Active Directory 기반의인증 / 권한부여활용 한국마이크로소프트
Active Directory 기반의인증 / 권한부여활용 Active Directory 기반의인증및권한부여활용 Windows Server System 제품군과의연동 (Exchange, LCS, SPS 등 ) 네트워크인증을 Active Directory 에통합 Active Directory 의사용자정보를이용하여인터넷등네트워크액세스를통제및감시 (Internet Security and Acceleration Server) Active Directory 의인증기반을타시스템에서표준프로토콜을통해사용 (LDAP, Kerberos, 클라이언트인증서, RADIUS) 통합 Windows 인증을통한 SSO 제품과의연동 LDAP 인증 Wireless SSO 제품 Windows Server System 인터넷액세스통제 ISA VPN Windows 도메인로그온인증의사용자정보를네트워크기기나어플리케이션으로활용범위를확장하여, 싱글사인온이나단일의인증및권한부여가가능
Active Directory 기반의인증 / 권한부여개요 각종서버제품군과의싱글사인온 싱글사인온 Web 어플리케이션의인증통합 Active Directory Application Mode SSO 제품과의연동 Web 어플리케이션 (Apache) Web 어플리케이션 (IIS) 인증의상호탄채로 Active Directory 들어가는것 Federation Service Active Directory Federation Service SQL Server 인터넷 Web 어플리케이션 파일공유 Exchange Server Active Directory 공중회선네트워크기기의인증을통합 remote access 서비스 (RAS) 액세스포인트인터넷인증서비스 (IAS) 인터넷 인증서서비스 Windows XP VPN 서비스모바일사용자인터넷등의네트워크액세스제어 클라이언트 PC 에서의 log-on 인증
Active Directory 기반의싱글사인온환경 Windows Server System 제품군은 Active Directory 의사용자 그룹정보의공유를통해공통의인증기반을사용 Active Directory 에한번의로그온을통해, 모든리소스에싱글사인온으로액세스가능 파일서버프린트서버 Web 어플리케이션 Exchange Server SharePoint Portal Server Windows SharePoint Services SQL Server Office Live Communication Sever Microsoft Project Server Notes Web 어플리케이션 최초로도메인로그온을통해모든자원에투명하게액세스가능 Windows 이외의시스템도동일패스워드로이용가능 (MIIS 사용 )
네트워크장비인증의통합 표준기능인 IAS 에의해 Active Directory 의사용자그룹정보를사용한 RADIUS 인증이가능하기때문에, 무선유선 LAN 다이얼업 인터넷 VPN 등의네트워크인증을 Active Directory 에통합가능 패스워드, 인증서, 스마트카드등의각종인증을지원 Active Directory 일원적인네트워크인증인증서의발행가능 Internet Authentication Service 통일적인정책에의한인가 무선 RADIUS 통신 Routing And Remote Access Service 유선 LAN 다이얼업 인터넷 VPN
다양한사내리소스의액세스 통합되는인증기반을통해보안환경하에서의다양한액세스를제공 사내 터미널서비스특정어플리케이션을터미널서버상에구성하여, 소프트웨어의설치의필요없이원격에서어플리케이션이용가능 무선 LAN 을이용하여, 회의실이나교육장등자신의데스크이외에서도업무수행가능. 출장 VPN 액세스를통해, 인터넷을통해사내의리소스에액세스가능 자택 Outlook Web Access 를통해별도의소프트웨어설치없이, 사내메일을자택의 PC 에서사용가능 외근 Outlook Mobile Access 를통해사내메일을스마트폰, 포켓 PC 등에서참조하여일정이나연락처를참조가능
인터넷등의네트워크액세스제어 Internet Security and Acceleration Server 를통한인터넷 / 네트워크통신의통제및로깅 IP 주소및 Active Directory 의사용자 그룹정보와의연동을통해액세스의허가 거부를제어가능 네트워크사용자의통신을로깅 어플리케이션 의통신을 사용자 마다 실시간 으로감시 관리자 정책의설정 서버세그먼트 실시간통신로그 언제, 누가, 어떤어플리케이션으로어떠한통신 ( 포트, URL) 을 부정발견시관리자에통지 감시 감시 사용자명 감시 실행프로그램 ISA 방화벽클라이언트 어플리케이션의통신에인증을요구하여 ISA Server 를통과하는특정어플리케이션의통신을제한 Internet ISA Server 로그
Windows 플랫폼의경우 ASP. NET 에의한 SSO App 구축 Windows 플랫폼의경우 Internet Information Services + ASP. NET 으로통합 Windows 인증을사용하여 Active Directory 를사용하는싱글사인온어플리케이션개발이가능 간단한코드레벨의구현 액세스권한이없는사용자 Windows log-on Web 액세스 인증 AD 액세스권한이있는사용자 Windows log-on Web 액세스 IIS 6.0 IIS 6.0 ( 통합 Windows 인증 ) 기반의 Web 사이트에의액세스제어
Web 어플리케이션인증의통합 Windows 응용프로그램서버플랫폼이외의경우 방법 1: 표준인증프로토콜을이용해인증 권한부여를 Active Directory 에통합 LDAP 인증 / Kerberos 인증 Active Directory 의동일 ID / 비밀번호에의한인증 Kerberos 인증의경우, 싱글사인온도가능 방법 2: Cookie 인증에의한싱글사인온 인증서버로서, 별도의 IIS 을두고통합 Windows 인증을해, 인증정보를 Cookie 로발행 단어플리케이션에서 Cookie 의유 무여부를판단하는로직을추가해야함. 방법 3: 패키지제품을사용한 Web 싱글사인온 통합 Windows 인증을지원하는패키지 SSO 제품을이용
방법 1: 표준프로토콜을통한 Apache 의인증 권한부여통합 Apache 의인증을 Active Directory 상의사용자정보를사용하여인증을통합 인증모듈 LDAP 인증 mod_auth_ldap AD 의계정정보를사용한팝업인증과 AD 의그룹을이용한권한부여가가능 http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html Kerberos 인증 mod_auth_kerberos 팝업인증및 SSO 가능 http://modauthkerb.sourceforge.net/index.html
예제 : Web 의인증의통합 IIS 를사용한인증 싱글사인온 Web 액세스 인증 IIS 6.0 AD Active Directory 도메인사용자 도메인로그온 Apache 로 LDAP 을통한인증 팝업인증 Web 액세스 인증다이얼로그 ID PW IIS6.0 ( 통합 Windows 인증 ) 을통한싱글사인온인증 Apache 인증 LDAP 을사용하여 Active Directory 의사용자정보로인증가능 AD
ADAM 과 LDAP 인증을이용한통합인증 Active Directory Application Mode Active Directory 1 폼인증 or 팝업인증 Apache 2 LDAP Bind ( 인증 ) 4 LDAP Search ( 사용자정보의취득 ) 인증모듈 mod_ auth_ ldap 의이용 3 대응하는 Windows 사용자로서인증을포워드 확장한사용자정보 결제권한 계약번호 권한관리용그룹예시 HR System Admins HR Data Wr IT able Users HR System Data Export Users 사용자정보 로그온명 패스워드 Active Directory Application Mode 을이용하여, Active Directory 에서는어려웠던, 다양한스키마의확장사용이가능하고인증을 Active Directory 에서수행함으로패스워드이중관리를방지가능
방법 2: Cookie 를사용한싱글사인온 MIIS (option) 인증기반 Active Directory 권한부여기반 ADAM (Option) AD 에로그온완료시에는별도의로그온불필요 ( 통합 Windows 인증 ) Web 어플리케이션 (Windows / IIS) 2 인증요구 ( 페이지전송 ) Web 어플리케이션 (Linux/Apache 등 ) 5 Cookie 로인증 (SSO) 1 Web 어플리케이션에액세스 Cookie
방법 3: 패키지제품을통한 Web 싱글사인온 3 통합 Windows 인증 4 Cookie 발행 1 Web 어플리케이션에액세스 IIS 인증용서버 plug in Web App Web 서버 A plug in 2 Redirect SSO 제품서버모듈 or SSO 용데이터저장소예시 Active Directory 5 Cookie 로인증 (SSO) Web App Web 서버 B plug in 사용자정보의관리액세스권한의관리세션쿠키의관리 SQL Server 통합 Windows 인증을지원하는제품을사용할경우, SSO 시스템용인증이불필요하기때문에, 사용자는도메인에로그인만하면됨. AD 를 SSO 제품용의데이터저장소로이용하면, SSO 시스템용의사용자 그룹관리를 AD 으로통합가능 데이터저장소가 AD 와다를경우라도, MIIS 를사용하여데이터저장소의이중관리를피할수있음. 상기에해당하는 RSA Security ClearTrust, Entrust GetAccess, HP IceWall 등.
연합서비스를이용한인증 증가하는그룹, 파트너기업과의거래 공동조달 구매등으로시스템의이용은사내에국한되지않음 그룹, 파트너기업의시스템을이용할때도, 사내와같은 ID 으로액세스필요 사외시스템을이용할때도, 보안정책적용의필요 그룹, 파트너에게사내시스템을공개할경우, 보안상사외사용자의계정을사내에서관리하고싶은않음. 인증의상호연합환경 사내시스템으로의로그온만으로 사내 인터넷 연합서비스 기업 A 연합시스템에서 ID 관리는불필요 안전하게기업의 Web 어플리케이션을이용표준기술에기반하는크로스플랫폼의상호운용
Federation 의필요성액세스확대의과제 IT/Helpdesk Efficiency IT/Developer Architecture End User Productivity Security Regulatory Compliance Account provisioning requests Password reset requests Account proliferation Service levels Redundancy Centralized policy management Inflexibility Integration and heterogeneity Scalability Forgotten passwords Logon frequency Provisioning latency Mobile access Orphaned or inaccurate accounts Compromised passwords Hackers Firewall Least access Privacy protection SOX, HIPAA, etc. Auditing and reporting AD IIS Company A Company B
Active Directory Federation Service Active Directory 의가치를 Intranet 에서 Extranet 으로확장 Windows Server2003 R2 에서소개되는새로운기능 사내의 ID 을이용해파트너어플리케이션에싱글사인온 용도 : B2B / B2C 정보공유 & Commerce Windows Server 기술과의연동 Active Directory : 외부파트너어플리케이션에대한프로필베이스접근관리 Active Directory Application Mode: 인트라넷, 엑스트라넷의애플리케이션용사용자디렉터리 Authorization Manager : 인트라넷, 엑스트라넷의역할베이스의접근관리 Windows SharePoint Services : 인트라넷, 엑스트라넷의정보공유스페이스 Web 서비스보안표준 (WS-*) 에기반, ISV 보안솔루션과의상호운영성 비용절감과보안의향상 사용자계정은각각의조직내에서만관리 조직간의 Trust 관계를세심하게관리, 인바운드 / 아웃바운드의감사 & 로깅 AD 기업 A 기업 B AD
ADFS 활용시나리오 기존 Extranet 에서의과제 Extranet 등에사외파트너의인증을위해, 별도사용자계정및패스워드를발행 계정의신청 발행, 패스워드 Reset 의부하의대한부담 사내에서관리하고있는기존의 ID 로상호의시스템에대한싱글사인온구현으로과제해결가능 B2B 시나리오 AD 에대한인증정보를통해, 외부기업의 Web 어플리케이션의 SSO 을구현 B2C or B2E 시나리오 도메인에참가하고있지않는클라이언트로부터, 한번의인증으로복수의사내어플리케이션의이용가능
ADFS 구성요소 Active Directory or ADAM Federation Server Windows 2000 Server 또는 Windows Server 2003 ( 스키마변경없음 ) Internet Information Services ASP.NET NET Framework 2.0 (DC 와의공존은불가 ) Account 파트너 DMZ 영역 Federation Server Proxy ( 옵션 ) 사용자 Web 브라우저 Resource 파트너에게도 Federation Server Proxy 배치가능 Active Directory Windows SharePoint Services 등의 Windows 어플리케이션이용시에필요 Account 파트너와동일하게사용자계정또는그룹의등록이필요 ( 패스워드불필요 ) SSL Federation Server Resource 파트너 Web 어플리케이션 Internet Information Services ASP.NET NET Framework 2.0 ADFS Web Agent