SSO에 대한에 대한 이해
Enterprise Single Sign-On을 이해하려면 현재 사용 가능한 세 가지 유형의 단일 Sign-On 서비스인 Windows 통합, 엑스트라넷 및 인트라넷을 살펴보는 것이 유용합니다. 이러한 서비스에 대해 아래에서 설명합니다. 여기서 Enterprise Single Sign-On은 세 번째 범주에 해당합니다.
Windows 통합 Single Sign-On
이 서비스를 사용하면 네트워크 내에서 일반적인 인증 메커니즘을 사용하는 여러 응용 프로그램을 연결할 수 있습니다. 이 서비스는 사용자가 네트워크에 로그인하면 자격 증명을 요청하고 확인하며 자격 증명을 사용하여 사용자 권한을 기반으로 수행할 수 있는 동작을 결정합니다. 예를 들어 Kerberos를 사용하여 통합하는 응용 프로그램인 경우, 시스템에서 사용자 자격 증명을 인증하면 Kerberos로 통합된 네트워크의 리소스에 액세스할 수 있습니다.
엑스트라넷 Single Sign-On(웹 SSO)
이 서비스를 사용하면 단일 사용자 자격 증명 집합을 사용하여 인터넷을 통해 리소스에 액세스할 수 있습니다. 사용자는 서로 다른 조직에 속한 다양한 웹 사이트에 로그온할 수 있는 자격 증명 집합을 제공합니다. 이 유형의 Single Sign-On으로는 예를 들어 소비자 기반 응용 프로그램의 Windows Live ID가 있습니다. 페더레이션 시나리오에서는 Microsoft ADFS(Active Directory Federation Service)를 통해 웹 SSO를 사용할 수 있습니다.
서버 기반 인트라넷 Single Sign-On
이 서비스를 사용하면 기업 환경에서 다른 유형의 여러 응용 프로그램 및 시스템을 통합할 수 있습니다. 이러한 응용 프로그램과 시스템에서 일반적인 인증을 사용하지 않을 수 있습니다. 각 응용 프로그램에는 자체 사용자 디렉터리 저장소가 있습니다. 예를 들어 한 조직의 Windows는 사용자를 인증하는 데 Active Directory 디렉터리 서비스를 사용하고 메인프레임은 동일한 사용자를 인증하는 데 IBM의 RACF(Resource Access Control Facility)를 사용합니다. 기업 내에서 미들웨어 응용 프로그램은 프런트 엔드 및 백 엔드 응용 프로그램을 통합합니다. Enterprise Single Sign-On을 사용하면 기업의 사용자는 자격 증명 집합을 한 개만 사용하여 프런트 엔드와 백 엔드에 모두 연결할 수 있습니다. Enterprise Single Sign-On을 사용하면 Windows에서 시작한 Single Sign-On(초기 요청이 Windows 도메인 환경에서 작성됨)과 호스트에서 시작한 Single Sign-On(초기 요청이 Windows 이외의 도메인 환경에서 작성됨)을 모두 사용하여 Windows 도메인의 리소스에 액세스할 수 있습니다.
또한 암호 동기화 는 SSO 데이터베이스의 관리를 간소화하고 사용자 디렉터리 간에 암호를 동기화 상태로 유지합니다. 이 작업은 암호 동기화 어댑터를 사용하여 수행되며, 이 어댑터는 암호 동기화 도구를 사용하여 구성하고 관리할 수 있습니다.
Enterprise Single Sign-On 시스템
Enterprise SSO(Single Sign-On)는 도메인 경계를 포함한 로컬 및 네트워크 경계에서 암호화된 사용자 자격 증명을 저장 및 전송하는 서비스를 제공합니다. SSO는 SSO 데이터베이스에 자격 증명을 저장합니다. SSO가 제공하는 일반적인 Single Sign-On 솔루션으로 인해 미들웨어 응용 프로그램과 사용자 지정 어댑터가 SSO를 활용하여 환경에서 사용자 자격 증명을 안전하게 저장하고 전송할 수 있습니다. 최종 사용자는 응용 프로그램마다 서로 다른 자격 증명을 기억하지 않아도 됩니다.
Single Sign-On 시스템은 SSO 데이터베이스, 마스터 보안 서버 및 하나 이상의 Single Sign-On 서버로 구성됩니다.
SSO 시스템에는 관리자가 정의하는 관련 응용 프로그램이 있습니다. 관련 응용 프로그램은 Enterprise Single Sign-On을 사용하여 연결하는 호스트, 백 엔드 시스템, LOB(기간 업무) 응용 프로그램과 같은 시스템이나 하위 시스템을 나타내는 논리적 엔터티입니다. 각 관련 응용 프로그램에는 여러 개의 사용자 매핑이 있습니다. 예를 들어 Active Directory의 사용자 자격 증명과 해당 RACF 자격 증명 간의 매핑이 있을 수 있습니다.
SSO 데이터베이스는 관련 응용 프로그램에 대한 정보와 모든 관련 응용 프로그램에 대한 암호화된 사용자 자격 증명을 저장하는 SQL Server 데이터베이스입니다.
마스터 보안 서버는 마스터 보안을 저장하는 Enterprise Single Sign-On 서버입니다. 시스템의 다른 모든 Single Sign-On 서버는 마스터 보안 서버에서 마스터 보안을 가져옵니다.
또한 SSO 시스템에는 하나 이상의 SSO 서버가 포함됩니다. 이러한 서버는 Windows 자격 증명과 백 엔드 자격 증명 사이에 매핑을 수행하고 SSO 데이터베이스에서 자격 증명을 검색하며, 관리자는 이러한 자격 증명을 사용하여 SSO 시스템을 관리합니다.
참고
SSO 시스템에는 마스터 보안 서버와 SSO 데이터베이스가 한 개씩만 있을 수 있습니다. SSO 데이터베이스는 마스터 보안 서버에 대한 원격이 될 수 있습니다.