Embed Size (px)
Citation preview
Active Directory 기반의 인증 / 권한부여 활용
한국마이크로소프트
Windows 도메인 로그온 인증의 사용자 정보를 네트워크 기기나 어플리케이션으로
활용 범위를 확장하여, 싱글 사인 온이나 단일의 인증 및 권한 부여가 가능
Windows Server System
LDAP 인증
SSO 제품
Wireless
VPN
인터넷 액세스 통제 ISA
• Active Directory 기반의 인증 및 권한부여 활용
– Windows Server System 제품군과의 연동 (Exchange, LCS, SPS 등)
– 네트워크 인증을 Active Directory에 통합
– Active Directory 의 사용자 정보를 이용하여 인터넷 등 네트워크 액세스를 통제및 감시(Internet Security and Acceleration Server)
– Active Directory 의 인증 기반을 타 시스템에서 표준 프로토콜을 통해 사용(LDAP, Kerberos, 클라이언트 인증서, RADIUS)
– 통합 Windows 인증을 통한 SSO 제품과의 연동
Active Directory 기반의 인증 /권한부여 활용
싱글 사인 온
Web 어플리케이션(IIS)
SQL Server
파일공유
Exchange Server
Active Directory
VPN 서비스 모바일 사용자
remote access
서비스 (RAS)
공중회선
인터넷
인증서 서비스 Windows XP
액세스 포인트 인터넷 인증 서비스 (IAS)
Active Directory
Application Mode
SSO 제품과의 연동
Web
어플리케이션(Apache)
Active Directory Federation Service
인터넷
Web 어플리케이션
Active Directory Federation Service
Web 어플리케이션의인증 통합
네트워크 기기의 인증을 통합
인터넷 등의 네트워크 액세스제어
클라이언트 PC에서의 log-on 인증
각종 서버 제품군과의싱글 사인 온
인증의 상호 탄 채로들어가는 것
Active Directory 기반의 인증 /권한부여 개요
최초로 도메인 로그온을통해 모든 자원에
투명하게 액세스 가능
Web 어플리케이션Notes
Windows 이외의 시스템도동일 패스워드로 이용가능(MIIS 사용)
Active Directory 기반의 싱글 사인 온 환경
Office Live
Communication Sever
SharePoint Portal ServerExchange Server파일 서버
프린트 서버 Web 어플리케이션
Windows
SharePoint ServicesMicrosoft Project Server
• Windows Server System 제품 군은 Active Directory 의 사용자· 그룹 정보의 공유를
통해 공통의 인증 기반을 사용
• Active Directory 에 한 번의 로그온을 통해, 모든 리소스에 싱글 사인 온으로 액세
스 가능
SQL Server
• 표준기능인 IAS에 의해 Active Directory의 사용자 그룹 정보를 사용한 RADIUS 인증이 가능하기 때문에, 무선유선 LAN·다이얼 업·인터넷 VPN 등의 네트워크 인증을 Active Directory에 통합가능
Internet Authentication Service
통일적인 정책에 의한 인가
유선 LAN인터넷 VPN
Routing And Remote Access
Service
Active Directory
일원적인 네트워크 인증 인증서의발행 가능
무선
다이얼 업
RADIUS통신
패스워드, 인증서, 스마트카드 등의 각종 인증을 지원
네트워크 장비 인증의 통합
• 통합되는 인증 기반을 통해 보안 환경하에서의 다양한 액세스를 제공
VPN 액세스를 통해, 인터넷을 통해사내의 리소스에액세스 가능
무선 LAN을 이용하여, 회의실이나 교육장 등 자신의데스크 이외에서도 업무 수행가능.
사내
자택
Outlook Web Access 를 통해 별도의소프트웨어 설치 없이, 사내 메일을자택의 PC에서 사용 가능
외근
Outlook Mobile Access 를 통해 사내메일을 스마트 폰, 포켓 PC 등에서참조하여 일정이나 연락처를 참조가능
출장
터미널 서비스 특정 어플리케이션을 터미널 서버 상에구성하여, 소프트웨어의 설치의 필요 없이원격에서 어플리케이션 이용 가능
다양한 사내 리소스의 액세스
Internet Security and Acceleration Server 를 통한 인터넷 / 네트워크 통신의 통제 및 로깅
관리자
부정 발견 시관리자에 통지
감시
감시
감시
【ISA 방화벽 클라이언트】어플리케이션의 통신에 인증을
요구하여 ISA Server를 통과하는
특정 어플리케이션의 통신을 제한
사용자 명
실행 프로그램
Internet
ISA Server 로그
【실시간 통신 로그】언제, 누가, 어떤
어플리케이션으로 어떠한
통신 (포트, URL) 을…
서버 세그먼트
정책의 설정
• IP 주소 및 Active Directory 의 사용자·그룹 정보와의 연동을 통해 액세스의 허가·거
부를 제어 가능
• 네트워크 사용자의 통신을 로깅
• 「어플리케이션」의 통신을 「사용자」마다 「실시간」으로 감시
인터넷 등의 네트워크 액세스제어
Windows 플랫폼의 경우 ASP. NET에 의한 SSO App 구축
• Windows 플랫폼의 경우
• Internet Information Services + ASP. NET 으로 통합 Windows 인증을 사용하여 Active
Directory 를 사용하는 싱글 사인 온 어플리케이션 개발이 가능
• 간단한 코드 레벨의 구현
액세스 권한이 없는사용자
IIS 6.0 (통합 Windows 인증)기반의Web 사이트에의 액세스 제어
IIS 6.0
인증AD
Windows
log-onWeb 액세스
Web 액세스
액세스 권한이 있는사용자
Windows
log-on
• Windows 응용프로그램 서버 플랫폼 이외의 경우
• 방법 1: 표준 인증 프로토콜을 이용해 인증·권한 부여를 Active Directory
에 통합
• LDAP 인증/ Kerberos 인증
• Active Directory의 동일 ID / 비밀번호에 의한 인증
• Kerberos 인증의 경우, 싱글 사인 온도 가능
• 방법 2: Cookie 인증에 의한 싱글 사인 온
• 인증 서버로서, 별도의 IIS을 두고 통합 Windows 인증을 해 ,인증정보를 Cookie로 발행
• 단 어플리케이션에서 Cookie의 유·무 여부를 판단하는 로직을 추가해야 함.
• 방법 3: 패키지 제품을 사용한 Web 싱글 사인 온
• 통합 Windows 인증을 지원하는 패키지 SSO 제품을 이용
Web 어플리케이션 인증의 통합
• Apache 의 인증을 Active Directory 상의 사용자 정보를 사용하여
인증을 통합
• 인증 모듈
• LDAP 인증mod_auth_ldap
AD의 계정 정보를 사용한 팝업 인증과 AD의 그룹을 이용한 권한부여가 가능
http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html
• Kerberos 인증
• mod_auth_kerberos
팝업 인증 및 SSO 가능http://modauthkerb.sourceforge.net/index.html
방법 1:표준 프로토콜을 통한 Apache의 인증·권한 부여 통합
IIS6.0 (통합 Windows 인증)을통한 싱글 사인 온 인증
IIS 6.0
인증
AD
Web 액세스
도메인 로그온
Active Directory
도메인 사용자
싱글 사인 온
ApacheAD
팝업 인증
ID
PW
인증 다이얼로그
LDAP을 사용하여 Active Directory
의 사용자 정보로 인증가능
인증
IIS를 사용한 인증
Apache 로 LDAP을 통한 인증
Web 액세스
예제: Web의 인증의 통합
Active Directory Application Mode을 이용하여, Active Directory에서는 어려웠던, 다양한스키마의 확장 사용이 가능하고 인증을 Active Directory에서 수행함으로 패스워드 이중 관리를방지 가능
인증 모듈 mod_ auth_ ldap의 이용
② LDAP Bind(인증)
③대응하는 Windows 사용자로서 인증을 포워드
확장한 사용자 정보・결제 권한・계약 번호
사용자 정보・로그온 명・패스워드
Active DirectoryActive Directory Application Mode
권한 관리용 그룹 예시
・ HR System Admins
・HR Data Wr IT able Users
・HR System Data Export Users
④ LDAP Search(사용자 정보의 취득)
① 폼 인증 or팝업 인증
Apache
ADAM과 LDAP 인증을 이용한 통합 인증
방법 2: Cookie를 사용한 싱글 사인 온
AD에 로그온 완료 시에는 별도의로그온 불필요 (통합 Windows 인증)
Web 어플리케이션(Windows / IIS)
Web 어플리케이션(Linux/Apache 등)
②인증요구(페이지 전송)
MIIS
(option)
ADAM (Option)
권한부여기반
① Web 어플리케이션에
액세스
Cookie
⑤ Cookie로
인증(SSO)
Active Directory
인증기반
• 통합 Windows 인증을 지원하는 제품을 사용할 경우, SSO 시스템 용 인증이 불필요 하기 때문에, 사용자는 도메인에 로그인만 하면 됨.
• AD를 SSO 제품용의 데이터 저장소로 이용하면, SSO 시스템 용의 사용자·그룹 관리를 AD으로 통합 가능
• 데이터 저장소가 AD와 다를 경우라도, MIIS를 사용하여 데이터 저장소의 이중 관리를 피할 수있음.
• 상기에 해당하는 RSA Security ClearTrust, Entrust GetAccess, HP IceWall 등.
plug in
Web 서버 B
Web App
Active Directory
SSO 제품 서버모듈
Web 서버 A
plug in
Web App
⑤ Cookie 로
인증(SSO)
plug in인증용 서버
IIS
SQL Server
② Redirect
사용자 정보의 관리액세스권한의 관리세션 쿠키의 관리
③ 통합 Windows 인증④ Cookie 발행
SSO 용 데이터저장소 예시
or
① Web
어플리케이션에 액세스
방법 3: 패키지 제품을 통한 Web 싱글 사인 온
• 증가하는 그룹, 파트너 기업과의 거래• 공동조달·구매 등으로 시스템의 이용은 사내에 국한되지 않음
• 그룹, 파트너 기업의 시스템을 이용할 때도 ,사내와 같은 ID으로 액세스 필요
• 사외 시스템을 이용할 때도, 보안 정책 적용의 필요
• 그룹, 파트너에게 사내 시스템을 공개할 경우 ,보안상 사외 사용자의 계정을 사내에서 관리하고 싶은 않음.
사내 기업 A
사내 시스템으로의로그온 만으로
안전하게 기업의 Web 어플리케이션을 이용
인터넷
연합 서비스
연합 시스템에서ID 관리는 불필요
표준 기술에 기반하는 크로스 플랫폼의 상호 운용
인증의 상호 연합 환경
연합 서비스를 이용한 인증
IISAD
Company A Company B
Federation의 필요성액세스 확대의 과제
• Privacy
protection
• SOX, HIPAA, etc.
• Auditing and
reporting
Regulatory
Compliance
• Forgotten
passwords
• Logon frequency
• Provisioning
latency
• Mobile access
End User
Productivity
• Account
provisioning
requests
• Password reset
requests
• Account
proliferation
• Service levels
IT/Helpdesk
Efficiency
• Redundancy
• Centralized
policy
management
• Inflexibility
• Integration and
heterogeneity
• Scalability
IT/Developer
Architecture
• Orphaned or
inaccurate
accounts
• Compromised
passwords
• Hackers
• Firewall
• Least access
Security
• Active Directory의 가치를 Intranet에서 Extranet으로 확장– Windows Server2003 R2에서 소개되는 새로운 기능– 사내의 ID을 이용해 파트너 어플리케이션에 싱글 사인 온– 용도: B2B / B2C 정보 공유 & Commerce
• Windows Server 기술과의 연동– Active Directory : 외부 파트너 어플리케이션에 대한 프로필 베이스 접근 관리– Active Directory Application Mode:인트라넷, 엑스트라 넷의 애플리케이션용 사용자
디렉터리– Authorization Manager : 인트라넷, 엑스트라 넷의 역할 베이스의 접근 관리– Windows SharePoint Services :인트라넷, 엑스트라 넷의 정보 공유 스페이스
• Web 서비스 보안 표준 (WS-*)에 기반, ISV 보안 솔루션과의 상호 운영성• 비용 절감과 보안의 향상
– 사용자 계정은 각각의 조직 내에서만 관리– 조직간의 Trust 관계를 세심하게 관리, 인 바운드/ 아웃 바운드의 감사 & 로깅
기업 A 기업 B
AD AD
Active Directory Federation Service
• 기존 Extranet에서의 과제– Extranet 등에 사외 파트너의 인증을 위해,별도 사용자 계정 및 패스워드를
발행– 계정의 신청·발행, 패스워드 Reset의 부하의 대한 부담– 사내에서 관리하고 있는 기존의 ID로 상호의 시스템에 대한 싱글 사인 온 구
현으로 과제 해결 가능
• B2B 시나리오– AD에 대한 인증정보를 통해, 외부 기업의 Web 어플리케이션의 SSO 을 구현
• B2C or B2E 시나리오– 도메인에 참가하고 있지 않는 클라이언트로부터, 한번의 인증으로 복수의 사
내 어플리케이션의 이용 가능
ADFS 활용 시나리오
ADFS 구성요소
Account 파트너 Resource 파트너
Web
어플리케이션
Active Directory
or ADAM
사용자
•Windows 2000 Server또는 Windows Server 2003
(스키마 변경 없음)
Federation Server
Proxy (옵션)Federation
Server
DMZ영역
•Internet Information Services•ASP.NET•NET Framework 2.0(DC와의 공존은 불가)
Resource 파트너에게도Federation Server Proxy
배치 가능Active Directory
Windows SharePoint Services 등의Windows 어플리케이션 이용 시에 필요Account 파트너와 동일하게 사용자 계정또는 그룹의 등록이 필요(패스워드 불필요)
SSL
Web브라우저
Federation
Server
•Internet Information Services
•ASP.NET
•NET Framework 2.0
•ADFS Web Agent
