 제공자는 182 개 (May 2016)
AAF FIM-enabled service category AAF 는호주의페더레이션연합체서비스제공자 - 대학 86 개서비스 - 기타 ( 민간, 공공 ) 75 개서비스 - 대학은 Medical/Health, Science 서비스 - 민간 / 공공은 e-journal 서비스 ID 제공자는 58 개 (May 2016)
FIM-enabled services Commercial Microsoft, GoogleApps, Thomson Reuters, Zoom, Box, etc. Non-commercial/R&E Sector 온라인학습관리 (LMS), LIGO, 치매연구, 유전자연구, e-journal, 예술, 인문학, 광자 / 중성자, 스토리지, HPC 등온라인로그인이필요한과학기술응용서비스
FIM-enabled Services 데모 1. 온라인협업 (COREEN/ 한국 ) 2. e-journal/ 과학기술데이터 (NII REO/ 일본 ) 3. 바이오정보 / 분자생물학데이터 (EMBL-EBI/ 영국 ) 4. 미래인터넷테스트베드 (GENI 프로젝트 ) 5. 클라우드컴퓨팅 /Openstack(Okeanos/ 그리스 ) 6. 빅데이터 (UK data service/ 영국 )
2-year-old KAFE Application and Services Self-hosted 서비스 (Non-FIM 포함 ) - ⅹ3 회상회의응용 - ⅹ2 컴퓨팅자원서비스 (RealLab, Emulab) - ⅹ2 커뮤니케이션서비스 (eduroam, XMPP) - ⅹ2 스토리지서비스 (FileSender, Dropbox-like) - ⅹ2 FaaS 서비스 (2016 년도예정 ) - ⅹ1 기타 기관내부서비스통합 - ⅹ1 SDN VDN 응용 ( 진행 ) - ⅹ1 슈퍼컴교육 (2017 예정 ) www.coreen.or.kr 을통해이용가능 /KAFE 비가입기관구성원을위해 Guest IdP 임시제공
5 결론 Conclusion
Conclusion FIM은기관간자원공유를위한국가적 / 국가간 AA 인프라 KAFE는 FIM의활용확산과관리를위한연합체연구, 교육, 협업분야 IT 응용서비스의 KAFE 수용교육기관과연구기관의적극적동참필요
THANKS! Any questions? You can find me at jinyong.jo@gmail.com or coreen@kreonet.net