Embed Size (px)
Citation preview
“엔터프라이즈 환경에서 시스템 및 에플리케이션은 허가된 사용자만이 사용할 수
있다. 따라서 허가를 하기 위해서는 사용자를 식별(Identity) 하여야 하며 이러한 식
별 데이터들은 서로 다른 서버 및 어플리케이션에 저장되어 있다.”
기술등장 배경 Problem
manager
임직원 시스템등록 * n
동기화는 ? 퇴사자는? 신규입사자는? 부서변경은?
계정등록은 주업무가 아니다. 메인업무는 언제?
퇴근은? 퇴근은?
How To solve IM
HR Resource
IAM
데이터 일관성 확보
부서별 권한할당
보안정책 수립
계정 활동 감사
퇴사자, 입사자
계정생성 동기화
What Is Identity
• 조직내에서는 각 구성원을 식별할 수 있는
키값이 필요하다. 그 키 값에 따라서 자격과
권한을 부여한다.
남자1호
남자2호
남자3
남자4호
남자5호
남자6호
What Is Group
• 남자1호부터 남자 6호까지 권한을 부여하
고 제어하는 것은 어렵지 않다.
그런데…
동기화는 ? 퇴사자는? 신규입사자는? 부서변경
은?
계정등록은 주업무가 아니다. 메인업무는 언제?
퇴근은? 퇴근은?
Just Using Group
• 수학을 포기한 사람조차 집합을 배웠다.
그래서 우리는 집합을 안다.;;
A그룹 커플성공
결혼가능
B그룹 커플실패
접근금지
Group을 나눠서 뭘?
• Role을 관리하자.
왜?Access Role Deny Role
유저를 데이터라고 생각하고
db에서
테이블을 먼저 만드는 것처럼
규격을 만들고
삽입 / 삭제를 하자는 거지
어짜피 속성은 key값을 인덱스로
해서 원하는 걸 변경하면 되니까.
How to Make User Account
• 신입사원이 입사했어요~~
• 저 부서이동합니다.~~
• 저 퇴사합니다.~~
Provisioning이란 걸 해봐?
• IAM 을 이용해서 기준이 되는 Identity를 만
들자.
• 식별자가 생겼으니, 그 식별자들을
내가 원하는 리소스 (서버들)에게 집어넣자.
식별자 중에 함량미달인 애들은 룰을 만들어
서 다른 그룹에서 따로 관리해서 접근 못하게
하자.
Provisioning
• 대상 target System에 Account를 생성하는
행위
• 근데 난 전결권자가 아닌데..
승인은 승인은?
WorkFlow
• 일하고 싶은 권한을 얻고 싶나?
근데 속은 어떻게 채우지?
• 분류, 권한, 식별자 다 알겠는데 데이터는?
Reconciliation
• 집어넣을 때 IAM으로 해서 퇴근했다면
들고올때도 IAM으로 퇴근할 수 있지 않을까?
인증은? 패스워드관리!
• SSO, Oauth 이전에 말야.
패스워드 정책을 관리하면 되잖아
이 아이의 패스워드 만료일은 하루
저 소녀의 패스워드는 영구사용
배달오는 아저씨 패스워드는 무조건 생성시
변경
Application 관리계정의 경우에는 주기적으로
변경
