Download - 20121125 fundmental iam
![Page 2: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/2.jpg)
“엔터프라이즈 환경에서 시스템 및 에플리케이션은 허가된 사용자만이 사용할 수
있다. 따라서 허가를 하기 위해서는 사용자를 식별(Identity) 하여야 하며 이러한 식
별 데이터들은 서로 다른 서버 및 어플리케이션에 저장되어 있다.”
기술등장 배경 Problem
manager
임직원 시스템등록 * n
동기화는 ? 퇴사자는? 신규입사자는? 부서변경은?
계정등록은 주업무가 아니다. 메인업무는 언제?
퇴근은? 퇴근은?
![Page 3: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/3.jpg)
How To solve IM
HR Resource
IAM
데이터 일관성 확보
부서별 권한할당
보안정책 수립
계정 활동 감사
퇴사자, 입사자
계정생성 동기화
![Page 4: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/4.jpg)
What Is Identity
• 조직내에서는 각 구성원을 식별할 수 있는
키값이 필요하다. 그 키 값에 따라서 자격과
권한을 부여한다.
남자1호
남자2호
남자3
남자4호
남자5호
남자6호
![Page 5: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/5.jpg)
What Is Group
• 남자1호부터 남자 6호까지 권한을 부여하
고 제어하는 것은 어렵지 않다.
그런데…
동기화는 ? 퇴사자는? 신규입사자는? 부서변경
은?
계정등록은 주업무가 아니다. 메인업무는 언제?
퇴근은? 퇴근은?
![Page 6: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/6.jpg)
Just Using Group
• 수학을 포기한 사람조차 집합을 배웠다.
그래서 우리는 집합을 안다.;;
A그룹 커플성공
결혼가능
B그룹 커플실패
접근금지
![Page 7: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/7.jpg)
Group을 나눠서 뭘?
• Role을 관리하자.
왜?Access Role Deny Role
유저를 데이터라고 생각하고
db에서
테이블을 먼저 만드는 것처럼
규격을 만들고
삽입 / 삭제를 하자는 거지
어짜피 속성은 key값을 인덱스로
해서 원하는 걸 변경하면 되니까.
![Page 8: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/8.jpg)
How to Make User Account
• 신입사원이 입사했어요~~
• 저 부서이동합니다.~~
• 저 퇴사합니다.~~
![Page 9: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/9.jpg)
Provisioning이란 걸 해봐?
• IAM 을 이용해서 기준이 되는 Identity를 만
들자.
• 식별자가 생겼으니, 그 식별자들을
내가 원하는 리소스 (서버들)에게 집어넣자.
식별자 중에 함량미달인 애들은 룰을 만들어
서 다른 그룹에서 따로 관리해서 접근 못하게
하자.
![Page 10: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/10.jpg)
Provisioning
• 대상 target System에 Account를 생성하는
행위
• 근데 난 전결권자가 아닌데..
승인은 승인은?
![Page 11: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/11.jpg)
WorkFlow
• 일하고 싶은 권한을 얻고 싶나?
![Page 12: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/12.jpg)
근데 속은 어떻게 채우지?
• 분류, 권한, 식별자 다 알겠는데 데이터는?
![Page 13: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/13.jpg)
Reconciliation
• 집어넣을 때 IAM으로 해서 퇴근했다면
들고올때도 IAM으로 퇴근할 수 있지 않을까?
![Page 14: 20121125 fundmental iam](https://reader030.vdocuments.site/reader030/viewer/2022020123/5597704c1a28ab3d0e8b4618/html5/thumbnails/14.jpg)
인증은? 패스워드관리!
• SSO, Oauth 이전에 말야.
패스워드 정책을 관리하면 되잖아
이 아이의 패스워드 만료일은 하루
저 소녀의 패스워드는 영구사용
배달오는 아저씨 패스워드는 무조건 생성시
변경
Application 관리계정의 경우에는 주기적으로
변경