그룹웨어와포탈시스템을위한 - dbguide.net 스위치 ldap tam ldap 포탈시스템...
TRANSCRIPT
- 1 -
그룹웨어와그룹웨어와 포탈시스템을포탈시스템을 위한위한IBM Tivoli SSOIBM Tivoli SSO솔루션솔루션
- 2 -
1. 정보활용의효율화를위한통합권한관리
단위시스템연계를 통한 정보서비스
제공의 필요성
내부 정보 활용의 다양성 필요
자료 연계의 활용극대화
산재된 데이터(ID관리체계, App Role
의 집중된 관리 필요
다양한 형태의 로긴화면 산재
통합 ID관리체계및 권한 관리
미비
맞춤정보서비스 미비 통합 권한관리 미비
표준화되지 않은 로긴체계
내부혁신
필요성
핵심역량
강화
통합 권한 관리 정보관리 통합체계 안정적보안체제
Tivoli Access Manager for e-business
그룹웨어
표준 Workflow구성에 따른
효과적인 업무공유체계 확보
통합포탈
개인맞춤형 포탈정보서비스
다양한 포탈 정보채널 구성IBMSSO
정보 접근과 업무 진행의 편의성
지원을 위한 통합정보채널 구성
표준화된 업무프로세스 정립
- 3 -
2. 통합권한관리기반의 SSO연계
EnterprisePortal중심으로View,SSO,보안,권한,접근의전 과정을체계화
다양한 APP Login 통합22
보안 관리33접근 제어 필요정보만 제공44
인사조직도(LDAP) 기반 연계11
통합권한관리
ERP EDMS Exchange
(Active Directory)
Oracle(인사)LDAP
EIP
동기화모듈 개발(EAI)
그룹웨어
참조
사용자
SSO
•300Portlet
196
MENU Link
43SSO APP
A 사용자
B 사용자
WebSEAL
WebSEAL
…
WebSEAL
WebSEALEAM
보안모듈
EAM보안모듈
Reverse Proxy Web
Server
Extranet
어플리케이션
Session 1 Session 2SSL 암호화
SSO
- 4 -
3. 통합권한관리구축방안
통합 권한 관리 시스템
다양한 응용시스템의사용자 단일 인증 체제
구축
사용자 인증 정보의
보안성 및 신뢰성 확보
효율적이고 안정적인
운영 및 개발 기반 마련
효율적이고 통합된권한관리 및 사용자계정관리 체계 마련
통합 권한 관리
다양한 환경의 응용 시스템에 대한 통합인증 체계 구현
사용자 인증의 전사 표준화
사용자 정보의 통합 관리
사용자별 권한관리 체계 수립
통합적인 접근권한제어 관리
사용자 계정 관리에 대하 업무 효율 개선
통합 계정관리 및 권한관리 시스템 구현전략 수립
필요성
단일 인증 시스템(SSO) 설계 및 구축 방향 설정
다양한 응용 시스템 및 상용 패키지 시스템에 대한SSO시스템 구축
SSO시스템을 통한 응용 시스템 및 패키지에 대한보안성 및 편리성 확보
통합 권한관리체계(EAM) 확대 구축 기반 마련
시스템 환경에 적합한 효율적인 접근제어 및 권한정책 기반
중앙 집중적인 접근제어 및 감사체계 구축 기반제공
RBAC기반의 효율적인 권한 관리 체계 마련
통합 계정관리 및 권한관리 체계(IAM) 구현 방향 제시
효율적인 사용자 계정 및 권한 통합관리 체계 구축전략 수립
통합 계정 및 권한관리 시스템 구축 기반 마련
기대효과
- 5 -
3. 통합권한관리구축방안
사용자
인증정보 보안
GPKI, NPKI,
사설인증, 생체인식
연동으로 인증 강화
다중인증 정책 적용
불법행위에 대한 감사 기록 및 통계 자료 등을 통한 보안 감사 강화
중요 업무에 대한 이중적 인증 보안 정책 적용
업무 시스템
관리도구 접근에 대한 관리자 인증 보안
관리자 행위에 대한 주요 로그 기록을
통한 감사 보안 강화
운영자
사용자
인증 처리사용자 권한 검증
EAM 시스템
구성 모듈간 송수신 데이터에 대한 SSL 암호화 적용으로데이터 보안 강화
Secure SSO Token 생성을 통한 인증정보 보안
중요 Attribute에 대한
암호화 적용으로
사용자 정보 유출 방지
통합저장소통합인증
보안 체계정보 암호화저장
인증정보보안
구간별
암호화 보안 체계
통합인증 접근 제어
불법 행위에 대한 감사
이중적 인증 정책
- 6 -
4. 포탈과 EAM의역활
단위 업무별 시스템 구축에 따라 분산된 메뉴 중 필요한 것을 찾아가서 활용해야 되던 기존의 방식을 계층별 포탈시스템과
EAM 구축을 통해 맞춤 서비스를 획기적으로 개선합니다.
TO-BE Portal 구축AS-IS
개인화개인화개인화
정보 접근 통합정보정보 접근접근 통합통합
통합된 정보 관리 체계통합된통합된 정보정보 관리관리 체계체계
협업협업협업
정보 공유정보정보 공유공유
단일 로그인, 보안강화단일단일 로그인로그인, , 보안강화보안강화
정보 검색/조회정보정보 검색검색//조회조회
인터넷 정보
그룹웨어KMS게시판웹메일ERP…
개별시스템 접속
외부 정보
고객사
분산된 정보를찾아가는 서비스
분산된 정보를찾아가는 서비스
Application, Date를사용자 관점에서 통합 연계
Application, Date를사용자 관점에서 통합 연계
계층별로 필요한 정보를 맞춤 형태로제공 받는 서비스
계층별로 필요한 정보를 맞춤 형태로제공 받는 서비스
Web 기반 통합 화면EAM(SSO)맞춤 서비스
정보의 최단 접근
EnterprisePortal
(EAM기반구축)
경영진
직원
고객
비즈니스파트너
신속한 의사결정에 필요한맞춤 서비스 제공
언제 어디서나 개인별 필요정보의 신속한 제공 및 공유
고객 접점의 일원화로대 고객 서비스 향상
비즈니스 파트너와의프로세스 연계를 통합 협업체계 구축
- 7 -
4. 포탈과 EAM의역활
Application, Date를포탈 중심의 통합 연계
Application, Date를포탈 중심의 통합 연계
개별화된 시스템의 도입(포탈, 그룹웨어, KMS, EAM, 통합검색)
개별화된 시스템의 도입(포탈, 그룹웨어, KMS, EAM, 통합검색)
포틀릿 권한관리포틀릿포틀릿 권한관리권한관리
포탈솔루션
EAM솔루션
통합게시/커뮤니티통합게시통합게시//커뮤니티커뮤니티
EAM과 포탈과의 권한관리통합LDAP과의 단위시스템과의 표준 Role에의한 인증절차를 걸친 포틀릿 컨텐츠 권한관리
EAM과 포탈과의 권한관리통합LDAP과의 단위시스템과의 표준 Role에의한 인증절차를 걸친 포틀릿 컨텐츠 권한관리
통합게시/커뮤니티통합게시통합게시//커뮤니티커뮤니티
그룹웨어
통합게시/커뮤니티통합게시통합게시//커뮤니티커뮤니티
지식관리
이기종 플랫폼의 연계성표준 포틀릿 정보는 닷넷과 JE22컨텐츠를 모두 쉽게 구성할 수 있으며 웹환경에 따른 프로세스 연계까지도 가능
이기종 플랫폼의 연계성표준 포틀릿 정보는 닷넷과 JE22컨텐츠를 모두 쉽게 구성할 수 있으며 웹환경에 따른 프로세스 연계까지도 가능
중복기능에 대한 통합각 솔루션의 최적의 기능분석을 통해 포탈내백본구성을 원칙으로한 통합 구성
중복기능에 대한 통합각 솔루션의 최적의 기능분석을 통해 포탈내백본구성을 원칙으로한 통합 구성
통합화-권한 관리 통합 구현-EDMS와 최적화 문서,첨부관리 구현-기존 시스템의 통합화 컨설팅을 통한 최적화된 표준템플릿 시스템 구축
통합화-권한 관리 통합 구현-EDMS와 최적화 문서,첨부관리 구현-기존 시스템의 통합화 컨설팅을 통한 최적화된 표준템플릿 시스템 구축
포틀릿 표준 개발포틀릿포틀릿 표준표준 개발개발
계정관리컨설팅계정관리컨설팅계정관리컨설팅
통합 권한관리통합통합 권한관리권한관리
전자우편, 전자결재전자우편전자우편, , 전자결재전자결재
- 8 -
4. 포탈과 EAM의역활
통합IDX
통합사용자
검색엔진
홈페이지
KMS전자결재
EDMS
기타업무
통계
행정업무
인사업무
구매업무
업무 데이터 베이스 영역
그룹통합 로그인
업무데이터
-사용자등록 및활용(ID관리체계)
- 통합사용자관리-통합 로그인
전사 포탈
삼성테스코 포탈 공유 컨텐츠
통합검색시스템
-메일, Workflow재개발
-문서 LifeCycle관리
(저장,수정, 보관,삭제)
-문서 Check-
In/Out/감사(Audit)
-계층적 분류 관리
Wokflow, Mail
EAI- 기간 시스템 연계
- 외부기관 시스템연계
-통합 포탈 컨텐츠
-One Point Access
-통합로그인(SSO)
-통합 작업공간 (지식
Workplace)
-통합 사용자
Directory관리
-통합 사용자
프로파일관리
-개인화 서비스
(마이페이지)
-CM서비스 (컨텐츠관리)
-게시판통합
-커뮤니티(커뮤니티소식,
동호회, Q&A,
토론마당)
-안정적 메일서비스
-정보마당(공지사항,
공유의장,KM형 블로그
설문/투표마당)
-지식의방 ( 건설뉴스,
우수지식인, 지식Q&A)
- PDA모바일확장서비스
포탈시스템(EP)
Portal (내부)
InternetInternet
VendorsVendors
외부 접속자외부 접속자
EmployeesEmployees
권한 사용자별로그인
통합검색(내부,외부)
Collaboration확장개인화, 그룹화,지식화
정보, 컨텐츠통합체계에 구성
포탈 공통설계
부문별 포탈
VPN SSL
- 9 -
5. EAM 구축전략
포탈및 그룹웨어 권한관리와 연계된 통합 권한관리
구성및 IAM구성
Reverse Proxy Server 운영 방식으로적용하므로, 기 구축 어플리케이션에 변경 또는수정불필요
통합 사용자 LDAP 정보와 동기화
통합LDAP과 인사DB를 Master로 하며 익스체인지AD등 다양한 디렉토리 서비스와 실시간 연계지원
완벽한 Load Balancing과 Fail-Over지원
사용자 수 기반 라이센스 정책
SSO를 위한 업무서버의 변경 사항 없이 개발
LDAP, AD와의 동기화 (필요한 인증 정보동기화)를 통해 사용자 정보의 정합성을 유지
통합권한 관리
고려사항
전략
- 10 -
5. EAM 구축전략
단위시스템연계
포탈
통합검색
마이페이지
• 검색엔진을 이용한 내/외부 정보에 대한 통한검색• EAM를 기반으로한 개인화및 개인/그룹 업무 Role에맞는 업무체계 구성
• 기존 내부시스템과 연계된 시스템의 포탈 컨텐츠/포틀릿구성
• 포탈 컨텐츠 구성을 위한 통합 UI구성 설계• 포탈컨텐츠 관리 기능
• 전자결재등 기반업무와 연계된 안정화된 그룹웨어 도입•지식관리의 활성화를 위한 지식공유 강화•어플리케이션 공유(시스템 연계), 협업지원채널 구성
• 단일 SSO인증에 의한 포탈컨텐츠정보 맟춤형 마이페이지구성
• 개인별/그룹별 포틀릿 정보 공유• 그룹별 업무별 Workplace 컨텐츠 제공• 통합시스템 관리 환경 제공
전자메일
전자결재
지식관리
Collaboration
통합프로세스를 위한 다양한 내/외부정보의 통합연계
신뢰성 있는 그룹웨어 구성, 다정보 채널 구축
향후 확장 포탈 서비스가 가능한 프로세스 설계
TAM을 이용한포탈그룹웨어
효율성의 극대화
통합화
개별화
고도화
연계화
- 11 -
6. EAM 상세구축방안(단일로그인)
TAM : IBM Tivoli Access Manager for e-business
LDAP : IBM Tivoli Directory Server
인증
L4 스위치
LDAP
TAM
LDAP
포탈시스템
그룹웨어
어플리케이션
KMS/EDMS/MIS
사용자 EAM/SSO 시스템 업무 어플리케이션
브라우저
. . . . .
업무서버에 SSO 관련 소프트웨어 (Agent) 를 설치하지 않는 reverse Proxy Server 운영 방식으로 적용합니다.
이 방식은, 업무 서버 플랫폼 종류, OS 버전 및 소프트웨어 버전에 제한을 받지 않으므로, 귀사의 다양한 업무 시스템환경(UNIX, Windows 상의 다양한 종류와 버전의 웹 서버와 상이한 개발 플랫폼(J2EE, .NET)등)에 적합합니다.
SSO 적용을 위해 업무서버 애플리케이션에 변경 또는 수정을 가하지 않습니다.
기존 사용자 업무에 지장을 주지 않고 SSO 적용이 용이하며, 관리 및 운영이 용이합니다.
SSO 시스템 문제 발생시, 사용자가 direct 로 업무 서버에 접근하도록 조치하는 작업을 쉽고 빠르게 할 수 있으므로사용자 업무에 지장을 주지 않습니다.
- 12 -
6. EAM 상세구축방안(단일로그인)
사용자 기간 업무 시스템EAM/SSO 시스템 포탈 시스템
TAMWebSEALServer
LDAP
서버
LDAP통합
사용자 정보
TAM Policy Server
TAM Policy Server
Appl.Server
ORACLE
Appl, 내부 인증
Portal User Page
Client
2. Client 호출
3.인증 (ID/Password)
SSO 로그인
닷넷Server
Oracle
2. Notes Access닷넷기반 WEB
닷넷기반 AD와
SSO/EAM 통합 LDAP과
동기화
WAS(Java)
사용자 DB
2. Appl AccessWAS
패키지 솔루션의 경우
기존 인증체계 분석을
통한 사용자정보 동기화
Portal User Page
Portal User Page
통합인증
세션관리
권한관리
Oracle 사용자 정보와의 동기화,
Client 프로그램 호출시
기존 ID/Passwd 전달
- 13 -
6. EAM 상세구축방안(통합사용자관리)
사용자 IPDW시스템접근권한
그룹웨어
전자메일
KMS/EDMS
MIS
…
포탈
인증 정책 서버
중앙집중식권한관리
그룹웨어사용자 정보
LDAP 서버
사용자권한정보
Control
동기화script
권한 정보 관리
관리자 화면
Portal
동기화등록
인사정보시스템사용자 정보 동기화
관리
1
2
3
FORM인증 처리
사용자정보 동기화
포털 내의 각 서비스 권한 관리
1
2
3
범 례
시스템 접근관리
ID/Password 인증
그룹웨어 KMS EDMS 인사ID 인사PW
- 14 -
HR사용자 등록/수정/삭제
통합 사용자프로파일모니터링
시스템 운영자
사용자주소록LDAP
Repository
TAM Mgt SVR
Tivoli Access
Mgmt Console LDAP통신을 통한조직/사용자 공유
통합 LDAP 참조: C,Java 기반의갱신 API제공
기존/신규어플리케이션
ORACLE사용자 DB
MIS
영업정보
Appl
그룹웨어
포탈
SQL Server
닷넷 환경 시스템
DominoLDAP
SynchronizationC,Java 기반의API 를 이용한 동
기화
사용자 정보의 생성, 변경, 폐기에대한 관리 프로세
스 통합
6. EAM 상세구축방안(통합사용자동기화)
ID관리시스템
- 15 -
6. EAM 상세구축방안(보안체계)
LDAP
Web
Appl
SSO 시스템
Clien
t
업무시스템
TAM
WebSEAL
SSL non-SSL
Web
Appl
Web
Appl
C/S
Appl
C/S
Appl
Client Program
SSL
Client 와 SSO 서버간은
SSL 세션으로 암호화 통신
Client 와 업무 시스템
(C/S Application Server)
는 기존 방식대로 통신
SSO 서버와 업무 시스템
(Web Application) 간은
SSL 세션으로 암호화 통신.
SSL, non-SSL 혼용 가능
non-SSLActiveX pgm
C/S application SSO를
위한 CSSEAL program 내에
사용자정보 암호화
사용자
- 16 -
7. EAM 확장전략
시스템 및 사용자 환경을 고려하여 통합 사용자 계정관리 및 권한관리 시스템 구현을 위해서는 SSO컨설팅과 구축 프로젝트
를 통하여 유연한 SSO 시스템 아키텍처를 구성하고 향후 확장방안과 추진 목표에 따라 단계적으로 과제를 이행하는 것이 최
적의 방안입니다.
계획수립
요건 조사
이행전략 도축
단계별 이행방안 수립
SSO 컨설팅
EAM 대상업무및 추진계획 확정
Web, C/S 시스템
EAM 기능 개발
EAM 테스트 및 보완
EAM 구축
권한관리 연동 기능 구현및 테스트
통합 사용자 계정 관리시스템 구축
사용자 계정 정책 및추진계획 수립
IAM 구축
신기술 동향 분석및 솔루션 추가 검토
시스템 운영 효율 개선
시스템 유지보수 및운영 안정화
운영 안정화
SSO 구성 설계 및 연계
SSO 모듈 설계 및 개발통합인증 화면 개발
통합 LDAP 구성 및인터페이스 개발
테스트 및 운영 교육
SSO 구축
- 17 -
7. EAM 확장전략
EAM 추진방안 제시
현 시스템의 권한관리를 분석하고 개선책 제시
사용자-시스템 간의 명확한 관계 파악을 통한 적절한 권한 부여 기준 제시
사용자와 자원간의 권한 관리체계 재정립 및 솔루션 적용 방안 제시
분석된 요구분석을 토대로 각 Web, C/S 기반의 자원에 대한 EAM 적용 방안 수립
자원은 개인별, 그룹별로 분류되어 접근 권한을 부여
자원 관리 정책 구성
각 자원에 대한 권한 부여 정책을 수립
현재 복잡한 권한 레벨에 대한
Normalization 적용
각 권한에 단일의 ID를 부여
자원에 부여되는 역할에 대한 체계 구성
사용자 관리 정책 구성
모든 사용자에 대한 관리 정책 수립
모든 사용자가 접근하는 자원에 대한
접근그룹별 분류
고객
각 부서별
- 18 -
7. EAM 확장전략
Org Role Svc Role Pos Role
운영팀
발급
Func Role
고객사 PM
협력업체
담당자
승인 고객사 직원 PM
협력업체
담당자
PM
담당자
PM
담당자
사업팀
개발팀
시스템관리팀
보안팀
감사팀
Admin
정책요건
부서별/역할별 사용자 그룹 정의
사용자별 관리대상 정보 정의
접근대상 시스템 및 어플리케이션 정의
그룹별 접근 권한 정의
권한관리 시스템과의 연동방안 수립
계정관리요건
사용자 및 그룹 생성/수정/삭제
사용자 정보 자가 관리
Provisioning과 De-provisioning을 이용한일관된 사용자 계정 관리
비즈니스 워크 플로우에 의한 사용자 계정정보의 수정요구 및 인증 절차 수립
운영관리요건
관리서버를 경유한 시스템 접속 기능
허가된 시스템으로의 자동 접근
사용자 정보의 주기적인 Sync 작업
접근제어에 위배된 사항에 대한 로그수집/분석/통계
통합관리체계
- 19 -
8. 엔키소프트소개
설립설립
2001년 1월2001년 1월
자본금자본금2121세기세기 지식지식 정보화정보화
사회사회 실현을실현을 함께하는함께하는 기업기업 3.5억원3.5억원
종업원종업원
38명(컨설팅 9명, 설계/개발 25)38명(컨설팅 9명, 설계/개발 25)
고객과고객과함께함께
사회와사회와함께함께
지식정보산업 리더
기술과기술과함께함께
사업장사업장
본사(서울 방이동), http://www.enkisoft.co.kr본사(서울 방이동), http://www.enkisoft.co.kr
주요연혁주요연혁
대림산업 포탈 시스템 구축
LG카드 SSO시스템 컨설팅및 구축
다음커뮤니케이션 SSO시스템 구축
농업기반공사 포탈시스템 구축
삼성전자 LCD PMS시스템 구축
한국과학기술원 SSO시스템 구축
대한항공 SSO시스템 구축
육군본부 포탈시스템 구축
대림산업 포탈 시스템 구축
LG카드 SSO시스템 컨설팅및 구축
다음커뮤니케이션 SSO시스템 구축
농업기반공사 포탈시스템 구축
삼성전자 LCD PMS시스템 구축
한국과학기술원 SSO시스템 구축
대한항공 SSO시스템 구축
육군본부 포탈시스템 구축
지식정보산업 리더
- 20 -
8. 엔키소프트소개
㈜엔키소프트서울시 송파구 방이동 149-11 나노빌딩 6층연락처 : TEL(04)419-6362, FAX(02)419-6372홈페이지 : www.enkisoft.co.kr
정경현([email protected], 011-553-3684)