IBM Identity Governance & Intelligence
48
IBM Identity and Access Management PoV 2016 박형근 실장
Transcript of IBM Identity Governance & Intelligence
IBM Identity and Access Management PoV 2016박형근 실장
제품 기능 일반IBM IDENTITY AND ACCESS MANAGEMENT POV 2016
3 IBM Security
IM 이중화 구성
- 계정관리시스템은 두 대의 서버에 Active-Active 로 운영합니다. Active 서버 다운 시 자동적으로 다른 Active 시스템이 Take-over 하도록구성합니다.
- 두 대 이상의 서버에 L4스위치를 통한 clustering 형태로 구성하여, 평소에 load-balancing 으로 부하 분산하도록 운영하며, 서버 다운 시나머지 서버가 실시간 take-over를 하도록 구성하여 지속적인 서비스를 수행하도록 구성합니다.
계정관리 시스템
ISIM 1
LDAP(Master)
O/S
L4 Switch L4 Switch
Load-Balancing 자동 Fail-over
사용자 사용자
계정관리 시스템
ISIM 2
LDAP(Master)
O/S
계정관리 시스템
ISIM 1
LDAP(Master)
O/S
계정관리 시스템
ISIM 2
LDAP(Master)
O/S
장애
시스템 장애 시, 자동 Fail-over를 수행하도록 시스템 아키텍처를 디자인하였습니다. IM을 구성하는 WAS, LDAP, DB도자체적인 이중화를 구성하고 있어, 어느 한쪽의 장애가 발생하여도 동작에는 문제가 없습니다.
1. 솔루션 소개 및 구조
4 IBM Security
ISIM은 ID/패스워드 정책 통합관리, 워크플로우, 프로비저닝, 셀프서비스, 감사 및 보고 등의 기능을 갖추고 있으며, Web기반의 Admin Console로 관리자가 아래 주요 기능에 대한 관리를 하고, 사용자는 별도 제공되는 Self Console을 이용하여 비밀번호 변경 등 자신의 계정관련 정보를관리합니다.
ISIM 주요기능
주요 관리 기능 기능 설명
비밀번호 변경 선택한 사용자의 비밀번호를 관리자가 설정하거나 시스템에서 생성한 비밀번호로 변경합니다.
역할 관리 역할(Role)을 추가, 변경, 삭제하고 역할 멤버십을 관리하거나 역할 계층 구조를 관리합니다.
조직 구조 관리 조직정보를 트리 형태로 관리하며 조직, 위치 및 기타 구성요소를 작성, 변경 또는 삭제할 수 있습니다.
사용자 관리 관리 대상 사용자 목록을 제공합니다. 사용자의 정보 수정 및 연계된 계정을 검색/관리 할 수 있습니다.
서비스 관리 관리 대상 서비스 목록을 제공합니다. 서비스의 수정 및 연동상태 확인과 서비스에 연계된 계정을 검색/관리 할 수 있습니다.
Orphan 계정 관리 소유자가 없는 고아계정 목록을 제공합니다. 각 서비스 별로 고아계정을 검색할 수 있으며 고아계정 관리를 할 수 있습니다.
그룹관리 각 서비스에서 관리되는 그룹의 목록을 제공합니다. 주로 OS의 그룹을 관리하며 그룹의 검색/변경/생성/삭제를 할 수 있습니다.
공유 액세스 관리 각 서비스의 공유계정을 관리합니다. 공유계정 정책에 따라 등록된 공유계정을 사용자에게 할당/회수 할 수 있습니다.
정책 관리 계정관리에서 사용자/계정을 관리하기 위한 Provisioning, Reconciliation, ID 생성, 비밀번호, 재인증 등의 정책을 관리합니다.
워크플로우 관리 계정 및 권한에 대한 생성/변경/삭제/상태 변경 시 승인 절차 및 동작 절차를 정의한 워크플로우를 생성/변경/삭제 합니다.
시스템 보안 설정 계정관리 시스템 자체의 보안 설정 및 ISIM 내부 그룹별 접근 화면/기능을 설정 할 수 있습니다.
보고서 요청, 사용자 및 계정, 서비스, 감사 및 보안, 사용자 정의 보고서를 제공하며 사용자가 신규 보고서를 생성 할 수 있습니다.
시스템 구성 사용자/서비스/권한/소유권 Profile, 이메일/화면 양식, 글로벌 정책, Life-Cycle Rule, 글로벌 정책에 대해 설정 할 수 있습니다.
요청 보기 사용자 또는 시스템에 의해 요청된 Task에대한 현황 및 결과를 다양한 검색 조건에 의해 확인 할 수 있습니다.
활동 관리 사용자의 승인 요청 목록, 승인 권한 위임 설정 등 사용자의 개입이 필요한 활동 목록을 볼 수 있습니다.
1. 솔루션 소개 및 구조
5 IBM Security
ISIM은 Eclipse 기반의 독립된 ISIM Adapter 개발도구인 ADT(Adapter Development Tool)을 지원합니다. ADT는 개발자 PC에 설치하여 사용이 가능하므로 개발자는 익숙한 환경에서 다양한 레퍼런스를 통해 신속한 개발을 할 수 있습니다.
2. 기본 기능
2.3. Adapter Development Tool 지원
Adapter Interface 설정 내장된 Javascript 이용한 개발
6 IBM Security
ISIM은 인사 정보를 기반으로 정책 기반의 전사 인프라에 대한 계정 관리를 수행합니다.
2.2 인사 정보 연동
2. 기본 기능
LDAP (사용자/계정
정보)
프로비저닝 정책
Security Identity Manager
ISIM Adapter
사용자 연동
동기화
어플리케이션 계정
계정/권한 DB
OS 계정
OS
DB 계정
DB
사용자
계정신청
7 IBM Security
ISIM은 계정관리를 위한 관리자 콘솔과 사용자를 위한 셀프서비스를 기본 제공합니다. 또한, Customizing 된 계정관리포탈 별도 제공이 가능합니다. ISIM은 대상시스템과의 동기화 기능을 통해 사용자-계정 간 정보 일치 및 시스템에서 불법으로 생성한 계정을 검출하여 자동 조치합니다. 결재시스템과 같은 업무 시스템 연계는 계정관리 포탈에서 업무시스템이 제공해 주는 인터페이스로 연동을 진행합니다.
3.1 계정 생성/수정/잠금/삭제 관리 - 계정 생성/수정/잠금/삭제 관리자 및 사용자 포탈 제공
3. 계정 관리
기본 관리자 콘솔 Customizing된 L사 계정관리 포탈 예기본 사용자 셀프서비스
3.1 계정 생성/수정/잠금/삭제 관리 – 내부 결제 시스템과의 연동 제공
내부 결재 시스템
계정 생성/수정/삭제 결재 요청
결재 결과 제공
계정관리 포탈 • 계정관리포탈을 통해 계정 생성/수정/삭제 요청 접수
• 내부 결재 시스템으로 계정관리포탈에서 결재 요청
- 결재시스템에서 제공하는 인터페이스 사용
• 결재 진행을 지속적으로 확인
• 결재가 완료된 경우 계정 생성/수정/삭제 실행
8 IBM Security
ISIM은 Java 기반의 다양한 API를 지원합니다. ISIM은 API에 대한 상세 Document와 샘플 코드를 제공함으로써 개발자가 해당 API를 이용하여 외부 시스템 연계, UI 커스터마이징 및 확장 개발을 쉽게 할 수 있도록 합니다.
지원 API 종류
애플리케이션(계정 생성/변경/삭제 등)
권한
데이터 서비스
SDI Integration
Java Script
메일
패스워드
정책
Single Sign-on
워크플로우
승인 및 결과
try {// create platform contextHashtable env = new Hashtable();env.put(InitialPlatformContext.CONTEXT_FACTORY, "com.ibm.iISIM.apps.impl.websphere.WebspherePlatformContextFactory");env.put(PlatformContext.PLATFORM_URL, "iiop://localhost");
PlatformContext platform = new InitialPlatformContext(env);
// create authentication handlerPlatformCallbackHandler handler =
new PlatformCallbackHandler("jdoe", "secret");handler.setPlatformContext(platform);
// attempt authenticationLoginContext lc = new LoginContext("ISIM", handler);lc.login();
// create managerPersonManager mgr = new PersonManager(platform, lc.getSubject());
// find userCollection people = mgr.getPeople(null, …………
샘플 API
3. 계정 관리
3.1. 다양한 API 지원
9 IBM Security
3. 계정 관리
ISIM은 사용자 본인이 자신의 정보를 관리하고 비밀번호 변경 및 계정/권한 신청, 신청내역 보기, 승인 요청 처리 등과 같이 계정및 권한에 대한 관리를 스스로 할 수 있도록 UI를 제공하여 전사적인 관리 부담을 감소 시킵니다.
셀프 서비스 기능
승인 대기 목록
승인에 대한 관리
계정 및 권한 관리
요청 결과 확인
비밀번호 관리
공유 계정 요청/확인
사용자 프로파일 관리
10 IBM Security
계정 로그인에 사용되는 암호 정책 관리 기능을 제공하며, 암호 정책에 포함된 문자 구성, 변경 주기, 암호 이력관리 정책 반영이 가능합니다. 금지어 사전 구성을 통해 노출되기 쉬운 단어 등 사용금지 문자구성을 설정 하여 암호 적용을 제한할 수 있습니다.
암호 정책
최소 길이
최대 길이
최대 반복 분자
필수 최소 고유 문자
필수 최소 영문/숫자
올바르지 않은 문자
필수 문자
문자 제한
시작 문자
반복 히스토리 길이
전환된 히스토리 길이
사용자 이름 허용 여부
사용자 이름 대소문자 구분
사용자 ID 허용 여부
사용자 ID 대소문자 구분
사전 기반 패스 워드 사용 불가
- 설정된 비밀번호는 대상시스템에서 요구하는 암호화 방식으로 암호화되어 전달
- 비밀번호 분실 시 사용자 스스로 비밀번호 초기화를 할 수 있도록 지원 (초기화된 비밀번호는 SMS, Email등을 통해 전송)
- 관리자에 의한 사용자 비밀번호 변경 기능 지원
3. 계정 관리
11 IBM Security
사용자는 제공되는 셀프서비스를 이용하여 사용자가 직접 ID를 신청하고, 삭제할 수 있습니다. 또한, Password도 셀프서비스를 통해 초기화/변경이 가능합니다.
셀프서비스 ID/PW 관리
- ID는 ID 정책관리에 의해 자동으로 생성됩니다. 사용자는 서비스에 대한 계정 신청만으로 ID를 생성할 수 있습니다.
- 계정 신청 시 각 서비스 별로 필요한 부가정보를 설정 할 수 있도록 화면 구성이 가능합니다.
- Password는 비밀번호 정책관리에서 허용된 형태로 생성 가능하여, 전사 비밀번호 규정 준수를 강제할 수 있습니다.
셀프서비스 예제
3. 계정 관리
12 IBM Security
3. 계정 관리
셀프서비스를 통해 사용자는 사용하고자 하는 시스템에 계정을 신청 할 수 있습니다. 신청한 계정 현황은 신청 목록을통해 확인이 가능하며 계정 신청 승인이 완료되었을 경우 접속 시스템 목록에 추가된 시스템이 나타나게 됩니다.
사용자 계정 신청
사용자 계정 신청 셀프서비스 예제모바일 셀프서비스 예제
13 IBM Security
3. 계정 관리
사용자는 셀프서비스를 통해 자신의 권한 현황에 대해 확인이 가능합니다. 또한 권한 신청 시 소유한 권한에 대해서는재 신청을 하더라도 자동으로 권한 신청 항목에서 제외됩니다.
셀프서비스 사용자 권한
- 사용자는 셀프서비스를 통해 자신이 소유한 권한에 대한 확인을 할 수 있습니다.
- 소유한 권한을 선택하여 권한에 대한 변경/삭제를 요청할 수 있습니다.
- 권한 신청 시 권한을 중복 신청하면 자동 제외하여, 권한의 잘못된 신청을 사전에 방지합니다.
사용자 권한확인 셀프서비스 예제
14 IBM Security
3. 계정 관리
3.1 계정 생성/수정/잠금/삭제 관리 – 계정관리 솔루션과 관리대상 시스템 간 사용자 계정 동기화
소유자가 없는 고아계정(Orphan)임을 통해시스템에서 직접 생성된 임의(불법)계정 확인-> 삭제 혹은 소유자 지정으로 관리
ISIM Server
관리 대상 시스템
ISDI
1 시스템에서 임의(불법) 계정 생성
ISIM Server 계정 정보 수집
2 ISIM에서 동기화(reconciliation) 수행
3 시스템에서 직접 생성된 계정을 포함한계정 리스트 제공
4 5 ISIM 보고서를 통한 리포팅(감사 보고서가 기본으로 제공됨)
3.1 계정 생성/수정/잠금/삭제 관리 – 계정 용도별 등록 및 계정 만료일 지정
계정 유형 설정(공용계정은 시스템으로 설정) 계정 만료일 지정 기능
15 IBM Security
3. 계정 관리
ISIM은 업무 시스템을 연계하여 계정을 연동 할 때 다양한 정책 설정에 의해 계정을 관리 합니다. 계정 생성 시 Provisioning, ID 생성 정책이, 계정 검증 시 Provisioning, 소유자 결정, 재인증, Life Cycle 정책에 의해 계정에 대한 관리가 이루어 집니다.
업무시스템 연동
인사등록/수정/삭제 LDAP
(사용자/계정정보)
Security Identity Manager
HR Repository
AD
계정 LDAPExchange
계정 LDAP그룹웨어
계정 DB포탈
계정 DB
Provisioning 정책- 계정 생성 대상 시스템 정의- 계정 생성 사용자 정의- 계정의 속성값 생성/변경- RBAC에 의한 계정/권한 자동 생성- 사용자 신청에 의한 계정/권한 수동 생성
ID 생성 정책- 대상 시스템 별 ID 생성 규칙 설정- 사용자 유형 별 ID 생성 규칙 설정
Provisioning 정책- 계정 속성값의 Provisioning 정책 준수여부 검증- Provisioning 정책 미준수 시 정책 적용여부 설정
소유자 결정 정책- 계정의 Key 정보를 기준으로 소유자 결정- 소유자 결정을 위한 Key 분석 정책 설정
재인증 정책- 일정 기간마다 사용계정의 실사용 여부 검증- 계정 사용자의 관리자에 의한 계정 유효성 판단
Life Cycle 정책- 유효 기간이 지난 계정에 대한 잠금- 일정 기간 로그인 하지 않은 계정에 대한 잠금
Policies
16 IBM Security
대상 시스템으로 계정 생성 시 적용되는 프로비저닝 정책을 역할, 조직, 시스템 선택 정책, 적용 범위, 스케쥴 정책을 적용하여 다양하게 지정할 수 있습니다. 또한, ‘미리보기’ 및 ‘초안으로 저장’ 기능을 이용하여 프로비저닝 정책을 시뮬레이션하여 결과를 미리 확인합니다.
조건 별 프로비저닝 정책 구성
프로비저닝 정책 적용 조직 및 범위
프로비저닝 정책 적용 사용자 역활
프로비저닝 정책 적용 서비스 대상
3. 계정 관리
17 IBM Security
HR에서 동기화된 인사정보를 바탕으로 사용자의 계정을 생성하거나 변경된 정보를 소유하고 있는 계정에 반영합니다. 이때 각 Provisioning 별 정책에 따라 변경되는정보를 가공하여 대상 서비스의 계정에서 인식할 수 있도록 설정합니다.
프로비저닝 데이터 관리
프로비저닝 정책
프로비저닝 정책 별 데이터 변경 설정* 다수의 서비스를 한 개의 정책으로 설정 가능* 한 개의 서비스에 대해 다수의 프로비저닝 정책 설정가능
3. 계정 관리
18 IBM Security
대상 시스템으로 계정 생성 시 적용되는 프로비저닝 정책을 역할, 조직, 시스템 선택 정책, 적용 범위, 스케쥴 정책을 적용하여 다양하게 지정할 수 있습니다. 또한, ‘미리보기’ 및 ‘초안으로 저장’ 기능을 이용하여 프로비저닝 정책을 시뮬레이션하여 결과를 미리 확인합니다.
Provisioning 정책 미리 보기
프로비저닝 정책 미리보기
프로비저닝 정책 초안 저장
프로비저닝 적용 방식 및 스케줄
- 배포 정책을 실제로 적용하기 전에 다양한 정책 구성하고 시험하고 시험할 수 있도록 초안 저장기능을 제공합니다.
- 계정 배포 전 배포 정책(Provisioning)에 따른 배포결과를 미리 시험할 수 있는 기능제공을 통해 권한 배포의 휴먼에러 방지
3. 계정 관리
19 IBM Security
3.2 계정 실 소유주 관리
3. 계정 관리
OS/DB의 계정은 소유주로 지정된 사용자와 맵핑관계를 유지하며, 계정의 생성 및 관리를 위해 정의된 최소한의 필수 정보만 사용자 정보와동기화 됩니다. 각 서버의 계정 목록을 확인하면 실 소유주에 대한 정보확인이 가능하며, 공용계정으로 관리되는 시스템 계정의 경우 정책에의해 필요 사용자에게 할당 및 회수가 지원되며, 현재 사용하고 있는 사용자가 누구인지 확인이 가능합니다.
공용계정 관리 정책설정
계정할당
공용계정 사용자 할당 현황
계정 유형 및 소유자관리 공용계정 사용자 확인
20 IBM Security
ISIM에서 제공하는 조정(Reconciliation) 작업을 통해서 고스트 계정 및 고아 계정을 찾아내고 해당 목록을 관리자에게 통보 후, 관리자의 임의 조치 또는 정의된 정책에 의한자동 조치가 수행되도록 합니다.
Reconciliation 정책
- 시스템에 남아있는 휴면계정, 적절한 승인 절치를 거치지 않고 만들어진 계정 또는 시스템을 사용할 이유가 없는데도 잘못 생성된 계정 등을 찾아 적절한 조치를 함으로써 보안성을 향상시킵니다.
- 부여된 권한에 위배되지 않는 범위에서 시스템을 사용하고 있는지를 감사하고 보고합니다.
- Reconciliation 작업은 사용자 요청 즉시 또는 스케줄을 정의하여 작업이 수행됩니다.
소유자가 없는 고아계정(Orphan)임을 통해시스템에서 직접 생성된 계정임을 확인-> 삭제 혹은 소유자 지정으로 관리 시작
ISIM Server
관리 대상 시스템
ISIM Connector
1 시스템에서 직접 계정 생성
ISIM Server
계정 정보 수집 및 전송
2 ISIM에서 ‘조정’(reconciliation) 수행
3
4 시스템에서 직접 생성된 계정을 포함한계정 리스트 제공
5 4 ISIM 보고서를 통한 리포팅(감사 보고서가 기본으로 제공됨)
3. 계정 관리
21 IBM Security
ISIM은 별도의 고아계정 관리 메뉴를 통해, 현재 식별되어 있는 고아계정에 대한 즉각적인 현황파악을 제공하고 있습니다. 고아계정은 사용자에게 수동으로 지정하거나 계정중지 또는 삭제를 통해 고아계정에 대한 관리를 수행할 수 있습니다.
고아계정 관리 정책
* 고아계정관리 메뉴 제공* 모든 고아계정을 통합 관리
* 고아계정의 목록에서 관리 기능 제공* 계정의 사용자 지정/삭제/일시중단 기능 제공
* 고아계정의 상세 계정 내용 확인* 계정에 대한 수정은 사용자 지정 후 가능
3. 계정 관리
22 IBM Security
계정 생성 시 정책에 의해 계정에 대한 유효기간 혹은 재승인 기간을 설정하여, 기간이 만료되면 재인증(Recertification) 정책을통해 계정 연장 프로세스를 진행할 수 있으며, 사용자의 신청에 의한 계정 연장 프로세스를 지원합니다.
계정 재인증 정책
* 관리자의 승인 업무로 등록* 부서장을 기본 관리자로 설정
계정 관리자에 의한 계정 재인증 계정 재인증 정책 설정
3. 계정 관리
23 IBM Security
일정 기간 동안 SSO의 접근 이력을 분석 하여 휴면 계정을 탐지하고, 해당 계정을 관리자가 임의 조치 하거나 정의된 정책에 의해 자동 조치가 수행되도록 구축합니다.
휴면계정의 차단 및 관리
Last Login ISAM
휴면계정 처리 정책
ISIM(계정/권한 중앙 관리 인프라) Active Directory
포탈
계정/권한/정책LDAP
RBAC 정책 적용 AD
LOG DB
그룹웨어
계정 DB
계정 DB신청 기반
휴면계정차단
Windows Account
OS
Linux/Unix Account
OS
- SSO의 마지막 로그인 날짜를 기준으로 관리자가 설정한 일자 이상 접속이 없는 경우 휴면계정으로 판단 합니다.
- 휴면상태로 판단된 계정은 처리 정책에 따라 계정은 잠그거나 삭제하여, 관리자의 승인 없이는 접속을 차단합니다.
3. 계정 관리
24 IBM Security
ISIM은 OS에서 가지고 있는 그룹에 대한 관리 기능을 제공합니다. Customizing 된 계정관리포탈에서 OS의 그룹에 대해 생성/수정/삭제가 가능하며 내부 결재 시스템과 연동하여 결재를 요청, 결과 확인 후 ISIM API를 호출하여 그룹에 대한 생성/수정/삭제를 진행하고 결과를 확인합니다.
3.4 그룹 생성/수정/삭제 관리
3. 계정 관리
내부 결재 시스템
5. 그룹 생성/수정/삭제API 호출
1차 결재자 2차 결재자 최종 승인자
7. 실행 결과 통보
ISIM
3. 결재 요청 / 승인
신청자
1. 그룹 생성/수정/삭제 신청
ISIM API
2. 결재 요청
6. 그룹 생성/수정/삭제
계정관리포탈
OS 그룹 관리 화면
대상시스템
4. 승인 확인
25 IBM Security
ISIM은 그룹관리 기능을 통해 각 그룹의 멤버에 대한 추가/삭제를 제공합니다. 멤버를 추가/삭제를 할 때 즉시 또는 시간을 지정하여 적용이가능합니다.
3.5 그룹 멤버 변경 관리
3. 계정 관리
멤버 관리 메뉴멤버 현황
26 IBM Security
HR에서 연계된 사용자의 생성/변경/삭제 정보는 ISIM에서 관리되는 사용자의 소유계정에 영향을 줍니다. 사용자의 인사정보 변경으로 인해소유계정에 대해 정보/상태 변경이 일어나거나 신규 시스템에 대한 계정생성이 진행됩니다.
3.6 인사 변동 사항 관리
3. 계정 관리
인사등록/수정/삭제
LDAP (사용자/계정
정보)
사용자/계정 취합 정책
Security Identity Manager
인사시스템Repository
구분 값
이름 홍길동
조직 영업1팀
직급 과장
직책 팀장
… …
계정 정보인프라 계정 구성 정보
UNIX ID, 이름, 조직, …
접근제어 ID, 이름, 조직, 직급, 직책, …
DB ID, 이름, 직급, …
LINUX ID, 이름, 직급, 직책, …
Attribute 값
ID kd.hong
이름 홍길동
조직 Sales#1
직급 GJ
직책 Team.Mng
… …
구분 값
ID kd.hong
이름 홍길동
직급 POS5100
직책 TSK3200
… …
사용자/계정 정보(IM Repository)사용자 인사 정보(HR Repository)
서버 접근제어
계정 DB
OS Account
OS
DB Account
DB
27 IBM Security
ISIM은 SDI를 이용하여 다양한 종류의 복수개의 HR과 연계하여 사용자를 생성합니다. 또한, 사용자 유형을 다르게 생성하여 관리의 편의성을 높입니다. ID 변경 시 ID의 관리 유형에 따라 대상 시스템으로 계정 정보를 갱신 또는 신규 계정을 생성합니다.
인사 동기화 방안
3. 계정 관리
ID 구분 HR IM System 비고
Employee Number 사번 변경 사용자 정보 갱신 계정 정보 갱신 사번이 Key인 시스템은 계정생성
Integrated ID ID 변경 사용자 생성 계정 생성 IM에서 신규 사용자 생성으로 처리
Login ID - ID 변경 계정 정보 갱신 Login ID가 Key인 시스템은 계정생성
ID 변경 시 처리 방식
다중 HR 연계 및 도급직 관리
인사Repository
재무Repository
LDAP (사용자/계정
정보)
Security Identity Manager
계약직 사용자 생성 직원 유형별 Profile 관리
스케줄에 의한자동 동기화
28 IBM Security
다양한 형태의 HR Repository와의 연동을 지원하기 위해 ISIM은 전문 Meta Directory Solution인 SDI(Tivoli Directory Integrator)를번들로 제공하고 있습니다. SDI의 구성을 통해 단일 또는 다중의 HR 시스템과 연계하여 사용자 정보를 동기화 합니다.
다중 HR 시스템 연계 지원
ISIM LDAP
사용자 정보 변경
(Trigger)
사용자Repository
SDI
connector
사용자 정보 Update
데이터의 메타를매핑함
로직 수행을 위한 Script수행
데이터 필드 매핑 후에는 데이터 연동작업이 실시간 또는 배치로 자동수행됨
구분 지원 Platform
LDAP
IBM Directory Server, MS Active Directory, iPlanet/Sun ONE, Novell NDS/edirectory
기타 표준 LDAP 지원 Directory Server
JDBCOracle, SQL-Server, DB2, MySQL, Informix
기타 JDBC Driver 지원 DB
Package Application
SAP ABAP/ALE, Exchange, Domino Notes, IBM MQ,
IBM Tivoli Identity Manager, IBM Tivoli Access Manager
JAVA API JNDI, JMS, JMX, MemoryQueue, MemoryStream 지원
OS zOS(Change Log), NT4 Domain ISAM registries, MailBox
File System 파일 시스템 형태의 파일 (parser 사용), Log File
HTTP HTTP Server/Client, URI
Web Services Both publish and consume Web Services, DSMLv2/SOAP
기타 TCP, SNMP, FTP, CLI, Script, ISIMer, SystemQueue 등
3. 계정 관리
29 IBM Security
HR 시스템을 SDI를 통해 연계 후 ISIM에 Feed(HR 연동 서비스)로 등록하여 인사정보를 동기화 합니다. 연계된인사정보는 주기적으로 자동 동기화가 진행되며, ISIM의 동기화 모듈을 통해 변경내용을 추적하여 반영합니다.
인사등록/수정/삭제
LDAP (사용자/계정 정보)
ISIM Sync Engine
Security Identity Manager
인사관리 정보에 따라 ISIM의사용자 정보를 여러 개 정의 가능
HR Repository
#1
사용자 정보 관리인사정보 Mapping연동 Schedule 설정
사용자 정보 #1
사용자계정/권한관리
시스템 운영자
인사정보 연계 구성
한국 인사 담당자
인사등록/수정/삭제
HR Repository
#2
중국 인사 담당자
SDI 동기화
사용자 정보 #2
복수개의 HR 시스템에 대해 각각의정보 형태에 맞도록 구성 가능
3. 계정 관리
30 IBM Security
HR에서연계된사용자의생성/변경/삭제정보는 ISIM에서관리되는사용자의소유계정에영향을줍니다. 사용자의인사정보변경으로인해소유계정에대해정보/상태변경이일어나거나신규시스템에대한계정생성이Feed와같이진행됩니다.
사용자 정보 반영
인사등록/수정/삭제
LDAP (사용자/계정
정보)
ISIM Sync Engine
Security Identity Manager
HR Repository
AD
Exchange
계정 LDAP
그룹웨어
계정 LDAP
계정 DB
포탈
계정 DB
구분 값
이름 홍길동
조직 영업1팀
직급 과장
직책 팀장
… …
사용자/계정 정보(IM Repository)
포탈 계정 정보서비스 계정 구성 정보
AD ID, 이름, 조직, …
Exchange ID, 이름, 조직, 직급, 직책, …
그룹웨어 ID, 이름, 직급, …
포탈 ID, 이름, 직급, 직책, …
Attribute 값
ID kd.hong
이름 홍길동
조직 Sales#1
직급 GJ
직책 Team.
… …
구분 값
ID kd.hong
이름 홍길동
직급 POS5100
직책 TSK3200
… …
사용자 인사 정보(HR Repository)
3. 계정 관리
31 IBM Security
ISIM은 HR에서 제공되는 조직정보 Table을 내장된 SDI로 주기적으로 연동하여 AD 및 조직정보가 필요한시스템의 형식에 맞도록 변환하여 제공합니다. 또한, ISIM의 내부 조직정보와 연계되어 HR에서 제고하는조직정보를 Tree형태로 확인합니다.조직정보 연동
HRRepository
ApplicationRepository
Security Directory Integrator
Active Directory
ISIM
Database Table
LDAP
HR 조직정보
3. 계정 관리
* 조직정보는 ISIM에 무상제공되는 SDI에서 ISIM과 별도로 처리함* SDI는 자체 스케줄링 엔진에 의해 일정 주기로 조직정보를 Provisioning 함
32 IBM Security
대상 시스템으로 계정생성 시 ISIM은 ID 정책 설정을 통해 각시스템에서 사용하는 ID 형식에 맞도록 ID를생성 할 수 있습니다. ID 정책은 여러 개의 시스템을 하나의정책으로 통합하여 관리할수도 있으며, 각각의 시스템 별로도 설정이가능합니다.
ID 정책
ID 생성 정책
ID 정책 별 ID 생성 스크립트* 다수의 서비스를 한 개의 정책으로 설정 가능* 시스템이 소속된 조직 단위로 ID 생성 정책 설정 가능* 중복계정 존재 여부 파악 기능 기본 내장 * 사용자 정보를 이용한 규칙으로 단순 정의 가능
* 스크립트 사용을 통한 다양한 조건에 만족하는 ID 생성지원
3. 계정 관리
33 IBM Security
Feed를 통해 HR에서 인사정보 동기화를 요청하면 해당 이력이 동기화 시작과 동시에 ISIM에 저장됩니다. 사용자는 요청내역을 확인하여 동기화의 진행/완료 여부 및 오류발생 여부를 알 수 있으며, 추후 보고서로 내역확인도 가능합니다.
인사동기화 이력 및 오류 보고
인사 동기화 요청 목록
동기화 성공 결과
동기화 오류 결과
인사 동기화 관련 보고서
3. 계정 관리
34 IBM Security
3. 계정 관리
ISIM은 사용자 및 계정, 권한의 생성/변경/삭제 및 계정의 잠금/해제, 암호 변경, 요청 승인, 사용자 통보에 거쳐 내부에서 진행되는 프로세스를 워크플로우로 정의하여 업무 현황에 맞도록 구성 할 수 있습니다.
워크플로우
승인 워크플로우
조작 워크플로우
계정 요청
권한 요청
1차 승인 2차 승인 3차 승인
계정 생성
권한 생성
계정/권한 요청/변경/삭제잠금/해제/통보
계정 잠금
계정 해제
계정 변경
계정 삭제
Account
35 IBM Security
ISIM은 계정/권한 처리 절차 구성 및 요청에 대한 다단계 결재를 구성하기 위해 워크플로우 기능을 내장하고 있습니다. 워크플로우는 Java Applet 기반의 디자이너를이용하여 GUI형식으로 구성이 가능합니다.
계층적 승인 지원 및 SMS 통보
- 워크플로우에서 제공되는 Java Script를 이용하여 상세한 데이터 처리가 가능합니다.
- 워크플로우에서 SMS나 email을 연동하여 결재의 진행상태 및 완료여부에 대해 신청자에게 통보를 합니다.
- 요청한 결재에 대해서 신청자는 승인 현황에 대해 확인이 가능하며, 승인자는 자신의 결재 요청건에 대해 현황파악이 가능합니다.
워크플로우 디자이너 3단계 결재 생성 예제
3. 계정 관리
36 IBM Security
ISIM에서 제공하는 GUI 기반의 워크플로우 편집기를 이용하여 워크플로우 프로세스에 대한 유연한 정의 및 워크플로우 각 단계별 설정을 통해 다양한 비즈니스 로직을구현합니다.
결재 관리 기능 (계속)
- Drag & Drop을 통한 워크플로우 설계, 구현, 실시간 반영
- 조직별, 서버별 다른 워크플로우 지원
- 워크플로우 Template 제공
- 사용자 계정을 관리하기 위한 작업 프로세스를 워크플로우를 통해
자동화합니다.
- 사용자 계정 생성, 변경, 승인에 대한 요청, 승인, 거부, 시스템 반영
등의 작업 절차를 워크플로우 안에 정의합니다.
- 워크플로우 안의 각 단계는 반복 설정이 가능하며 Java Script 코딩을
통해 커스터마이징 할 수 있습니다.
- 워크플로우 정의는 관리자가 쉽게 정의할 수 있도록 GUI 기반의
워크플로우 디자인 도구를 제공합니다.
- 워크플로우 정의는 시스템 별 또는 Global 하게 정의 가능 합니다.
Drag-and-Drop을 통한 용이한설정
3. 계정 관리
37 IBM Security
ISIM은 승인 워크플로우 설계 시 다른 사람에게 승인을 할 수 있도록 권한을 위임 주는 escalation 기능을 적용할 수 있으므로, 이를 이용하여 승인자가 일정 기간 동안 승인을진행하지 않으면 자동으로 지정된 escalation 승인자에게 승인이 요청됩니다.
승인 담당자 지정
승인 담당자 부재 시권한 위임 받을 담당자 지정
승인 담당자가 승인을안 할 경우에위임 받은 담당자에게얼마 후 요청이 가도록 할 것인지 기간 정의(escalation)
승인 권한의 위임 및 회수
3. 계정 관리
38 IBM Security
ISIM은 승인자가 출장/휴가/업무 등의 사유로 특정 기간 동안 승인활동이 불가능 할 경우 승인자가 위임자와 기간을 설정하여 승인활동을 위임 할 수 있습니다. 위임스케줄은 복수 개를 설정 할 수 있으므로 다양한 위임 설정이 가능합니다.
승인 권한의 위임 및 회수 (계속)
위임 담당자 지정
위임 기간 설정
설정 된 위임 스케줄
3. 계정 관리
39 IBM Security
관리자가 ISIM 상에서 업무(Rule)를 생성, 삭제, 관리할 수 있도록 하며, 업무(Rule)에 따른 시스템 권한(메뉴 및 기능)을 조작하거나 적용되는 구성원의 조건을 관리할 수있도록 구축합니다.
권한 Rule 작성 및 상세화 표기
현업 관리자 Rule 관리 화면
Rule에 매핑된 구성원 관리
Rule-권한 매핑 관리
Rule에 매핑된 권한 리스트
3. 계정 관리
40 IBM Security
ISIM의 사용자 정보에서 사용자에게 부여된 권한 현황을 확인 할 수 있으며, 셀프서비스를 통해 권한을 신청 할 수 있습니다. 사용자 퇴사/휴직/전배 등의인사 변경사항이 발생할 경우 정책에 따라 권한을 삭제하거나 보존할 수 있습니다.
개인별 권한 관리
사용자 정보의 권한 부여 현황
셀프서비스를 통한 권한 요청
3. 계정 관리
41 IBM Security
역할 기반 동적 부여(RBAC) 정책을 통해 정의된 조건에 만족하는 사용자에게 동시에 권한에 대한 등록이 가능하며, 사용자 본인의 권한 신청 후 승인에 따른 수동 권한등록도 지원합니다.
권한의 개별 등록 및 일괄 등록
조건 생성에 따른 자동 권한 등록셀프서비스를 통한 수동 권한 등록
3. 계정 관리
42 IBM Security
ISIM은 업무분리정책(Separation of Duties)을 기본 지원하고 있어, 회사내의 여러 업무 중 상호 배타적으로 설정되어야 하는 업무(예 : 구매-결재)의 권한을 등록하여사용자에게 권한 부여 시 업무분리정책에 위반되는 권한 부여를 사전에 방지합니다.
SoD 정책 구성
업무분리정책 목록
업무분리정책 설정
배타권한 설정
관리자에 의한 배타권한 승인
3. 계정 관리
43 IBM Security
4.1 암호 정책 관리
4. 암호 관리
계정 로그인에 사용되는 암호 정책 관리 기능을 제공하며, 고객사의 암호 정책에 포함된 문자 구성, 변경 주기, 암호 이력관리 정책 반영이가능합니다. 금지어 사전 구성을 통해 노출되기 쉬운 단어 등 사용 금지 문자구성을 설정 하여 암호 적용을 제한할 수 있습니다.
최소 길이
최대 길이
최대 반복 분자
필수 최소 고유 문자
필수 최소 영문/숫자
올바르지 않은 문자
필수 문자
문자 제한
시작 문자
반복 히스토리 길이
전환된 히스토리 길이
사용자 이름 허용 여부
사용자 이름 대소문자 구분
사용자 ID 허용 여부
사용자 ID 대소문자 구분
사전 기반 패스 워드 사용 불가
- 비밀번호 분실 시 사용자 스스로 비밀번호 초기화를 할 수 있도록 지원 (초기화된 비밀번호는 SMS, Email등을 통해 전송)
- 관리자에 의한 사용자 비밀번호 변경 기능 지원
44 IBM Security
4.2 일괄 전체 암호 변경
4. 암호 관리
LDAP (사용자/계정
정보)
암호관리 정책
Security Identity Manager
계정관리포탈
관리자
Command Line Interface
암호변경 API 호출
Random 또는사전지정 패스워드
OS/DB 계정
패스워드 변경 통보 메일
- 자동 변경 예외 계정은 계정정보에 별도의 식별 값을 설정하여 패스워드 변경 시 자동으로 예외 되도록 암호변경 프로세스를 설정
- 자동 변경 예외 계정은 사전에 식별이 되어야 함
ISIM은 대량 계정의 패스워드 일괄 변경을 지원하기 위해 CLI 명령어를 통한 암호 변경/API를통한 암호 변경을 지원합니다. 관리자는 이 기능을 이용하여 대량의 계정을 선택한 후 미리 정의되어 있는 또는 임의로 생성되는 패스워드로 변경을 할 수 있습니다. 패스워드가 변경된 사용자 또는 계정의 소유자에게는 패스워드 변경에 대한 통지 메일이 발송됩니다.
서버 접근제어
계정 DB
OS Account
OS
DB Account
DB
45 IBM Security
4.3 암호 주기 관리
4. 암호 관리
ISIM은 라이프사이클 정책 실행을 통해 계정의 암호 만료일을 식별할 수 있습니다. 이 기능을 이용하여 암호가 만료된 계정은 정의된 프로세스에 따라 계정 잠금, 소유자에게 암호 만료 메일 발송 등의 기능을 수행하고. 암호 만료일이 도래한 계정은 소유자에게 암호 만료예정 메일발송을 통해 만료일 전 암호 변경을 유도합니다.
LDAP (사용자/계정
정보)
라이프사이클 정책
Security Identity Manager
암호 만료일 도래
암호 만료
만료메일 발송
계정 잠금
만료예정 메일발송
- ISIM을 통해 암호를 변경한 경우에 변경주기 미준수 계정 판단 가능
- OS나 DB에서 암호를 직접 변경한 경우에도 ISIM의 암호 변경일 기준으로 암호변경 주기 관리
- 암호 만료예정 메일은 만료예정일 전 정의된 일자 별로 여러 번 발송 가능 (예 : 5일전, 3일전, 1일전 등)
- 만료일 까지 암호변경을 하지 않은 경우 계정 잠금, 암호 초기화 및 사용자 지정 프로세스 적용 가능
암호 만료일 설정 화면
46 IBM Security
ISIM은 애플리케이션 또는 스크립트에 Hard Coding 되어 있는 ID/PW로 인해 발생하는 계정관리/보안관련 문제를 해결하기 위해 IBM Privileged Identity Manager(PIM) for Applications 확장 기능을 사용하여, 일부 소스코드 수정만으로 애플리케이션과 스크립트에 신뢰성이 보장된 ID/PW를 동적으로 제공합니다.
4.6 암호 관리 API 제공
4. 암호 관리
애플리케이션, 스크립트 안에 하드코딩된 혹은 구성 파일이나저장소에 저장된 신뢰정보
PIM은 안전하게 저장된 신뢰 정보를 애플리케이션과 스크립트는
OAuth 2.0과 인스턴스 지문을 사용하여 인증
문제 스크립트
// Example Java code that reads credentials from a properties fileString username = prop.getProperty("user");String password = prop.getProperty("pass");connect(username, password);
해결된 스크립트
//com.ibm.ispim.appid.client.api.CredentialCredential ldapCred;try {
ldapCred = appIdManager.getCredential("ldap.jke.org") } catch (ExecutionException e) {
logger.error(e.getMessage()); } ...String username = ldapCred.getUserID();String password = ldapCred.getPassword();connect(username, password);
PIM for App 적용 예
47 IBM Security
6. 보고서
ISIM은사용자가 원하는 Report의 가공 및 제공을 위해 전세계 1위 제품인 Cognos Business Intelligence (Cognos BI)를 번들로 제공하고 있습니다. ISIM의 리포트 관련 DB를 Cognos BI와 연동하여 필요한 리포트를 설계하고 주기적으로 생성하며 언제든지 조회가 가능하도록 기능을 제공합니다.
6.1 통합 보안로그 분석 보고서 제공
- ISIM 제공 리포트 관련 내용 : 계정-실사용자 맵핑 현황, 미사용 계정 현황, 계정 관리 내역, 계정관리 정책/감사 내역, 암호 변경주기 만료 내역
- 정의된 보고서는 Web으로 조회 가능하며 PDF, HTML, EXCEL, CSV, XML형태로 저장 가능
- 통합 로그관리 시스템으로 연동하기 위한 연동 인터페이스 제공
6.2 통계 보고서 제공
6.3 다양한 출력형식 지원
6.4 통합 로그관리 시스템 연동
Cognos Business Intelligence Server
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express
or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of,
creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these
materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may
change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and
other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks
or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise.
Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or
product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are
designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective.
IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT
OF ANY PARTY.
FOLLOW US ON:
THANK YOU
