IAM(ID 및 액세스 관리)이란?
이 문서에서는 ID 및 IAM(액세스 관리)의 몇 가지 기본 개념, 이것이 중요한 이유, 작동 방식에 대해 알아봅니다.
ID 및 액세스 관리는 적절한 사용자, 컴퓨터 및 소프트웨어 구성 요소가 적시에 적절한 리소스에 액세스할 수 있도록 보장합니다. 첫째, 사용자, 컴퓨터 또는 소프트웨어 구성 요소는 자신이 누구인지 또는 무엇이라고 클레임하는지 증명합니다. 그런 다음 사용자, 컴퓨터 또는 소프트웨어 구성 요소는 특정 리소스에 대한 액세스 또는 사용을 허용하거나 거부합니다.
기본 용어 및 개념에 대해 알아보려면 ID 기본 사항을 참조하세요.
IAM은 무엇을 하나요?
IAM 시스템은 일반적으로 다음과 같은 코어 기능을 제공합니다.
ID 관리 - ID 정보를 만들기, 저장 및 관리하는 프로세스입니다. IdP(ID 공급자)는 사용자 ID는 물론 해당 ID와 관련된 권한 및 액세스 수준을 추적하고 관리하는 데 사용되는 소프트웨어 솔루션입니다.
ID 통합 - 이미 다른 곳(예: 기업 네트워크, 인터넷 또는 소셜 ID 공급자)에서 암호를 가지고 있는 사용자가 시스템에 액세스하도록 허용할 수 있습니다.
사용자 프로비전 및 프로비전 해제 - 어떤 사용자가 어떤 리소스에 액세스할 수 있는지 할당하고 권한 및 액세스 수준을 할당하는 것을 포함하는 사용자 계정을 만들기 및 관리하는 프로세스입니다.
사용자 인증 - 사용자, 컴퓨터 또는 소프트웨어 구성 요소가 누구인지 또는 무엇인지 확인하여 인증합니다. 추가 보안을 위해 개별 사용자에 대해 MFA(다단계 인증)를 추가하거나 SSO(Single Sign-On)를 추가하면 사용자가 다양한 리소스 대신 하나의 포털로 자신의 ID를 인증할 수 있습니다.
사용자 권한 부여 - 권한 부여를 통해 사용자는 자신이 사용할 수 있는 도구에 대한 정확한 수준과 형식의 액세스 권한을 부여받게 됩니다. 또한 사용자를 그룹이나 역할로 나누어 대규모 사용자 코호트에 동일한 권한을 부여할 수도 있습니다.
액세스 제어 - 누가 또는 무엇이 어떤 리소스에 액세스할 수 있는지 결정하는 프로세스입니다. 여기에는 사용자 역할 및 권한 정의는 물론 인증 및 권한 부여 메커니즘 설정도 포함됩니다. 액세스 제어는 시스템 및 데이터에 대한 액세스를 규제합니다.
보고서 및 모니터링 - 규정 준수를 보장하고 보안 위험을 평가하기 위해 플랫폼에서 수행된 작업(예: 로그인 시간, 액세스한 시스템, 인증 형식) 후에 보고서를 생성합니다. 환경의 보안 및 사용 패턴에 대한 인사이트를 얻으세요.
IAM 작동 방식
이 섹션에서는 인증 및 권한 부여 프로세스와 보다 일반적인 표준을 간략하게 설명합니다.
리소스 인증, 권한 부여, 액세스
사용자를 로그인한 다음 보호된 리소스에 액세스하는 애플리케이션이 있다고 가정해 보겠습니다.
사용자(리소스 소유자)는 클라이언트 애플리케이션에서 ID 공급자/권한 부여 서버를 사용하여 인증 요청을 시작합니다.
자격 증명이 유효한 경우 ID 공급자/권한 부여 서버는 먼저 사용자에 대한 정보가 포함된 ID 토큰을 클라이언트 애플리케이션으로 다시 보냅니다.
또한 ID 공급자/권한 부여 서버는 최종 사용자 동의를 가져오고 클라이언트 애플리케이션에 보호된 리소스에 액세스할 수 있는 권한을 부여합니다. 권한 부여는 클라이언트 애플리케이션으로 다시 전송되는 액세스 토큰으로 제공됩니다.
액세스 토큰은 클라이언트 애플리케이션에서 보호되는 리소스 서버에 대한 후속 요청에 첨부됩니다.
ID 공급자/권한 부여 서버는 액세스 토큰의 유효성을 검사합니다. 성공하면 보호된 리소스에 대한 요청이 승인되고 응답이 클라이언트 애플리케이션으로 다시 전송됩니다.
자세한 내용은 인증 및 권한 부여을 참조하세요.
인증 및 권한 부여 표준
다음은 가장 잘 알려지고 일반적으로 사용되는 인증 및 권한 부여 표준입니다.
OAuth 2.0
OAuth는 웹 사이트, 모바일 앱, 사물 인터넷 및 기타 디바이스에 대한 보안 액세스를 제공하는 개방형 표준 ID 관리 프로토콜입니다. 전송 중에 암호화된 토큰을 사용하므로 자격 증명을 공유할 필요가 없습니다. OAuth의 최신 릴리스인 OAuth 2.0은 Facebook, LinkedIn, Google, PayPal, Netflix에 이르기까지 주요 소셜 미디어 플랫폼과 소비자 서비스에서 사용되는 널리 사용되는 프레임워크입니다. 자세히 알아보려면 OAuth 2.0 프로토콜을 참조하세요.
OpenID Connect(OIDC)
공용 키 암호화를 사용하는 OpenID Connect가 릴리스되면서 OpenID는 OAuth에 널리 채택된 인증 계층이 되었습니다. SAML과 마찬가지로 OIDC(OpenID Connect)는 SSO(Single Sign-On)에 널리 사용되지만 OIDC는 XML 대신 REST/JSON을 사용합니다. OIDC는 REST/JSON 프로토콜을 사용하여 네이티브 앱과 모바일 앱 모두에서 작동하도록 설계되었습니다. 그러나 SAML의 주요 사용 사례는 웹 기반 앱입니다. 자세히 알아보려면 OpenID Connect 프로토콜을 참조하세요.
JWT(JSON Web Token)
JWT는 당사자 간에 정보를 JSON 개체로 안전하게 전송하기 위한 간결하고 독립적인 방법을 정의하는 개방형 표준입니다. JWT는 디지털 서명되어 있으므로 확인하고 신뢰할 수 있습니다. 이는 ID 공급자와 인증을 요청하는 서비스 간에 인증된 사용자의 ID를 전달하는 데 사용될 수 있습니다. 또한 인증 및 암호화도 가능합니다. 자세히 알아보려면 JSON Web Token을 참조하세요.
SAML(Security Assertion Markup Language)
SAML은 IAM 솔루션과 다른 애플리케이션 간에 인증 및 권한 부여 정보를 교환하는 데 사용되는 개방형 표준입니다. 이 방법은 XML을 사용하여 데이터를 전송하며 일반적으로 ID 및 액세스 관리 플랫폼에서 사용자에게 IAM 솔루션과 통합된 애플리케이션에 로그인할 수 있는 기능을 부여하는 데 사용되는 방법입니다. 자세히 알아보려면 SAML 프로토콜을 참조하세요.
SCIM(교차 도메인 ID 관리 시스템)
사용자 ID 관리 프로세스를 간소화하기 위해 만들어진 SCIM 프로비전을 통해 조직은 클라우드에서 효율적으로 운영하고 사용자를 쉽게 추가하거나 제거하여 예산을 절감하고 위험을 줄이고 워크플로를 간소화할 수 있습니다. SCIM은 또한 클라우드 기반 애플리케이션 간의 통신을 촉진합니다. 자세히 알아보려면 SCIM 엔드포인트 프로비전 개발 및 계획을 참조하세요.
WS-Fed(Web Services Federation)
WS-Fed는 Microsoft에서 개발하여 해당 애플리케이션에서 광범위하게 사용되었습니다. 이 표준은 보안 토큰을 여러 엔터티 간에 전송하여 ID 및 권한 부여 정보를 교환할 수 있는 방법을 정의합니다. 자세히 알아보려면 Web Services Federation 프로토콜을 참조하세요.
다음 단계
자세한 내용은 다음을 참조하세요.