http://blogs.technet.com/koalra/archive/2007/07/03/ida-in-microsoft-platform-windows-server-2008-33.aspx


image

꼬알라 주 - 해당 글의 제목을 뭘로 붙일까라고 고민하다가.. IDA in Microsoft Platform이라고 붙여놓았습니다. Microsoft Platform에서의 IDA에 대해 Windows 2000 Server 시절부터 논해볼까 합니다..

IDA(Identity and Access)가 왜 엔터프라이즈 시장에서 중요할까요?
잠시동안, 사용자가 서버에 저장되어져 있는 중요한 기밀 문서를 접근하려고 할때를 생각해봅시다.

"꼬알라"는 마케팅 부서의 일원입니다. 그는 고객에게 프리젠테이션을 위해 주요 정보를 검색하고, 이를 이용하고 있었습니다.

이 문서를 열었을 때... IDA 인프라스트럭쳐에서는 아래와 같은 일이 발생합니다.

1. 문서를 사용하고자 하는 사용자가 누구인지 판단
2. 문서를 접근할 수 있는 적절한 레벨을 부여
3. 문서내 포함된 기밀 정보를 보호
4. 문서를 접근한 사용자가 이용하는 형태를 기록

기업내에서는 사용자의 직급이나 업종별로 적절한 레벨의 접근 권한이나 수정 권한을 부여하고자 합니다.

이러한 IDA에 대한 이용성은 엔터프라이즈의 영역을 넘어, "언제 어디서든지" 장치, 웹 서비스, 그리고 협업 도구 - 메일, 메시징 - 영역으로 확장되어져 가고 있습니다. 이러한 다양한 시나리오를 처리하기위해 Microsoft의 Windows 플랫폼에서는 Windows 2000에서 Active Directory(AD)를 소개하고, 발전하여, 현재에 이르러 있습니다. Windows Server 2008에서는 한번더 IDA 플랫폼이 개선, 발전될 예정입니다만, 먼저 Windows 2000 Server부터의 이용 시나리오를 간단하게 살펴보아야 할 것 같습니다.

- IDA in Windows 2000 Server

AD는 Windows 2000에서 첫 소개가 되고, 네트워크내 다양한 개체 - 사용자, 그룹, 컴퓨터, 프린터, 그리고 공유된 폴더 - 들을 저장하여, 이를 사용자가 접근하고, 관리자가 관리하기 위한 용도로 사용되어져 오고 있습니다. AD는 사용자에게 SSO(Single Sign On - 한번의 인증으로 모든 자원에 대한 인증 처리가 완료)를 통해 자원에 대한 접근 관리(권한 처리)에 대해서도 관리 방안을 제시하고 있습니다. AD는 관리자에게 직관적인 관리, 네트워크, 자원에 대한 계층적 시각, 그리고 모든 네트워크 개체에 대해서 한 지점에서 관리가 가능하게 해준다는 것은 이미 잘 아시는 내용입니다.

Windows 2000 Server는 인증서 서비스(Certificate Service - CS)라고 부르는 별도의 구성 요소를 포함하고 있었습니다. 이는 전자 인증서를 통해 PKI(Public Key Infrastructure) 기반을 제공합니다. 이를 통해 사용자는 전자 서명, 인증, 암호화, 스마트 카드 인증등의 서비스를 제공받고 있습니다. AD과 CS는 완전히 별개의 구성 요소로 설치되어져 있었으며, 관리 또한 별도로 관리해주고, 정책또한 별개로 구현, 관리하였어야 합니다.

이러한 2가지의 서비스 이외.. Microsoft는 MMS(Microsoft Metadirectory Services)라고 하는 별도의 제품을 내놓았었습니다. MMS 2.2는 엔터프라이즈 메타디렉터리 제품이었는데, 조직내 여러 데이터베이스, 예를 들어 AD와 Lotus Notes의 인프라에 대해 계정 동기화, 프로비저닝(Provisioning), 동기화를 제공하고 있었죠.

- IDA in Windows Server 2003

비록 Windows 2000 Server는 엔터프라이즈에서 요구하던 기능들을 제공하고 있었지만, 여전히 서비스와 MMS는 분리되어져 있었고, 전체적으로는 확연히 다른 제품군이었습니다. 고객들은 좀더 연동된 무언가를 원하고 계셨다고 생각합니다. 문서 권한 보호, 역할 기반의 권한 부여(Role-Based Authorization)이 대표적으로 이에 해당되는 것들입니다. 이에 Microsoft는 Windows Server 2003에 Authorization Manager(Azman)라는 새로운 기능을 추가하였고, 이를 통해 조직내 기간계 시스템에서 역할 기반의 권한 부여를 가능케 하였습니다. 비록 AD가 개체 기반의 접근 제어를 제공하고 있었습니다만, 역할 기반의 접근 제어는 Azman을 통해서 제공하였으며, 역할 기반으로 권한을 부여하고, 이를 통해 접근 개체들은 해당 권한을 부여받게 되었습니다. Azman은 COM 기반의 런타임 인터페이스를 제공하여, 응용 프로그램에서 클라이언트 요청에 대한 확인 및 관리를 할 수 있었습니다. 당연히 Azman은 MMC 기반의 관리 도구를 제공하였고요.

또다른 IDA 서비스가 바로 Windows Server 2003의 RMS(Right Management Service)입니다. RMS를 이용하는 응용 프로그램은 전자 정보를 통해, 온/오프라인, 장소에 구애받지 않고, 허가받지 않는 사용자의 접근 및 정보 탈취를 방어할 수 있게 되었습니다. RMS와 같은 솔루션을 통해 조직은 여러 정보 보호 법안에 적절히 대응할 수 있게 됩니다. RMS를 사용할 수 있는 프로그램은 Office 2003/2007, 인터넷 익스플로어(IE)등이 이에 해당됩니다. RMS에 대한 IDA 정보 저장은 SQL Server를 이용하였습니다.

Azman, RMS이외 또하나의 발전은 바로 MMS 2.2의 차기 버전입니다. MIIS(Microsoft Identity Integration Server) 2003은 조직내 산재한 여러 디렉터리와 데이터베이스내 Identity 정보를 통합적으로 관리할 수 있게 함과 동시에, Identity의 수명 관리도 간단하게 처리할 수 있게 하였습니다. MIIS는 2개의 버전을 제공하고 있습니다. MIIS 2003의 경우에는 Identity 연동/디렉터리 동기화, 계정 프로비저닝/디프로비저닝, 그리고 암호 동기화와 관리가 가능한 버전이며, Identity Integration Feature Pack(IIFP) 1a의 경우에는 무료였으며, AD와 ADAM(Active Directory Application Mode), Exchange Server 2000 이상 버전에 대한 Identity 관리 기능을 제공하였습니다. 조직은 Exchange, AD, ADAM에 대해서는 무료의 IIFP를 이용하여 Identity를 관리할 수 있게 되었죠.

- IDA in Windows Server 2003 R2

생각보다 포스팅이 길어지네요. 지금까지의 IDA와 제 생각을 쓰다보니.. 많이 길어졌습니다. 이번 포스트는 한번에 끝내려고 하기 때문에, 더 길어질 수도 있겠네요. :|

Windows Server 2003의 R2 버전이 출시되면서, 2개의 IDA 서비스가 추가됩니다. 이중 하나는 이전에 무료로 다운로드가 가능한 ADAM이며, 다른 하나는 새로운 IDA 솔루션인 ADFS(Active Directory Federation Service)가 여기에 해당됩니다.

ADAM은 AD 서비스의 독립적인 버전입니다. AD는 인증과 저장소의 역할을 기본 기능으로 제공하고 있는데, ADAM은 이중 저장소의 기능만을 제공하고 있으며, 이를 통해 디렉터리를 사용해야 하는 응용 프로그램 및 서비스를 제공할 수 있게 됩니다. ADAM은 전혀 AD에 의존적이지 않으며, 마치 데이터베이스를 사용하시듯이, 작업 그룹(Workgroup)이나 도메인 환경내에서 이용하실 수 있습니다. LDAP 기반의 DB를 제공합니다. Windows Server 2003 R2에 하나의 구성 요소로 포함되어져 있지만, 별도로 다운로드 하셔서, Windows Server 2003, Windows XP에서 사용하실 수 있습니다.

ADFS는 Web SSO(Single Sign-On) 기능을 제공합니다. 여러 웹 응용 프로그램에 대한 웹 기반 SSO를 제공한다? 조금은 어려우실 수 있으시죠? 쉽게 생각하시면 도메인 트러스트(Domain Trust) 기능을 웹을 통해 제공한다라고 생각하시면 쉬워집니다. 조직의 영역을 웹을 통해 손쉽게 확장하고(B2B), 다시 회수할 수 있게 됩니다. 이는 Microsoft만의 기술이 아닌 WS-Federation Passive Requestor Profile(WS-F PRP) 웹 서비스 프로토콜(표준 방식)을 이용하여, Windows 영역이외 Unix 영역, WS-F PRP를 지원하는 어떠한 영역과도 인증 서비스를 확장하실 수 있게 되었습니다.

- IDA in Windows Server 2008

AD 기반의 IDA 발전을 Windows 2000 Server부터 살펴보셨습니다. 정리하면 Windows Server 2003 R2까지 Microsoft에서 제공하는 IDA는 아래와 같습니다.

1. Active Directory Domain Service(ADDS)와 Certificate Service(CS) - 같이 설치 or 별도의 설치
2. Authorization Manager(Azman), ADAM, 그리고 ADFS - ADDS를 필요로 할 수 있는 별도의 추가 구성 요소(Azman의 경우엔 CS로 필요)
3. MIIS 2003, IIFP - Microsoft 디렉터리 서비스와 타 서비스와의 연동
4. Windows RMS - Microsoft로부터 다운로드하실 수 있는 별도의 구성 요소

Windows Server 2008에서 제시하는 IDA에 대한 비전은 바로 이러한 분리된 IDA 구성 요소들을 AD에 기반한 통합되고, 연동된 솔루션으로 제공하려고 합니다.

1. Active Directory Directory Service(ADDS), Active Directory Lightweight Directory Service(ADLDS) - 도메인-기반 디렉터리 서비스와 독립 네트워크 환경에 대한 디렉터리 서비스
2. Active Directory Certificate Service(ADCS) - PKI 전자 인증서를 이용한 강력한 계정 정보 제공
3. Active Directory Right Management Service(ADRMS) - 문서, 전자 메일등에 대한 정보 보호
4. Active Directory Federation Service(ADFS) - 다수의 분리된 Identity에 대한 생성 및 유지 보수 필요성 제거

image

변경된 사항은 다음과 같습니다.

1. Active Directory Directory Service -> Active Directory Domain Service
2. ADAM -> Active Directory Lightweight Directory Service
3. CS -> Active Directory Certificate Service
4. Windows RMS -> Active Directory Right Management Service
5. ADFS는 동일 :)

MIIS, IIFP에 대해서는 얼마전 출시한 Identity Lifecycle Manager (ILM) 2007이 이에 해당됩니다. ILM 2007은 현재 Windows Server 2003 기반에 동작하며, 기존의 MIIS 2003 기능 및 개선, 전자 인증서에 대한 관리 기능 및 수명 주기 관리를 제공합니다. Windows Server 2008용 ILM은 Codename ILM "2"라는 이름으로 현재 개발중에 있습니다.

+ Recent posts