- 1 -

그룹웨어와그룹웨어와 포탈시스템을포탈시스템을 위한위한IBM Tivoli SSOIBM Tivoli SSO솔루션솔루션

- 2 -

1. 정보활용의효율화를위한통합권한관리

단위시스템연계를 통한 정보서비스

제공의 필요성

내부 정보 활용의 다양성 필요

자료 연계의 활용극대화

산재된 데이터(ID관리체계, App Role

의 집중된 관리 필요

다양한 형태의 로긴화면 산재

통합 ID관리체계및 권한 관리

미비

맞춤정보서비스 미비 통합 권한관리 미비

표준화되지 않은 로긴체계

내부혁신

필요성

핵심역량

강화

통합 권한 관리 정보관리 통합체계 안정적보안체제

Tivoli Access Manager for e-business

그룹웨어

표준 Workflow구성에 따른

효과적인 업무공유체계 확보

통합포탈

개인맞춤형 포탈정보서비스

다양한 포탈 정보채널 구성IBMSSO

정보 접근과 업무 진행의 편의성

지원을 위한 통합정보채널 구성

표준화된 업무프로세스 정립

- 3 -

2. 통합권한관리기반의 SSO연계

EnterprisePortal중심으로View,SSO,보안,권한,접근의전 과정을체계화

다양한 APP Login 통합22

보안 관리33접근 제어 필요정보만 제공44

인사조직도(LDAP) 기반 연계11

통합권한관리

ERP EDMS Exchange

(Active Directory)

Oracle(인사)LDAP

EIP

동기화모듈 개발(EAI)

그룹웨어

참조

사용자

SSO

•300Portlet

196

MENU Link

43SSO APP

A 사용자

B 사용자

WebSEAL

WebSEAL

…

WebSEAL

WebSEALEAM

보안모듈

EAM보안모듈

Reverse Proxy Web

Server

Extranet

어플리케이션

Session 1 Session 2SSL 암호화

SSO

- 4 -

3. 통합권한관리구축방안

통합 권한 관리 시스템

다양한 응용시스템의사용자 단일 인증 체제

구축

사용자 인증 정보의

보안성 및 신뢰성 확보

효율적이고 안정적인

운영 및 개발 기반 마련

효율적이고 통합된권한관리 및 사용자계정관리 체계 마련

통합 권한 관리

다양한 환경의 응용 시스템에 대한 통합인증 체계 구현

사용자 인증의 전사 표준화

사용자 정보의 통합 관리

사용자별 권한관리 체계 수립

통합적인 접근권한제어 관리

사용자 계정 관리에 대하 업무 효율 개선

통합 계정관리 및 권한관리 시스템 구현전략 수립

필요성

단일 인증 시스템(SSO) 설계 및 구축 방향 설정

다양한 응용 시스템 및 상용 패키지 시스템에 대한SSO시스템 구축

SSO시스템을 통한 응용 시스템 및 패키지에 대한보안성 및 편리성 확보

통합 권한관리체계(EAM) 확대 구축 기반 마련

시스템 환경에 적합한 효율적인 접근제어 및 권한정책 기반

중앙 집중적인 접근제어 및 감사체계 구축 기반제공

RBAC기반의 효율적인 권한 관리 체계 마련

통합 계정관리 및 권한관리 체계(IAM) 구현 방향 제시

효율적인 사용자 계정 및 권한 통합관리 체계 구축전략 수립

통합 계정 및 권한관리 시스템 구축 기반 마련

기대효과

- 5 -

3. 통합권한관리구축방안

사용자

인증정보 보안

GPKI, NPKI,

사설인증, 생체인식

연동으로 인증 강화

다중인증 정책 적용

불법행위에 대한 감사 기록 및 통계 자료 등을 통한 보안 감사 강화

중요 업무에 대한 이중적 인증 보안 정책 적용

업무 시스템

관리도구 접근에 대한 관리자 인증 보안

관리자 행위에 대한 주요 로그 기록을

통한 감사 보안 강화

운영자

사용자

인증 처리사용자 권한 검증

EAM 시스템

구성 모듈간 송수신 데이터에 대한 SSL 암호화 적용으로데이터 보안 강화

Secure SSO Token 생성을 통한 인증정보 보안

중요 Attribute에 대한

암호화 적용으로

사용자 정보 유출 방지

통합저장소통합인증

보안 체계정보 암호화저장

인증정보보안

구간별

암호화 보안 체계

통합인증 접근 제어

불법 행위에 대한 감사

이중적 인증 정책

- 6 -

4. 포탈과 EAM의역활

단위 업무별 시스템 구축에 따라 분산된 메뉴 중 필요한 것을 찾아가서 활용해야 되던 기존의 방식을 계층별 포탈시스템과

EAM 구축을 통해 맞춤 서비스를 획기적으로 개선합니다.

TO-BE Portal 구축AS-IS

개인화개인화개인화

정보 접근 통합정보정보 접근접근 통합통합

통합된 정보 관리 체계통합된통합된 정보정보 관리관리 체계체계

협업협업협업

정보 공유정보정보 공유공유

단일 로그인, 보안강화단일단일 로그인로그인, , 보안강화보안강화

정보 검색/조회정보정보 검색검색//조회조회

인터넷 정보

그룹웨어KMS게시판웹메일ERP…

개별시스템 접속

외부 정보

고객사

분산된 정보를찾아가는 서비스

분산된 정보를찾아가는 서비스

Application, Date를사용자 관점에서 통합 연계

Application, Date를사용자 관점에서 통합 연계

계층별로 필요한 정보를 맞춤 형태로제공 받는 서비스

계층별로 필요한 정보를 맞춤 형태로제공 받는 서비스

Web 기반 통합 화면EAM(SSO)맞춤 서비스

정보의 최단 접근

EnterprisePortal

(EAM기반구축)

경영진

직원

고객

비즈니스파트너

신속한 의사결정에 필요한맞춤 서비스 제공

언제 어디서나 개인별 필요정보의 신속한 제공 및 공유

고객 접점의 일원화로대 고객 서비스 향상

비즈니스 파트너와의프로세스 연계를 통합 협업체계 구축

- 7 -

4. 포탈과 EAM의역활

Application, Date를포탈 중심의 통합 연계

Application, Date를포탈 중심의 통합 연계

개별화된 시스템의 도입(포탈, 그룹웨어, KMS, EAM, 통합검색)

개별화된 시스템의 도입(포탈, 그룹웨어, KMS, EAM, 통합검색)

포틀릿 권한관리포틀릿포틀릿 권한관리권한관리

포탈솔루션

EAM솔루션

통합게시/커뮤니티통합게시통합게시//커뮤니티커뮤니티

EAM과 포탈과의 권한관리통합LDAP과의 단위시스템과의 표준 Role에의한 인증절차를 걸친 포틀릿 컨텐츠 권한관리

EAM과 포탈과의 권한관리통합LDAP과의 단위시스템과의 표준 Role에의한 인증절차를 걸친 포틀릿 컨텐츠 권한관리

통합게시/커뮤니티통합게시통합게시//커뮤니티커뮤니티

그룹웨어

통합게시/커뮤니티통합게시통합게시//커뮤니티커뮤니티

지식관리

이기종 플랫폼의 연계성표준 포틀릿 정보는 닷넷과 JE22컨텐츠를 모두 쉽게 구성할 수 있으며 웹환경에 따른 프로세스 연계까지도 가능

이기종 플랫폼의 연계성표준 포틀릿 정보는 닷넷과 JE22컨텐츠를 모두 쉽게 구성할 수 있으며 웹환경에 따른 프로세스 연계까지도 가능

중복기능에 대한 통합각 솔루션의 최적의 기능분석을 통해 포탈내백본구성을 원칙으로한 통합 구성

중복기능에 대한 통합각 솔루션의 최적의 기능분석을 통해 포탈내백본구성을 원칙으로한 통합 구성

통합화-권한 관리 통합 구현-EDMS와 최적화 문서,첨부관리 구현-기존 시스템의 통합화 컨설팅을 통한 최적화된 표준템플릿 시스템 구축

통합화-권한 관리 통합 구현-EDMS와 최적화 문서,첨부관리 구현-기존 시스템의 통합화 컨설팅을 통한 최적화된 표준템플릿 시스템 구축

포틀릿 표준 개발포틀릿포틀릿 표준표준 개발개발

계정관리컨설팅계정관리컨설팅계정관리컨설팅

통합 권한관리통합통합 권한관리권한관리

전자우편, 전자결재전자우편전자우편, , 전자결재전자결재

- 8 -

4. 포탈과 EAM의역활

통합IDX

통합사용자

검색엔진

홈페이지

KMS전자결재

EDMS

기타업무

통계

행정업무

인사업무

구매업무

업무 데이터 베이스 영역

그룹통합 로그인

업무데이터

-사용자등록 및활용(ID관리체계)

- 통합사용자관리-통합 로그인

전사 포탈

삼성테스코 포탈 공유 컨텐츠

통합검색시스템

-메일, Workflow재개발

-문서 LifeCycle관리

(저장,수정, 보관,삭제)

-문서 Check-

In/Out/감사(Audit)

-계층적 분류 관리

Wokflow, Mail

EAI- 기간 시스템 연계

- 외부기관 시스템연계

-통합 포탈 컨텐츠

-One Point Access

-통합로그인(SSO)

-통합 작업공간 (지식

Workplace)

-통합 사용자

Directory관리

-통합 사용자

프로파일관리

-개인화 서비스

(마이페이지)

-CM서비스 (컨텐츠관리)

-게시판통합

-커뮤니티(커뮤니티소식,

동호회, Q&A,

토론마당)

-안정적 메일서비스

-정보마당(공지사항,

공유의장,KM형 블로그

설문/투표마당)

-지식의방 ( 건설뉴스,

우수지식인, 지식Q&A)

- PDA모바일확장서비스

포탈시스템(EP)

Portal (내부)

InternetInternet

VendorsVendors

외부 접속자외부 접속자

EmployeesEmployees

권한 사용자별로그인

통합검색(내부,외부)

Collaboration확장개인화, 그룹화,지식화

정보, 컨텐츠통합체계에 구성

포탈 공통설계

부문별 포탈

VPN SSL

- 9 -

5. EAM 구축전략

포탈및 그룹웨어 권한관리와 연계된 통합 권한관리

구성및 IAM구성

Reverse Proxy Server 운영 방식으로적용하므로, 기 구축 어플리케이션에 변경 또는수정불필요

통합 사용자 LDAP 정보와 동기화

통합LDAP과 인사DB를 Master로 하며 익스체인지AD등 다양한 디렉토리 서비스와 실시간 연계지원

완벽한 Load Balancing과 Fail-Over지원

사용자 수 기반 라이센스 정책

SSO를 위한 업무서버의 변경 사항 없이 개발

LDAP, AD와의 동기화 (필요한 인증 정보동기화)를 통해 사용자 정보의 정합성을 유지

통합권한 관리

고려사항

전략

- 10 -

5. EAM 구축전략

단위시스템연계

포탈

통합검색

마이페이지

• 검색엔진을 이용한 내/외부 정보에 대한 통한검색• EAM를 기반으로한 개인화및 개인/그룹 업무 Role에맞는 업무체계 구성

• 기존 내부시스템과 연계된 시스템의 포탈 컨텐츠/포틀릿구성

• 포탈 컨텐츠 구성을 위한 통합 UI구성 설계• 포탈컨텐츠 관리 기능

• 전자결재등 기반업무와 연계된 안정화된 그룹웨어 도입•지식관리의 활성화를 위한 지식공유 강화•어플리케이션 공유(시스템 연계), 협업지원채널 구성

• 단일 SSO인증에 의한 포탈컨텐츠정보 맟춤형 마이페이지구성

• 개인별/그룹별 포틀릿 정보 공유• 그룹별 업무별 Workplace 컨텐츠 제공• 통합시스템 관리 환경 제공

전자메일

전자결재

지식관리

Collaboration

통합프로세스를 위한 다양한 내/외부정보의 통합연계

신뢰성 있는 그룹웨어 구성, 다정보 채널 구축

향후 확장 포탈 서비스가 가능한 프로세스 설계

TAM을 이용한포탈그룹웨어

효율성의 극대화

통합화

개별화

고도화

연계화

- 11 -

6. EAM 상세구축방안(단일로그인)

TAM : IBM Tivoli Access Manager for e-business

LDAP : IBM Tivoli Directory Server

인증

L4 스위치

LDAP

TAM

LDAP

포탈시스템

그룹웨어

어플리케이션

KMS/EDMS/MIS

사용자 EAM/SSO 시스템 업무 어플리케이션

브라우저

. . . . .

업무서버에 SSO 관련 소프트웨어 (Agent) 를 설치하지 않는 reverse Proxy Server 운영 방식으로 적용합니다.

이 방식은, 업무 서버 플랫폼 종류, OS 버전 및 소프트웨어 버전에 제한을 받지 않으므로, 귀사의 다양한 업무 시스템환경(UNIX, Windows 상의 다양한 종류와 버전의 웹 서버와 상이한 개발 플랫폼(J2EE, .NET)등)에 적합합니다.

SSO 적용을 위해 업무서버 애플리케이션에 변경 또는 수정을 가하지 않습니다.

기존 사용자 업무에 지장을 주지 않고 SSO 적용이 용이하며, 관리 및 운영이 용이합니다.

SSO 시스템 문제 발생시, 사용자가 direct 로 업무 서버에 접근하도록 조치하는 작업을 쉽고 빠르게 할 수 있으므로사용자 업무에 지장을 주지 않습니다.

- 12 -

6. EAM 상세구축방안(단일로그인)

사용자 기간 업무 시스템EAM/SSO 시스템 포탈 시스템

TAMWebSEALServer

LDAP

서버

LDAP통합

사용자 정보

TAM Policy Server

TAM Policy Server

Appl.Server

ORACLE

Appl, 내부 인증

Portal User Page

Client

2. Client 호출

3.인증 (ID/Password)

SSO 로그인

닷넷Server

Oracle

2. Notes Access닷넷기반 WEB

닷넷기반 AD와

SSO/EAM 통합 LDAP과

동기화

WAS(Java)

사용자 DB

2. Appl AccessWAS

패키지 솔루션의 경우

기존 인증체계 분석을

통한 사용자정보 동기화

Portal User Page

Portal User Page

통합인증

세션관리

권한관리

Oracle 사용자 정보와의 동기화,

Client 프로그램 호출시

기존 ID/Passwd 전달

- 13 -

6. EAM 상세구축방안(통합사용자관리)

사용자 IPDW시스템접근권한

그룹웨어

전자메일

KMS/EDMS

MIS

…

포탈

인증 정책 서버

중앙집중식권한관리

그룹웨어사용자 정보

LDAP 서버

사용자권한정보

Control

동기화script

권한 정보 관리

관리자 화면

Portal

동기화등록

인사정보시스템사용자 정보 동기화

관리

1

2

3

FORM인증 처리

사용자정보 동기화

포털 내의 각 서비스 권한 관리

1

2

3

범 례

시스템 접근관리

ID/Password 인증

그룹웨어 KMS EDMS 인사ID 인사PW

- 14 -

HR사용자 등록/수정/삭제

통합 사용자프로파일모니터링

시스템 운영자

사용자주소록LDAP

Repository

TAM Mgt SVR

Tivoli Access

Mgmt Console LDAP통신을 통한조직/사용자 공유

통합 LDAP 참조: C,Java 기반의갱신 API제공

기존/신규어플리케이션

ORACLE사용자 DB

MIS

영업정보

Appl

그룹웨어

포탈

SQL Server

닷넷 환경 시스템

DominoLDAP

SynchronizationC,Java 기반의API 를 이용한 동

기화

사용자 정보의 생성, 변경, 폐기에대한 관리 프로세

스 통합

6. EAM 상세구축방안(통합사용자동기화)

ID관리시스템

- 15 -

6. EAM 상세구축방안(보안체계)

LDAP

Web

Appl

SSO 시스템

Clien

t

업무시스템

TAM

WebSEAL

SSL non-SSL

Web

Appl

Web

Appl

C/S

Appl

C/S

Appl

Client Program

SSL

Client 와 SSO 서버간은

SSL 세션으로 암호화 통신

Client 와 업무 시스템

(C/S Application Server)

는 기존 방식대로 통신

SSO 서버와 업무 시스템

(Web Application) 간은

SSL 세션으로 암호화 통신.

SSL, non-SSL 혼용 가능

non-SSLActiveX pgm

C/S application SSO를

위한 CSSEAL program 내에

사용자정보 암호화

사용자

- 16 -

7. EAM 확장전략

시스템 및 사용자 환경을 고려하여 통합 사용자 계정관리 및 권한관리 시스템 구현을 위해서는 SSO컨설팅과 구축 프로젝트

를 통하여 유연한 SSO 시스템 아키텍처를 구성하고 향후 확장방안과 추진 목표에 따라 단계적으로 과제를 이행하는 것이 최

적의 방안입니다.

계획수립

요건 조사

이행전략 도축

단계별 이행방안 수립

SSO 컨설팅

EAM 대상업무및 추진계획 확정

Web, C/S 시스템

EAM 기능 개발

EAM 테스트 및 보완

EAM 구축

권한관리 연동 기능 구현및 테스트

통합 사용자 계정 관리시스템 구축

사용자 계정 정책 및추진계획 수립

IAM 구축

신기술 동향 분석및 솔루션 추가 검토

시스템 운영 효율 개선

시스템 유지보수 및운영 안정화

운영 안정화

SSO 구성 설계 및 연계

SSO 모듈 설계 및 개발통합인증 화면 개발

통합 LDAP 구성 및인터페이스 개발

테스트 및 운영 교육

SSO 구축

- 17 -

7. EAM 확장전략

EAM 추진방안 제시

현 시스템의 권한관리를 분석하고 개선책 제시

사용자-시스템 간의 명확한 관계 파악을 통한 적절한 권한 부여 기준 제시

사용자와 자원간의 권한 관리체계 재정립 및 솔루션 적용 방안 제시

분석된 요구분석을 토대로 각 Web, C/S 기반의 자원에 대한 EAM 적용 방안 수립

자원은 개인별, 그룹별로 분류되어 접근 권한을 부여

자원 관리 정책 구성

각 자원에 대한 권한 부여 정책을 수립

현재 복잡한 권한 레벨에 대한

Normalization 적용

각 권한에 단일의 ID를 부여

자원에 부여되는 역할에 대한 체계 구성

사용자 관리 정책 구성

모든 사용자에 대한 관리 정책 수립

모든 사용자가 접근하는 자원에 대한

접근그룹별 분류

고객

각 부서별

- 18 -

7. EAM 확장전략

Org Role Svc Role Pos Role

운영팀

발급

Func Role

고객사 PM

협력업체

담당자

승인 고객사 직원 PM

협력업체

담당자

PM

담당자

PM

담당자

사업팀

개발팀

시스템관리팀

보안팀

감사팀

Admin

정책요건

부서별/역할별 사용자 그룹 정의

사용자별 관리대상 정보 정의

접근대상 시스템 및 어플리케이션 정의

그룹별 접근 권한 정의

권한관리 시스템과의 연동방안 수립

계정관리요건

사용자 및 그룹 생성/수정/삭제

사용자 정보 자가 관리

Provisioning과 De-provisioning을 이용한일관된 사용자 계정 관리

비즈니스 워크 플로우에 의한 사용자 계정정보의 수정요구 및 인증 절차 수립

운영관리요건

관리서버를 경유한 시스템 접속 기능

허가된 시스템으로의 자동 접근

사용자 정보의 주기적인 Sync 작업

접근제어에 위배된 사항에 대한 로그수집/분석/통계

통합관리체계

- 19 -

8. 엔키소프트소개

설립설립

2001년 1월2001년 1월

자본금자본금2121세기세기 지식지식 정보화정보화

사회사회 실현을실현을 함께하는함께하는 기업기업 3.5억원3.5억원

종업원종업원

38명(컨설팅 9명, 설계/개발 25)38명(컨설팅 9명, 설계/개발 25)

고객과고객과함께함께

사회와사회와함께함께

지식정보산업 리더

기술과기술과함께함께

사업장사업장

본사(서울 방이동), http://www.enkisoft.co.kr본사(서울 방이동), http://www.enkisoft.co.kr

주요연혁주요연혁

대림산업 포탈 시스템 구축

LG카드 SSO시스템 컨설팅및 구축

다음커뮤니케이션 SSO시스템 구축

농업기반공사 포탈시스템 구축

삼성전자 LCD PMS시스템 구축

한국과학기술원 SSO시스템 구축

대한항공 SSO시스템 구축

육군본부 포탈시스템 구축

대림산업 포탈 시스템 구축

LG카드 SSO시스템 컨설팅및 구축

다음커뮤니케이션 SSO시스템 구축

농업기반공사 포탈시스템 구축

삼성전자 LCD PMS시스템 구축

한국과학기술원 SSO시스템 구축

대한항공 SSO시스템 구축

육군본부 포탈시스템 구축

지식정보산업 리더

- 20 -

8. 엔키소프트소개

㈜엔키소프트서울시 송파구 방이동 149-11 나노빌딩 6층연락처 : TEL(04)419-6362, FAX(02)419-6372홈페이지 : www.enkisoft.co.kr

정경현(khjung@enkisoft.co.kr, 011-553-3684)