H 사계정관리솔루션구축사례 2008.04.03 유비웨어랩정진하 jhchung@ubi-ware.com
목 차 1. H사소개및도입배경 2. 이슈및요구사항 3. 아키텍쳐 4. 권한관리프로세스정의 5. IDM 구현프로세스 6. 구현효과 별첨 ) Oracle Identity Manager / esso 소개
1. H 사소개및도입배경 H 사소개 코스닥상장제조회사 직원수 = 1,300, 사업장수 = 6 도입배경 2006 년 1 월부터실시되고있는내부통제관련법령의준수필요 내부회계감사자의인증획득및유지관리를통한재무회계의신뢰성구축 근거법령 [ 주식회사의외부감사에관한법률 ] 제정에따른의무시행. 한국상장회사협의회내상설기구인내부회계관리제도운영위원회에서제정한내부회계관리제도모범규준을적용하여회계정보팀에서주관 내부통제결과에따른조치사항 CFO 는매반기마다운영실태이사회및감사에게보고, 감사는연 1 회이사회보고 감사위원회의부적합판정시감사의견미제출로인해관리종목선정초래.
2. 이슈및요구사항이슈 내부통제관리대상항목 응용프로그램의미사용 ID 삭제 슈퍼유저계정관리 응용프로그램의패스워드정책 VPN 계정관리 ERP 시스템의사용자 ID발급승인 MES시스템의사용자 ID발급승인 서버계정생성요청및승인 서버의미사용계정삭제 서버의사용자권한에대한주기적인검토 DB 사용자계정제한 DB의패스워드정책적용 방화벽정책등록 / 변경요청 방화벽접근통제 방화벽정책감사 네트워크장비의패스워드변경 DB에대한접근통제 DB변경에대한승인 서버의패스워드정책적용 총관리항목 : 72 건
2. 이슈및요구사항요구사항 계정 / 권한의 Life Cycle 관리부재 보안측면 실제사용하지않는계정존재 공용 ID 에암호정책적용및관리의어려움 관리측면 사용자가소유한권한확인의어려움 접근권한에대한모니터링 / 리포팅어려움 효율측면 사용자프로파일 (identity) 관리를위한단일접점부재 C/S 환경에대한 Single Sign On 부재
3. 아키텍쳐솔루션및서비스구성도
3. 아키텍쳐 H/W 구성도 Connector 정규직 비정규직 Oracle Identity Manager & esso P/G OIM Repository HA 관리자 Oracle Identity Manager & esso P/G OIM Repository Connector
4. 권한관리프로세스정의 ID 관리범위 권한관리시스템은 ERP, BW 의 ID 를인사 DB 와연동하여자동 / 수동으로관리자가관리할수있도록구축함. 사번에대한패스워드는보안정책을적용하여실행한다. 관리범위 ERP 인사 DB 권한관리시스템 BW
4. 권한관리프로세스정의신규 ID 부여 입사인사 DB 부서배치업무할당 ID 요청 (SR) 요청검토 ( 관리자 ) SR 승인 ID/ 사번연계 (OIM) SR 통보 (SR) 최초접속 ( 사용자 ) PW 변경 ( 사용자 ) (1) 신규입사자의경우인사 DB 가생성되면 OIM 에사번이자동생성됨. (2) 권한요청 SR 은반드시권한관리담당자를선택하여담당자에게바로전송하도록조치 (3) 업무확정시 SR 을통해관리자에게필요한권한을요청하고, 관리자는검토후 SAP 권한을 사번에부여함. (4) 신규입사로권한을부여받은사용자는최초접속시에 PW 를변경하여야함.
4. 권한관리프로세스정의부서변경 전배인사 DB 변경업무할당 권한요청 (SR) 요청검토 ( 관리자 ) 권한부여 / 회수 (OIM) SR 통보 ( 관리자 ) (1) 전배로인한부서변경시신규권한을 SR로요청하고관리자는권한부여시기존권한을회수할지를검토시행한다.
4. IDM 구현프로세스정의부서내담당업무변경 업무변경 업무할당 권한요청 (SR) 요청검토 ( 관리자 ) ID 부여 (OIM) SR 통보 (SR) 기존 ID 회수 (OIM) (1) 부서내담당업무변경으로인한신규권한필요시 SR 을통해요청하고관리자가검토한후 부여되며, 기존권한에대한회수여부는관리자가검토하여반영함.
4. 권한관리프로세스정의사용권한추가 업무추가 신규권한요청 (SR) 요청검토 ( 관리자 ) ID 부여 (OIM) SR 통보 ( 관리자 ) (1) 기존권한외에추가권한을필요로하는경우에는 SR 을통해서관리자의검토후 OIM 에서부여함.
4. 권한관리프로세스정의직책변경시 직책변경 인사 DB 변경 권한요청 (SR) 요청검토 ( 관리자 ) 권한부여 / 회수 (OIM) SR 통보 ( 관리자 ) (1) 직책변경시신규권한을 SR로요청하고관리자는권한부여시기존권한을회수할지를검토시행한다.
4. 권한관리프로세스정의장기미사용자처리 사유발생확인 (OIM) 미사용자 E-mail 통보 (OIM) 권한잠금 (OIM) 사용요청 (SR) 有 無 권한회수 (OIM) 잠금풀기 (OIM) SR 통보 (SR) (1) 일정기간미사용자는 OIM 에서권한잠금을실시하고사용자에게 e-mail 을통보한다. 내용은 일정기간미사용으로 00 일후자동으로권한을회수합니다. 권한이필요한 경우 SR 로권한연장요청을하시기바랍니다. (2) 사용자의해제요청이있는경우잠금을풀어준다. (3) 사용자의해제요청이없는경우일정기간만료시점에자동으로권한을회수한다.
4. 권한관리프로세스정의퇴직자처리 퇴사 인사 DB 변경 ID 회수 (OIM) E-mail 통보 (OIM) (1) 인사 DB 에서퇴사자가발생하는경우자동으로권한을회수하고관리자에게통보됨.
5. IDM 구현프로세스 IDM 프로세스구성 권한관리엔진 ( 위임관리 ) 중재엔진사용자관리엔진정책엔진룰엔진 요청엔진 웍플로우엔지 ( 승인웍플로우 ) 웍플로우엔진 ( 프로비저닝웍플로우 ) 어댑터실행엔진 룰엔진
5. IDM 구현프로세스 IDM 프로세스구성 최종사용자관리플로우위임관리자정책플로우 Authoritative Source 요청플로우최종사용자 ( 기업디렉토리또는관리자인사시스템 ) 관리프로비저닝프로비저닝요청발생신원자료에대한주기적점검 권한관리엔진 ( 위임관리 ) 관리자가권한부여를받으면, 프로비저닝이초기화됨 중재엔진중재이벤트처리사용자관리엔진사용자프로파일생성 / 수정정책엔진룰엔진접근정책에기반한자동화된프로비저닝 요청엔진 요청생성됨 웍플로우엔지 ( 승인웍플로우 ) 룰엔진 웍플로우엔진 ( 프로비저닝웍플로우 ) 어댑터실행엔진 룰엔진 요청승인에기반한프로비저닝 OPERATING SYSTEMS CICS/IMS DATABASES CRM/ERP SYSTEMS LEGACY SYSTEMS
5. IDM 구현프로세스 Provisioning Role Base Business-Role 레이어 IT-Role 레이어 System Privileges 레이어 SAP Role 사용자 A 직무분장 Biz Role 1 IT Role 1 SAP TCODE SAP Profile SAP Group SAP R3 IT Role 2 권한그룹 사용자 B Role Biz Role 2 권한코드 VARTZ 사용자 C IT Role 3 권한그룹권한코드 In-house APP Attestation Role Biz Role n IT Role n 권한그룹권한코드 감사인 AUTOWAY
로비져닝보직변경 5. IDM 구현프로세스 Provisioning Rule Base Reconciliation 승진 반HR 시스템 Rule 기자동발급처리 Rule 엔진 SAP R/3 프부서이동 Active Directory 사용자정보변경 AUTOWAY IF 업무 = THEN 계정발급 (AD,AUTOWAY, ) IF 부서 = THEN 계정발급 (SAP, AD, ) IF 직급 = THEN 계정발급 (AUTOWAY, )
프로비져닝계정 / 권한신청화면 워크플인터페S E 5. IDM 구현프로세스 Provisioning Request Base 셀프서비스화면 대리신청 로이스X X 반려 승인자 워크플로엔진 SAP R/3 Active Directory AUTOWAY Context 확인
5. IDM 구현프로세스입사프로세스 Oracle Identity Manager 정규직 인사시스템 (HR DB) HR DB 커넥터 중재 (Reconciliation) 엔진 esso 인증정보저장소 Identity 저장소 사용자그룹 Access Policy 워크플로우 계약직 / 파트너 등록요청 승인 관리자에의한등록 (Expire Date 설정 ) 대상시스템
5. IDM 구현프로세스업무 / 역할변경 / 부서이동프로세스 Oracle Identity Manager 정규직 인사시스템 (HR DB) HR DB 커넥터 중재 (Reconciliation) 엔진 esso 인증정보변경 Identity 저장소 사용자그룹 Access Policy 워크플로우 계약직 / 파트너 변경요청 승인 관리자에의한변경 (Expire Date 설정 ) 대상시스템계정권한재할당
5. IDM 구현프로세스정규직퇴직프로세스 관리자 Oracle Identity Manager 퇴사자 / 권한회수정보알림 퇴직 인사시스템 커넥터 중재 (Reconciliation) Engine Identity 저장소 Access Policy 프로비저닝워크플로우 esso 인증정보저장소 대상시스템권한회수
5. IDM 구현프로세스장기미사용자기간만료프로세스 관리자 사용자 Oracle Identity Manager 만료자 / 권한회수정보알림 권한회수예정알림 / 권한회수알림 사용기간만료시 스케쥴러 Access Policy /Expire Date 프로비저닝워크플로우 esso 인증정보저장소 대상시스템권한회수
5. IDM 구현프로세스패스워드관리프로세스 Oracle Identity Manager 패스워드만료알림 스케쥴러 esso 인증정보변경 사용자 셀프서비스 요청엔진 Identity 저장소 프로비저닝워크플로우 패스워드초기화
5. IDM 구현프로세스공용계정패스워드관리프로세스 Oracle Identity Manager esso 인증정보변경 Identity 저장소 스케쥴러 패스워드재설정대상공용 ID 추출 2 1 패스워드재설정워크플로우 공용 ID 어플리케이션
5. IDM 구현프로세스장기미사용자계정처리프로세스 사용자 로그인 인증로그 DB 장기미사용자정보추출 계정회수및예정알림메일 Oracle Identity Manager 스케쥴러 Access Policy 프로비저닝워크플로우 esso 인증정보회수 대상시스템권한회수
5. IDM 구현프로세스임의계정생성프로세스 Oracle Identity Manager 계정추가 대상시스템 커넥터 중재 (Reconciliation) 엔진 대상시스템 관리자공지 Accept / Reject 워크플로우 Accept: Identify 저장소정보변경
5. IDM 구현프로세스로그인프로세스 사용자 PC Oracle Identity Manager (OIM) 프로파일 / 암호관리 Oracle ESSO Provisioning i i Gateway SAP Web Sites 사용자 인증 인증정보저장소 Portal Custom App Oracle ESSO Logon Manager 사용자 PC SSO 대상시스템
5. IDM 구현프로세스로그인예시 통합인증관리프로그램실행 통합인증관리프로그램로그인 SAP GUI 에서업무용시스템선택 로그인자동화 업무프로그램
5. IDM 구현프로세스로그인예시 2-SAP 통합인증관리프로그램실행 통합인증관리프로그램로그인 SAP GUI 에서업무용시스템선택 사용할업무시스템 ID 선택 로그인자동화 업무프로그램
5. IDM 구현프로세스로그인예시 3- 네이버 통합인증관리프로그램실행 통합인증관리프로그램로그인 웹브라우저선택 로그인자동화 사용할업무시스템 ID 선택
5. IDM 구현프로세스보고서 OIM 표준보고서 ( 약 20개 ) / 커스텀보고서 ( 약 13개 ) 리포팅및감사기능을통해규정준수를저렴한비용으로가능하게함 - 규정준수를위한리포트로입증됨 보고서명 설명 운영보고서 사용자리소스액세스목록리소스액세스목록정책목록정책세부목록 OIM 암호만료리소스암호만료그룹맴버쉽자격요약증명프로세스목록 사용자에대한현재의리소스할당상태 리소스에권한을가지고있는사용자리스트 시스템내에서정의된모든정책의스냅샷 시스템내에서정의된특정정책에대한전체세부정보 OIM 암호만료예정인사용자목록 리소스암호만료예정인사용자 그룹멤버쉽스냅샷 각리소스에포함된상태별사용자수 정의된모든증명프로세스의스냅샷
5. IDM 구현프로세스보고서 - 계속 이력보고서 보고서명 사용자리소스액세스기록 사용자프로파일기록 리소스액세스기록 그룹맴버쉽기록 사용자맴버쉽기록 Custom 보고서 일정기간미접속자현황 공용 ID 사용및할당현황 미사용 ID 현황 팀별 ID 사용현항 복수 ID 사용자현황 설명 사용자의리소스액세스에대한임시기록 사용자프로파일에대한임시기록 선택한리소스에대한사용자액세스목록기록 사용자 - 그룹의멤버쉽에대한임시기록 사용자그룹에서사용자의멤버쉽에대한임시기록 지정한 90 일동안사용하지않은계정리스트 공용 ID 를사용하고있는사용자리스트 공용 ID 중사용되지않고있는계정리스트 팀별 ID 사용현황 복수 ID 사용자리스트
6. 구현효과 규정준수 내부통제관련법령준수 관리비용절감, 업무의효율성증대 자동화된 Provisioning /De-Provisioning 위임관리 (delegate admin) /Self-ServiceService Help 데스크콜감소로인건비를절감 Provisioning* 을통한 IT담당직원의 ROI 증대 사용자편의성증대 Single Sign On, 셀프서비스 (Self-Service) 를통한업무효율성증대 보안강화 Access Policy 적용 Password 정책적용 공용 ID 에대한 password 변경강제화
별첨 ) Oracle Identity Management Leading Portals & Applications Oracle Access Manager Oracle Enterprise Single Sign-On Oracle Identity Federation Oracle Identity Manager Oracle Web Services Manager Oracle Virtual Directory Oracle Internet Directory Leading Directories, OS, DBs, J2EE
Oracle Identity Manager
Oracle Identity Manager 이란? Oracle Identity Manager 의역할? 계정관리자동화 사용자계정및권한 lifecycle 관리 보안강화 사용자 사용자 Profile 기업리소스 Oracle Identity Manager 는계정과권한관리에최적화된 provisioning solution이다.
As-Is 이미지 Business Domain IT Domain 정규직 Mainframe Policy / Role Business Identity Portal Directories 접근정책 Policy / Role 비정규직 비즈니스롤 Core Apps Databases User Policy / Role Collaboration Policy / Role Operating Systems 파트너 File and Print
To-Be 이미지 기업비즈니스및정책이반영된 IT 환경의구축 정규직 Identity Hub O/S 비즈니스롤 Sun LDAP Access Mgmt Portal 워크플로우 비정규직 접근정책 Oracle, SAP Core Apps Oracle LDAP Desktop / Network Custom Apps Portal & EAM 파트너 Groupware
Oracle Identity Manager 기능모델
주요특징 : Policies / RBAC 사용자의리소스접근에대한정책관리 롤 / 속성기반의정책엔진 각리소스에대한세밀한권한제어 자동화된계정 provision/de-provision정책 Access Policy configuration Roles and Rules configuration
주요특징 : Workflow 승인과공급 workflow 지원. 비즈니스기반승인 workflow IT 기반의공급 workflow 고도의확장성과유연성을갖춘아키텍쳐 Global task library지원 Adapter framework 지원 수동과자동공급태스크혼합지원. 태스크의상태, 데이터의가용성정보제공
주요특징 : 구축툴 Deployment Manager 개발, 스테이징, 운영환경이관지원 개발작업통합및분산지원 전체또는부분임포트 / 익스포트 -XML package사용 versioning 과 archiving 지원 그래픽위져드제공 Di ti D hb d Diagnostic Dashboard 설치전후환경에대한테스트. - 연결, 네트웍, 환경설정
주요특징 : 통합기술 Agent-less architecture 표준기반의 connectors 다양한 OOTB(out of the box) connectors 표준기술기반의 connectors (e.g. flat file, LDAP, JDBC, Web Services ) Adapter Factory 컨넥터유지및개발GUI 툴 코드자동생성 Business application connectors SAP Oracle ebusiness PeopleSoft Siebel
주요특징 : 지원 Connectors Database Servers Directory Servers Enterprise Applications Enterprise Messaging g * * Operating Systems Security Management * RACF * ACF2 TopSecret Help Desk * Web Access Control
Oracle Identity Manager 아키텍처 J2EE 표준기반 / 확장성있는 3-tier 아키텍처
Oracle Enterprise Single Sign On
Enterprise Single Sign On 이란? 하나의계정과패스워드로다양한이종시스템에액세스할수있게함 클라이언트-서버및웹기반시스템포괄 모든사용자와사용자가접근하고자하는시스템들사이에위치 Network Window s Web Sites Mainframes (OS390, AS400) Java Sign-on Sign-on Extranet & Portal
Oracle ESSO 특장점 Features 단일계정과패스워드를통해메인프레임, 클라이언트-서버, 웹기반시스템등다양한이종의시스템들에접근할수있게함 모든사용자와사용자가접근하고자하는시스템들사이에위치 Benefits 패스워드분실가능성제거 규정준수에대한요구충족 모든어플리케이션에대해강력한인증확장적용효과 Oracle ESSO
Oracle ESSO Suite Oracle ESSO Logon Manager: Windows, 웹, 호스트, 메인프레임, 그리고자바어플리케이션에별도의수정없이 SSO를가능하게함 Oracle ESSO Provisioning Gateway: Oracle Identity Manager로하여금 ESSO Logon Manager 에사용자계정과패스워드를프로비저닝할수있게하는인터페이스 Oracle ESSO Authentication Manager: 접근을통제하는데에토큰, 스마트카드, 생체인식및패스워드등을조합해서사용할수있게함 Oracle ESSO Kiosk Manager: 공용사용자환경에서비활성세션들에대한자동종료기능제공 Oracle ESSO Password Reset: Windows 패스워드를헬프데스크도움없이사용자들이스스로초기화할수있게함 Oracle ESSO Logon Manager Oracle ESSO Provisioning Gateway Oracle ESSO Authentication Manager Oracle ESSO Kiosk Manager Oracle ESSO Password Reset
Oracle ESSO Suite Architecture Oracle ESSO Password Reset Oracle ESSO Suite Management Console Oracle ESSO Provisioning Gateway Oracle Identity Manager (OIM) Password Directory, Domain, Database Windows Web Sites PKI Oracle ESSO Logon Manager Mainframes (OS390, AS400) Biometrics Oracle ESSO Authentication Manager Java Token/ Smart card Oracle ESSO Kiosk Manager Extranet & Portal User Auth User s s Desktop Application Sign-On
Oracle ESSO Logon Manager 윈도우, 웹, 자바, 어플리케이션기반의호스트, C/S 에빠르고용이하게 SSO구축가능 기존어플리케이션 ( 윈도우, 웹, 자바, 어플리케이션기반의호스트, C/S) 에대한중앙관리및제어를가능하게함 모든인증이필요한응용프로그램에대한사용내역을리포팅함 Oracle ESSO Logon Manager
Oracle ESSO - Windows 패스워드초기화 Windows 암호재설정이필요할경우사용 Windows O/S 의인증및관리기능과통합 다양한사용자인증질문 Oracle ESSO Password Reset Oracle ESSO Logon Manager
Identity Management 와의연계 Oracle Identity Manager 와통합되어사용자의시스템계정정보공급 사용자가전혀개입되지않으므로사용자가응용프로그램의암호를알필요가없음 Oracle Identity Manager를사용자의셀프서비스암호관리인터페이스로통합할수있음 누가어떤시스템에접속해서아용했는지에대한자세한리포팅 Oracle ESSO Provisioning Gateway Oracle ESSO Password Reset Oracle ESSO Logon Manager
공용환경에대한세션관리 공용워크스테이션이나 PC 에서의보안을제어할수있음 실행중인응용프로그램에대한안전한종료 빠른사용자전환 Oracle ESSO Kiosk Manager Oracle ESSO Provisioning Gateway Oracle ESSO Password Reset Oracle ESSO Logon Manager
다양한인증방식지원 스마트카드, 생체인증, 토큰등다양한인증방법제공 인증방식에대한 fail-over 인증방식에따른다른권한부여 Oracle ESSO Authentication Manager Oracle ESSO Kiosk Manager Oracle ESSO Provisioning Gateway Oracle ESSO Password Reset Oracle ESSO Logon Manager