블로그

민첩성 달성: ID 페더레이션 서비스

로리 맥비티 썸네일
로리 맥비티
2016년 3월 28일 게시

옛날에는(여기서 말하는 건 2003년, 기술적으로 아주 오래전이죠) 보다 원활한 ID 관리 경험에 대한 많은 희망과 꿈이 높았습니다. 그 당시는 SAML(Security Assertion Markup Language)이 처음 유행하고 특히 SSO(Single Sign-On) 솔루션을 구현하는 데 있어 ID 제공에 널리 사용되기 시작하던 때였습니다.

그 당시 가장 큰 관심사는 버려진 계정과 비밀번호 관리를 단순화하는 것이었습니다. 기억하시겠지만, 이는 웹화와 SOA 시대였으며 모든 것이 웹 애플리케이션으로 전환되던 시기였습니다. 그러므로 ID 관리 문제를 해결하기 위해 웹 기반 표준을 채택하는 것이 합리적이었습니다.

상위 하이브리드 클라우드 챌린지 soad16

지금은 그게 말이 되는 것 같아요.

결국 오늘날 모든 것이 "클라우드화"되고 있습니다. 이는 모든 웹화된 앱이 "클라우드"로 이동한다는 것을 멋지게 표현한 것입니다. 프로비저닝 및 관리(그리고 고아 계정이나 무단 액세스를 방지하는 것)와 관련된 과제는 이제 내부 시스템뿐만 아니라 외부 호스팅(클라우드 기반) 시스템에도 초점을 맞추고 있습니다.

이는 2016년 애플리케이션 제공 현황 설문 조사 결과를 통해 입증되었습니다. 하이브리드(멀티) 클라우드 환경에서 응답자가 직면한 과제에 대해 물었을 때 가장 많은 답변은 주어진 애플리케이션을 호스팅할 위치를 결정하는 데 도움이 되는 분석이 부족하다는 것(29%)과 포괄적인 ID 관리 솔루션을 찾지 못했다는 것(29%)이었습니다. 그래서 2016년 배포를 계획한 서비스 중 가장 상위에 ID 연합(26%)이 있었던 것 같습니다. 

ID 연합은 실제로 기업 내 ID의 자동 프로비저닝, 감사, 관리를 지원하도록 설계된 솔루션의 성숙(또는 진화)이며, 외부 시스템(오프프레미스, 클라우드)을 포함합니다. 이 솔루션은 앱별 ID를 관리할 수 있는 DNS와 같은 "권한 있는 ID 소스"에 의존합니다. 해당 소스는 거의 항상 온프레미스에 있습니다. 이는 기업(권한 있는) ID 저장소이기 때문입니다.

ID 연합은 SAML을 활용하여 SaaS와 같이 IT의 통제 밖에 있는 애플리케이션을 위한 중개자 역할을 합니다. ID 페더레이션 서비스는 사용자와 사용자가 액세스하려는 앱 사이에서 중재 역할을 하며 Bob이 Office365에 액세스하려고 할 때 그의 신원이 여전히 유효 하고 해당 애플리케이션에 액세스할 수 있는 권한이 있는지 확인합니다. 그렇지 않으면 거부됩니다. 그렇지 않으면 다른 파워포인트 프레젠테이션이 곧 귀하의 받은 편지함으로 전송될 것입니다.

Osterman Research 에 따르면, IT 부서는 사용자가 조직을 떠난 후 9일 동안 계정 프로비저닝을 해제해야 할 필요성을 인식하지 못합니다. 연구 결과에 따르면 Active Directory 사용자 중 5%가 더 이상 조직에 고용되지 않은 것으로 나타났습니다. 또한 "승인된" 부분도 무시하지 마세요. 동일한 조사에 따르면 직원의 19%가 매년 역할이나 책임을 변경하고 이로 인해 액세스 수준이 변경될 수 있으므로 위험한 사업입니다.

ID 페더레이션 서비스는 SSO 기능도 제공할 수 있습니다. 예를 들어, (F5) 원격 포털에 로그인하여 한 번 로그인한 후 ID 페더레이션 서비스의 마법을 통해 자동으로 여러 웹 애플리케이션을 실행할 수 있습니다. 그 중 일부는 온프레미스이고 다른 일부는 SaaS입니다. 한 번만 로그인하면 다시 걱정할 필요가 없습니다.

IT도 마찬가지입니다. IT는 권위 있는 출처와 내 역할, 액세스 수준 및 유효성을 비교하기 때문입니다. 변경 사항이 수동 또는 웹 지원 프로세스를 통해 전파될 필요가 없기 때문에 항상 최신 상태가 유지됩니다. 9일 후가 아닙니다. 이는 나뿐만 아니라 SaaS-1과 SaaS-2의 누군가가 그날 일찍 이메일로 보낸 Excel 스프레드시트를 사용하여 변경 사항을 검증하기 위해 하루 종일 앉아 있어야 할 불쌍한 IT 담당자들의 생산성 향상을 의미합니다. 그렇습니다. SAML이 기업용 SaaS의 ID 연합에 대한 사실상의 표준이 되기 전에는 실제로 이런 식으로 작동했습니다.

하지만 SAML이 DropBox, SFDC, Office365와 같은 "사용자" 앱에만 사용된다고 생각하지 마세요. 또한 이는 IT 부서가 액세스할 수 있는 클라우드 기반 시스템을 관리하는 데에도 매우 귀중한 도구입니다. 예를 들어 AWS에서 인스턴스, 액세스 및 서비스를 관리하는 사람이 있다고 생각해 보세요. (대부분의 경우) AWS 관리 포털을 통해 이런 일이 일어납니다. ID 페더레이션 서비스를 통해 관리할 수 있는 포털입니다.

클라우드 인프라를 관리하는 시스템에 대한 액세스를 관리하는 경우에도 중앙 집중화된 권한 있는 소스에서 Office365에 대한 액세스를 관리하려는 이유가 동일합니다. 더 이상 고용되지 않은 사람들이 해당 시스템에 접근하는 것을 원하지 않을 것이고, 접근이 종료되기까지 9일을 기다리고 싶지도 않을 것입니다. SAML을 통한 통합 및 자동화를 통해 위험을 제거하고 프로비저닝 워크플로를 개선하는 것은 마치 좋아하는 매장에서 BOGO(1개 사면 1개 무료) 세일을 하는 것과 같습니다.

ID 페더레이션 서비스는 생산성을 향상시키고 위험을 줄일 뿐만 아니라, 누군가가 회사를 떠나거나 역할/책임이 변경될 때마다 비용이 많이 드는 수동 프로세스(감독이 필요함)를 실행할 필요성을 없애 운영 비용을 절감할 수도 있습니다.

이러한 기능은 궁극적으로 민첩성을 향상시키며, 이는 IT가 비즈니스 이니셔티브에 더 잘 적응하고 지원하고 활성화할 수 있음을 의미합니다. IT가 더 이상 길고 지루한 수동 프로세스나 맞춤형 통합에 얽매이지 않게 되면 더욱 쉽고 민첩하게 시스템을 변경하고 많은 어려움을 겪지 않고도 정책 시행의 일관성을 보장할 수 있습니다. 즉, 기업은 IT가 규정 준수와 액세스를 보장하는 데 필요한 모든 이동 부품을 수동으로 "연결"할 필요 없이 필요에 따라 시스템과 앱을 마이그레이션, 추가 및 제거할 수 있습니다.

ID 페더레이션 서비스는 SSO 및 페더레이션 액세스를 통해 사용자의 생활을 편리하게 할 뿐만 아니라 민첩성을 높이고, 위험을 줄이고, 매일 온프레미스와 클라우드에서 사용해야 하는 앱 수가 증가하는 것을 관리하는 데 따른 운영 비용을 낮추는 도구로서 점점 더 가치가 높아지고 있습니다.

SAML에 대한 자세한 내용을 알아보고 싶으신가요? 우리의 John Wagnon이 진행하는 SAML에 관한 Lightboard 강의 를 확인해 보세요.