Identity Lifecycle Manager (ILM) 2007 Overview
목차 1 ILM 2007 제품개요 2 ILM 2007 의메타디렉터리기능 3 ILM 2007 의인증서 / 스마트카드관리기능 4 Summary 1
통합계정관리홖경의필요성 조직내계정정보가다수의시스템에걸쳐산재되어있음으로해서발생하는여러과제를해결하기위해, 통합된계정라이프사이클관리를통한홖경이필요. 통합계정관리가되어있지않은환경의과제 사용자생산성의과제 싞규입사및인사이동시, 시스템별로계정요청및생성을위한대기시갂발생 시스템별로다수의계정 / 패스워드를기억해야함. 관리비용의과제 시스템갂계정정보동기화를위한작업부담 계정생성및패스워드관리에대한부담 보안의과제 퇴직자의계정및권한이삭제되지 않아서발생할수있는보안위협 이상적인계정관리환경 사용자생산성의향상 계정및인증서의단일화된생성 / 권한의설정 계정정보의자동화된동기화 동일한패스워드사용가능 관리비용의절감 다수시스템의계정생성 / 변경의단일화 계정동기화및패스워드관리에대한부담젃감 보안의강화 퇴직자계정및권한의자동삭제 인사이동시, 권한의자동변경 통합계정관리환경의필요! 통합된계정라이프사이클관리환경 2
Identity Lifecycle Manager 2007 을통한계정라이프사이클관리 ILM 2007 을통해다양한계정정보및디지털인증서기반의라이프사이클 ( 생성 / 발급, 변경 / 업데이트, 삭제 / 무효화등 ) 의관리를자동화 / 효율화할수있음. I 사용자계정의생성계정속성의설정스마트카드의발급 계정의생성 계정의삭제 IV 계정무효화 / 삭제권한무효화 / 삭제스마트카드무효 II 인사이동권한의변경계정속성의변경스마트카드의업데이트. 교환 계정의변경 패스워드의변경 III 패스워드동기화패스워드 Reset 3
ILM 2007 기반의계정 / 인증서통합관리 메타디렉터리기능 : 다수의시스템에산재되어있는계정 그룹 / 패스워드를통합관리 인증서 / 스마트카드정보의관리통합 액세스권한관리 ( 그룹멤버십관리 ), 퇴직자에대한계정삭제및인증서무효화관리의효율화를통한보안강화 Identity Lifecycle Manager 2007 인사마스터 임직원정보 인증서 / 스마트카드관리 발급 / 갱신 / 무효화일괄적인발급워크플로우등 계정생성 연결대상시스템 구성 Rule 에따라서 동기화 외부사용자 DB 외부사용자정보 계정생성초기비밀번호설정메일박스및주소생성등 Active Directory 계정정보동기화 패스워드관리툴 계정속성변경의동기화계정삭제및무효화 Email 시스템 그룹관리 계정신청 Web App 확장가능시나리오 그룹관리 Web App 계정속성기반의그룹생성및동기화 패스워드동기화 패스워드의동기화및일괄 Reset 데이터베이스 기타업무어플리케이션 4
목차 1 ILM 2007 제품개요 2 ILM 2007 의메타디렉터리기능 3 ILM 2007 의인증서 / 스마트카드관리기능 4 Summary 5
ILM 2007 의메타디렉터리주요기능 이종분산시스템홖경에서의통합계정관리기능을제공 주요기능 디렉터리동기화 Provisioning / De-Provisioning Master가되는연결시스템으로부터데이터를 Import하여, 필요한정보를타연결시스템들에게동기화 속성단위로 Master 디렉터리 / DB 를지정 데이터의가공가능 ( 복수의속성결합등 ) 인사이동등의비즈니스프로세스에근거해, 필요한시스 템에계정을생성 / 삭제 / 이동 예 ) 계정, 메일주소, 메일박스등의생성 / 삭제 메타디렉터리 복수시스템의패스워드를일원적으로관리 패스워드동기화 (Active Directory 패스워드변경시 ) 패스워드 Reset ( Web 기반 ) 사용자속성기반의보안그룹, 배포그룹생성및관리 패스워드관리 그룹관리 6
ILM 2007 의다양한연결성 대부분의 NOS, 젂자메일, 데이터베이스, 디렉터리, 어플리케이션, 심지어단순파일로의연결에이르기까지, ILM 2007 의뛰어난연결성을통해수많은이종소스들에접속할수있습니다. 시스템종류 예 네트워크운영체제및디렉터리서비스 그룹웨어및업무시스템 메인프레임 Microsoft Windows NT, Active Directory, Active Directory Application Mode, IBM Tivoli Directory Server, Novell edirectory, SunONE/iPlanet Directory, X.500 systems, and other meta-directory products Microsoft Exchange 5.5 / 2000 / 2003 / 2007 GAL, Lotus Notes and Domino, SAP R/3 4.7 / 5.0 IBM Resource Access Control Facility (RACF), Computer Associates etrust ACF2, Computer Associates etrust Top Secret 데이터베이스시스템 Microsoft SQL Server 7.0/2000/2005, Oracle 8i / 9i/ 10g, Informix, dbase, IBM DB2 7 / 8.1 on Windows Server 2003, 8.1 on Linux, 5.1.5 on OS /400 파일기반시스템 DSMLv2, LDIF, CSV, delimited, fixed width, attribute value pairs 기타 - MA SDK 로 Customer 시스템과의동기화가능 - OpenLDAP 2.x 용 MA 가 3 rd Party 에의해제공 7
ILM 2007 메타디렉터리기능의아키텍처 ILM 2007 은크게 Connected Data Source, Management Agent, Metaverse, Connector Space 로구성. - Management Agent (MA) : 대상연결시스템액세스, 액세스정보, 동기화방법설정 - Metaverse : 단일의마스터계정데이터저장소 - Connector Space : 대상연결시스템의데이터저장 Identity Lifecycle Manager 2007 ILM 2007 관리도구 Management Agent Text File MA Connected Systems Microsoft Identity Integration Service Active Directory MA Rule Engine Sync Engine MA Controller Store Layer SQL MA 코딩을통한임의의동기화방법실행 Lotus Notes MA SQL Server (2005/2000) Connector Space Metaverse ILM 2007 구성정보 기타업무시스템 코딩을통한임의의동기화방법실행 대상시스템은별도의에이전트설치불필요 8
ILM 2007 메타디렉터리에서의개체연동개요 ILM 2007 은 Event - driven 의실시갂동기화가아니고, 임의의시점부터의상태베이스의차분동기 architecture 을사용해, 동기화작업은 batch 적으로실행. Real Time 은아니지만, 확장성이나안젂성측면에서뛰어나, 각디렉터리정합성의유지나상태의복구도가능 Connected Systems Connector Space Metaverse 연결시스템의 Import & Mirror Image Export HongG Hong Gil Dong 인사 Master Employee ID ABC123 Employee ID ABC123 Title 과장 Projection Title 과장 SMTP Honggd@abc.com HGilDong Job Code D7/551 재무시스템 Employee ID ABC123 SMTP Honggd@abc.com Job Code D7/551 Join= EmployeeID Department Sales Telephone 1234 Status Active Hong-G Email 시스템 SMTP Honggd@abc.com Telephone 1234 Department Sales Join= SMTP 단일스키마를 LDAP Directory Hong Gil Dong Telephone 1234 Status Active Join= Telephne 속성 Mapping / Flow 기반의 동기화처리 갖는 master data. 개체의속성마다 Import Flow의우선순위설정이가능 9
계정정보의통합및동기화예시 각연결시스템마다관리되고있는사용자정보를 ILM 2007 의 Metaverse 로수집 각연결시스템에마스터계정정보를반영해, 모든사용자계정을동일하게동기화 Connected Systems Connector Space Metaverse Attribute 사용자 ID Value HongGD Directory Employee ID 20001 Email Telephone Attribute Value Title Marketing Manager 사용자 ID HongGD Attribute 사용자 ID Value HongGD Employee ID 20001 Email 시스템 Employee ID 20001 Email HongGD@abc.com Email HongGD@abc.com Telephone Title Telephone 1234 Attribute Value Title Marketing Manager 사용자 ID HongGD 데이터베이스 Employee ID 20001 Email Telephone 1234 Title 10
입사 / 인사이동 / 퇴사처리의자동화예제 인사마스터에서정기적으로발생하는계정의변경사항에대한처리를자동화가능 관리자 1 입사처리 Custom 코딩으로사용자계정의생성및초기패스워드설정의자동화구현가능 데이터베이스 2 인사이동처리 3 퇴사처리 Email 시스템 Active Directory Active Directory Email 시스템 데이터베이스 1 입사처리내용 2 인사이동처리내용 3 퇴사처리내용 [Hire] OU에사용자계정생성 [Develop]OU로사용자이동 [Fire] OU에사용자이동 [HR Group] 으로멤버십추가 [Develop Group] 에멤버십추가 부서속성을 HR 으로설정 부서속성을 HR 으로설정 부서속성을 Develop 으로변경 계정 Disable [HR Group] 멤버십삭제 [Develop Group] 의멤버십삭제 [ 사용자 ] 에사용자생성 [Develop Group] 의멤버십추가 계정삭제 [HR Group] 의멤버십설정 소속명속성으로 Develop 설정 소속명속성으로 HR 설정 [HR Group] 의멤버십삭제 테이블에사용자 Column 생성 속성 Column에 Develop 설정 계정삭제 속성 Column에 HR 을설정 11
Request 기반의계정생성예시 단순한 Work-Flow 모델을통해, Web 사이트로부터의계정생성요청을처리 사외사용자를위한임시계정의생성시나리오등에효율적 관리자용 Web App ILM 2007 3ILM 2007 을통해사젂정의된규칙및프로세스에따라연결시스템에계정을생성 데이터베이스 2Mail Notification 을통한요청에대해관리자가승인 / 반려 계정 Self Service 포털 계정데이터베이스 Email 시스템 1Self Service 포털을통한계정생성을싞청 4 생성된계정및정보를싞청자에게메일로통지 Active Directory 12
개체속성기반의그룹관리자동화예시 ILM 2007 에서제공하는 GroupPopulator 를통해계정속성기반의그룹생성및관리를할수있음. 관리자 GroupPopulator.exe 데이터베이스 2ILM 2007 의계정정보에쿼리를통해 membership 을계산 1 그룹생성규칙설정 ILM 2007 관리계정 Title 속성으로그룹을자동생성한경우 생성되는그룹 Name A B C D E Title Marketing Manager Marketing Manager Marketing Specialist Marketing Specialist Marketing Staff ILM 2007 3ILM 2007 을통해사젂정의된규칙및프로세스에따라연결시스템에그룹을배포 Email 시스템 Active Directory Group Marketing Manager Group Marketing Specialist Group Marketing Staff Group Membership A, B C,D E 13
패스워드관리 Web App 를사용한패스워드초기화 (Reset) 관리자가사용자의초기패스워드를설정 관리자를위한 help desk/ 사용자 Self Service 포털을통해사용자의패스워드를재설정 Active Directory 사용자계정의패스워드변경을반영 ( 동기화 ) 도메인패스워드변경시, 이벤트를 Catch 하여관렦시스템에패스워드를동기화 관리자 Help-Desk/ 사용자 ILM 2007 디렉터리 1Help-Desk 용 / 사용자 Self Service 포털에액세스 2 대상시스템선택후, 패스워드일괄변경 (Reset) Email 시스템 3ILM 2007 을통해연결시스템에실시갂으로패스워드를 Reset/ 동기화 Active Directory 사용자 데이터베이스 1Ctrl+Alt+Del (GINA) 상에서 Windows 패스워드변경을통해새로운패스워드입력 Domain Controller 2DC 의 PCNS 모듈을통해패스워드변경사항을 ILM 에게 Notification 14
목차 1 ILM 2007 제품개요 2 ILM 2007 의메타디렉터리기능 3 ILM 2007 의인증서 / 스마트카드관리기능 4 Summary 15
ILM 2007 의인증서및스마트카드관리기능 ILM 2007 을통해서단일화된디지털인증서와스마트카드의관리기능을제공. ILM 2007 은디지털인증서및스마트카드와같은인증서기반의 Credential 의배포및관리의자동화를통한비용젃감및보안강화. 주요기능 Common Task 에대한정책기반의워크플로우 등록 / 갱싞 / 업데이트 복구 / 카드교체 해지 스마트카드 Retire/disable 임시 / 복제스마트카드발급 스마트카드의커스터마이징 감사및리포팅 Microsoft Certificate 인프라스트럭처에서발생하는사항에대한상세한감사 리포팅에대해 CSV 포맷으로의출력, 그래프및테이블형식으로의프린트가능 스마트카드의일괄발급 클라이얶트사이드에서의 PIN 변경및 Key 복구등 Active Directory Windows Certificate Services 중앙집중 / Self Service 시나리오지원 기존인프라스트럭처와의통합 16
Request 기반의인증서발급예시 ILM 2007 을통해서아래와같은 Request 기반의디지털인증서와스마트카드의발급관리시나리오를구현할수있습니다. 신청자 (Help-Desk 등 ) ILM 2007 1 신청자가 Web 포털에서인증서발행요청 4 신청자에게통지 5 인증서발행 Active Directory 승인자 ( 관리자등 ) 2 승인자에게알림 ( 통지 ) Microsoft CA ( 인증기관 ) 3 승인자가 Web 포털에서요청을승인 SQL 서버 일련의 Flow 는프로파일템플릿설정에의해 Customizing 가능 (Notification API 를제공 ) 17
프로파일템플릿및리포팅SHV 기능예시 프로파일템플릿설정 리포팅기능 관리자 ILM 2007 관리자 ILM 2007 1 템플릿설정 1 검색조건입력 ILM 2007 SQL Server 2 리포트보기, 인쇄, ILM 2007 SQL Server 정의하는 Policy 선택 기본설정 (Policy의유효 / 무효, 승인자수의설정, 등 ) 다운로드 (CSV 형식 ) 신청시에입력시킬 데이터정의 승인자선택 ( 그룹가능 ) 18
목차 1 ILM 2007 제품개요 2 ILM 2007 의메타디렉터리기능 3 ILM 2007 의인증서 / 스마트카드관리기능 4 Summary 19
ILM2007 을통한계정 / 인증서의통합관리 메타디렉터리기능 : 다수의시스템에산재되어있는계정 그룹 / 패스워드를통합관리 인증서 / 스마트카드정보의관리통합 액세스권한관리 ( 그룹멤버십관리 ), 퇴직자에대한계정삭제및인증서무효화관리의효율화를통한보안강화 ILM 2007 사용자계정 인증서 / 스마트카드의 단일화된라이프사이클관리 Active Directory Notes 메타디렉터리 다수시스템의계정을일괄적으로생성 / 변경 / 삭제 동적인액세스권한 ( 그룹 ) 관리 계정 / 패스워드의단일화 인사마스터 Oracle 기타업무시스템 시스템사용자 & 관리자 인증서, 스마트카드 인증서 / 스마트카드관리 인증서 스마트카드의일괄작인발급및관리 계정과연동한인증서 스마트카드발급 / 업데이트 / 무효화 단순 Work Flow, 셀프서비스제공 20
통합계정관리홖경의가치 ILM 2007 기반의통합계정관리를통해서 IT 운영효율성향상, 보안강화, 그리고사용자생산성의향상을제공. 1 IT 운영효율성향상 Provisioning 및패스워드관리의자동화 계정디렉터리및패스워드의수를젃감 계정 ( 사용자 / 컴퓨터 ) / 그룹 / 인증서의단일화된관리 2 보안강화 Windows systems 시스템의자동화된 Lock Down 홖경구현가능 Strong passwords & credential 을쉽게적용및사용가능 휴면계정 / 권한의제거 3 사용자생산성의향상 통합된어플리케이션및리소스에동일한계정 / 패스워드로사용가능 계정, 어플리케이션, 그리고리소스등을보다빠르게찾을수있음. 21
필요구성요소및라이선스SHV 기본구성요소 필요구성요소 Windows Server 2003 Enterprise Edition 또는 Datacenter Edition SQL Server 2005 Standard Edition 또는 Enterprise Edition.NET Framework 2.0 Visual Studio.NET 2003 또는 2005 인증서 / 스마트관리기능에필요 Active Directory Microsoft Certificate Authority(Enterprise CA) IIS 6.0 / SMTP 서버 ( 메일에의한처리통지기능을이용하는경우 ) 인증서 스마트카드발행클라이언트 Windows Vista, Windows XP 또는 Windows 2000 SP4 이상 Internet Explorer 6.0 또는 7.0 스마트카드, 리더및미들웨어등 라이선스 Identity Lifecycle Manager 2007 ILM 2007 을운영하는서버수에대한서버라이센스 관리하는사용자에대한 (CAL) 클라이얶트액세스라이선스 ( 인증서 스마트카드관리기능을이용하는경우에필요 ) Windows Server 2003 Windows Server 2003 Enterprise Edition 의서버라이센스와 User 수혹은 Device 수에대한 Windows Server 2003 클라이얶트액세스라이센스 ( 이미있으면불필요 ) 기타 SQL Server 2005 / 2000 Standard Edition 이상 Visual Studio.NET 2005 / 2003 등 22
참고자료 Learn More About Identity Lifecycle Management ILM 2007 Home Page www.microsoft.com/ilm 2007 Identity Lifecycle Solutions www.microsoft.com/ilm ILM 2007 Evaluation Edition www.microsoft.com/ilm 2007 Learn About Microsoft Identity and Access (IDA) IDA Solutions Home Page www.microsoft.com/ida Work with Microsoft IDA Partners IDA Partners www.microsoft.com/ida 23
Identity Lifecycle Manager 2 IT Professionals Control framework Delegation Information Workers Self-service Business policy management Solution User Management Credential Management Access Management Policy Management Areas Extensibility Windows Communication Foundation Workflow Foundation Workflow Delegation Approvals Notifications Exceptions Heterogeneous Metadirectory Connectors Synchronization Consistency 24
25