• 아티클

이 문서는 Microsoft Identity Lifecycle Manager "2"의 시험판 버전을 기준으로 작성되었습니다. 여기에 포함된 모든 정보는 변경될 수 있습니다.

Identity Management

Identity Lifecycle Manager 2 소개

Aung Oo

 

한 눈에 보기:

  • 새로운 포털 환경
  • 셀프 서비스 도구
  • 비즈니스 프로세스 관리
  • 코드를 사용하지 않는 프로비전

목차

포털 환경
관리자
표준 사용자
그룹 관리
셀프 서비스 암호 관리
Office 통합
비즈니스 프로세스 관리
코드를 사용하지 않는 프로비전
결론

이 문서를 작성하는 현재 베타 3 단계에 있는 Microsoft Identity Lifecycle Manager "2"(ILM "2")의 새 릴리스는 Microsoft Identity Integration Server 2003(MIIS 2003)과 ILM 2007의 ID 관리 기능을 기반으로 합니다. 또한 여러 가지 새로운 기능과 향상된 기능을 제공하므로 셀프 서비스 도구 비용을 절감하고 비즈니스 프로세스 모델링의 보안 정책 준수 수준을 높이고 직관적인 개발 도구로 개발 시간을 단축할 수 있습니다.

이 문서에서는 새로운 기능과 향상된 기능 중 핵심 기능을 살펴보고 ILM "2"를 통해 조직에서 얻을 수 있는 이점을 설명합니다. 좀 더 구체적으로 말하자면 ILM "2" 포털 환경의 사용자 프로필 및 그룹 관리, 셀프 서비스 암호 관리, 비즈니스 프로세스 및 워크플로 설계, Microsoft Office와의 통합, 코드를 사용하지 않고 동기화 규칙을 개발하는 기능(코드를 사용하지 않는 프로비전) 등을 다룹니다. 마지막으로 ILM "2"의 소프트웨어, 하드웨어 및 일시적인 라이선스 요구 사항도 소개합니다.

포털 환경

웹 포털은 최종 사용자가 셀프 서비스 업무를 수행할 수 있는 UI가 포함된 최초의 사례라는 점에서 ILM "2"에 추가된 주목할 만한 기능이라고 할 수 있습니다. 웹 인터페이스는 권한 있는 사용자와 관리자가 사용자 및 그룹을 관리하고, 비즈니스 규칙을 정의하고, 프로비전 계정에 코드를 사용하지 않는 프로비전을 개발할 권한을 부여할 수 있는 진입점을 제공합니다.

ILM "2"는 Active Directory에 Windows 통합 인증을 사용하므로 조직에서 Active Directory에 정의되어 있는 기존 사용자 및 그룹을 사용하여 사용자에게 인증과 권한을 제공할 수 있습니다. 또한 관리 권한이 있는 사용자는 최종 사용자가 수행할 수 있는 작업은 물론 프로세스의 워크플로를 정의하고 동기화 규칙을 구성하는 등의 관리 업무까지 수행할 수 있습니다.

관리자

관리 권한이 있는 사용자가 포털에 로그인하면 표준 사용보다 많은 기능을 사용할 수 있습니다(그림 1 참조). 즉, 기존 레코드를 보고 업데이트하거나 연결된 디렉터리에서 신규 직원의 계정을 요청할 수 있습니다.

fig01.gif

그림 1 ILM “2” 포털

포털에서 새 사용자를 설정할 때는 이름, 표시 이름, 전자 메일 주소, 시작 날짜, 종료 날짜 등의 사용자 정보를 제출할 수 있습니다. 그리고 필요한 경우 페이지의 필드도 구성할 수 있습니다. 개체 시각화 기능을 사용하면 직원의 신발 크기 등 거의 모든 종류의 데이터를 제한 없이 요청하도록 포털의 스키마를 확장할 수도 있습니다.

동기화 엔진은 포털에서 만든 새 레코드 및 변경 내용과 그에 해당하는 연결된 디렉터리의 이전 사용자 정보를 검색합니다. 동기화 엔진을 사용하여 연결된 디렉터리에 계정을 프로비전하는 프로세스는 ILM 2007과 동일합니다. 가장 큰 차이점은 관리자가 포털을 통해 직원 정보를 입력 및 업데이트할 수 있고 입력된 정보는 동기화 엔진에 전달되므로 연결된 디렉터리에서 사용자 정보를 자유롭게 수집 및 업데이트할 수 있게 되었다는 점입니다.

인턴 사원과 같은 계약 직원 및 임시직 직원은 인사 데이터베이스에 포함되지 않아 해당 계정을 관리하기가 어려운 경우가 많습니다. 게다가 이러한 계정은 주로 다양한 응용 프로그램에서 수동으로 생성되기 때문에 계정을 삭제해야 할 때 수동으로 삭제하는 것을 잊기 쉽습니다. 결과적으로 사용자가 조직을 떠난 후에도 활성화된 상태로 남아 있음으로써 보안 허점이 발생할 수 있습니다.

이에 대한 해결책으로서 ILM "2" 포털을 사용하여 임시 직원의 프로필을 프로비전하고 추적할 수 있습니다. 그러면 HR 데이터베이스가 정직원 및 계약 직원 레코드의 믿을 만한 원본으로 유지되고 HR 데이터베이스에 프로필을 입력 및 업데이트하는 기능이 포털로서 보완됩니다.

표준 사용자

포털은 표준 사용자에게도 일정 수준의 권한을 제공합니다. 사용자는 일부 정보를 업데이트할 수 있으며 업데이트된 정보는 마찬가지로 ILM "2" 동기화 엔진을 통해 연결된 디렉터리에 적용됩니다. 관리자는 사용자가 업데이트할 수 있는 특성을 구성하고 사용자가 필드에 입력한 정보 형식의 유효성을 검사할 수 있습니다. 이러한 방식은 다양한 데이터 원본에서 데이터를 최신으로 유지하는 데 도움이 됩니다.

이는 현재 사용되고 있는 비효율적인 방법과 매우 대조적입니다. 현재 많은 조직에서는 사용자가 자신의 정보를 업데이트할 수 있도록 하기 위해 타사 전화번호부 솔루션에 의존하거나 내부적으로 자체 솔루션을 구축하고 있습니다. 심지어 사용자가 정보를 업데이트할 때마다 지원 부서에 문의하거나 서류를 제출하도록 하는 조직도 있습니다.

이 두 가지 방법은 나름의 중대한 단점이 있습니다. 타사 응용 프로그램과 사용자 지정 자체 솔루션의 경우 비용이 많이 들고 유지 관리가 어렵습니다. 또한 일반적으로 이러한 솔루션에 포함된 업데이트된 정보는 동기화 엔진을 사용하여 다른 연결된 디렉터리에서 업데이트되지 않습니다. 반면 사용자가 지원 부서에 문의하여 정보를 업데이트하는 경우 IT 지원 비용이 크게 상승하고 지원 담당자가 상대적으로 사소한 업무에 매달리게 될 수 있습니다.

그룹 관리

이제 관리자는 사용자 특성 값이나 이름을 기준으로 구성원을 분류하는 쿼리를 정의함으로써 연결된 디렉터리의 구성원을 사용하여 보안 그룹과 메일 그룹을 프로비전할 수 있습니다. 이러한 모든 작업은 간단한 웹 기반 UI를 통해 수행됩니다. 사용자를 명시적으로 추가하여 그룹을 프로비전하는 프로세스는 매우 간단하지만 더 복잡한 시나리오도 지원됩니다.

계산 멤버를 사용하여 보고 체계와 특정 특성에 따라 그룹을 만드는 방법으로 그룹을 프로비전할 수도 있습니다. 이를 위해서는 워크플로 동작을 정의해야 합니다. 예를 들어 관리자는 마케팅 부서의 모든 사용자를 하나의 그룹으로 묶는 쿼리를 정의하고 그룹 이름에 "마케팅"이라는 값을 할당할 수 있습니다(마케팅의 모든 사용자). ILM "2" 동기화 엔진은 연결된 디렉터리의 정의와 프로비전 그룹에 따라 그룹을 가져옵니다. 복잡한 쿼리도 여러 특성을 조회하는 부울 논리를 사용하여 비교적 쉽게 개발할 수 있습니다.

최종 사용자도 포털을 통해 메일 그룹을 만들고 그룹에 자신을 추가하거나 제거할 수 있습니다. 또한 승인된 메일 그룹 또는 권한 있는 사용자만 그룹에 참가할 수 있도록 워크플로 승인 논리를 통합할 수도 있습니다.

ILM의 이전 버전에서는 웹 인터페이스를 통해 그룹을 관리할 수 있지만 Microsoft ID 및 액세스 시리즈의 프로비전 및 워크플로 섹션에서 해당 구성 요소를 별도로 다운로드해야 합니다. 게다가 관리자 전용 솔루션이기 때문에 최종 사용자는 새 그룹에 참가하거나 할당된 그룹을 나갈 수 없습니다.

웹 포털에서는 관리 업무도 수행할 수 있습니다. 주요 관리 기능을 몇 가지 소개하면 다음과 같습니다.

  • 연결된 디렉터리로 프로비전되는 개체 유형의 우선 순위를 지정합니다. 그러면 전체 동기화 주기가 완료될 때까지 기다릴 필요 없이 개체 유형별로 프로비전됩니다.
  • 사용자 프로필 페이지의 스키마를 수정합니다. 조직의 요구 사항에 맞는 필드가 통합되도록 사용자 정보 수집 페이지의 스키마를 확장할 수 있습니다.
  • 사용자 계정 상태를 업데이트합니다.
  • 사이트의 모양과 작동 방식을 수정합니다. 조직의 표준이 반영되도록 포털을 사용자 지정할 수 있습니다.

셀프 서비스 암호 관리

ILM "2"에 새로 추가된 다른 주요 기능으로 셀프 서비스 암호 관리 솔루션이 있습니다. ILM 2007에서 제공되는 두 가지 암호 관리 솔루션(웹 기반 솔루션과 암호 변경 알림 서비스)의 경우 셀프 서비스 기능이 제한적입니다. 두 솔루션 모두 사용자가 암호를 다시 설정하려면 이전 암호를 입력해야 하기 때문에 암호가 기억나지 않는 경우에는 거의 무용지물입니다. 이 경우 사용자는 지원 부서에 문의할 수밖에 없습니다.

ILM "2"에서는 사용자가 Windows 로그온 UI에서 액세스되는 질의-응답 질문을 사용하여 암호를 다시 설정할 수 있도록 함으로써 이러한 문제가 해결되었습니다. 자연히 지원 부서 비용도 절감됩니다.

암호 관리 응용 프로그램을 배포한 후 사용자가 처음으로 로그온하면 일련의 질문(최초로 구입한 자동차, 출생지 등)에 대한 답을 요구하는 화면이 나타납니다. 이 암호 다시 설정 대화 상자는 그림 2에 나와 있습니다.

fig02.gif

그림 2 암호 다시 설정 화면

관리자는 사용할 질문의 종류와 개수, 그리고 게이트 수를 지정할 수 있습니다. 각 게이트에는 질문의 집합이 포함됩니다. 또한 암호를 다시 설정하거나 다음 게이트로 이동하기 위해 사용자가 반드시 답해야 하는 질문의 수를 구성할 수도 있습니다.

사용자가 올바르게 답해야 하는 여러 게이트와 질문을 Active Directory 보안 그룹으로 결합하여 보안을 적절한 수준으로 강화할 수 있습니다. 예를 들어 경영진 보안 그룹의 사용자는 3개의 게이트를 통과하고 각 게이트의 질문에 올바르게 대답해야 하도록 구성할 수 있습니다. 반면 마케팅 보안 그룹의 사용자는 한 개의 게이트만 통과하고 3개의 질문 중 2개만 대답하면 되도록 구성할 수 있습니다. 사용자에게 Windows 로그온 화면에서 암호를 다시 설정하는 옵션을 제공하는 대신 암호를 다시 설정하는 웹 UI를 제공할 수도 있습니다.

Office 통합

ILM "2" Office 통합 기능을 사용하면 그림 3과 같이 사용자가 Microsoft Office Outlook에서 그룹 등록을 관리할 수 있습니다. 따라서 친숙한 UI를 통해 메일 그룹에 참가 또는 탈퇴하거나 그룹에서 다른 사용자를 추가 및 제거하는 등의 일반 작업에 액세스할 수 있습니다(Outlook 2007 이상 필요).

fig03.gif

그림 3 Outlook 통합

사용자는 그룹 참가를 선택하여 전체 주소 목록을 탐색하고 참가할 그룹을 선택하거나 그룹 등록에서 자신을 제거한 다음 요청을 보낼 수 있습니다. 그러면 전자 메일을 통해 요청을 받은 메일 그룹 소유자가 Outlook에서 요청을 승인 또는 거부할 수 있습니다. 그룹 소유자가 요청을 승인하면 ILM 동기화 엔진이 트리거되어 프로세스를 완료합니다.

비즈니스 프로세스 관리

비즈니스 프로세스 및 워크플로 관리는 ILM "2"의 모든 핵심 시나리오의 기본이 되는 기능입니다. 편리하게도 조직의 특정한 요구 사항에 맞추어 비즈니스 프로세스 및 워크플로 논리를 사용자 지정할 수 있습니다. 예를 들어 시스템 트리거의 특정 이벤트를 일련의 자동화된 단계, 즉 프로세스로 구성할 수 있습니다(그림 4 참조).

fig04.gif

그림 4 워크플로 프로세스 구성

관리자는 이벤트에 인증, 권한 부여 및 작업이라는 세 가지 프로세스 유형 중 하나를 지정할 수 있습니다. 예를 들어 권한 부여 프로세스 유형을 선택하면 소유자가 모든 그룹 참가 또는 탈퇴 요청을 승인할 수 있습니다. 인증 워크플로를 선택한 경우에는 승인자의 이름, 승인자 수, 유효한 승인 기간(일 수)까지 정의할 수 있습니다.

또한 그룹에 대해 수행되는 모든 삭제 작업에 대해 관리자의 승인을 받고 사용자가 질의-응답 프로세스를 통해 인증을 받도록 하는 복잡한 워크플로도 정의할 수 있습니다. 관리자를 비롯한 모든 사용자는 초기 등록 기간에 등록한 질문에 대답하여 ID의 유효성을 검사하는 인증 프로세스를 통과해야 합니다.

인증 프로세스가 완료되면 그룹 삭제 요청을 승인자에게 보내 권한을 부여받게 됩니다. 권한 부여 프로세스에서는 사용자에게 작업 요청 권한이 있는지를 확인합니다. 마지막으로 승인자가 요청을 승인하고 ILM에서 삭제 작업이 실행됩니다.

기본 제공 도구를 사용하여 복잡한 워크플로를 설계하는 기능은 ILM의 가장 중요한 추가 기능이라고 할 수 있습니다. 이전에는 MIIS 리소스 도구 키트의 한 단계 프로비전 워크플로나 타사 솔루션을 사용해야 이러한 기능을 구현할 수 있었습니다. 이제 웹 서비스 API도 제공되므로 한 발 더 나아가 필요에 맞게 워크플로를 사용자 지정하고 ILM "2"에 통합할 수 있습니다.

코드를 사용하지 않는 프로비전

IT 담당자는 이전에는 코드 개발이 불가피했던 대부분의 작업을 코드를 사용하지 않는 프로비전을 통해 수행할 수 있습니다. ILM 2007에서 연결된 디렉터리의 특성 및 개체를 변환하는 규칙 확장과 프로비전 코드를 개발하려면 Microsoft Visual Studio가 필요했습니다.

개체 형식, 필터 규칙, 프로비전 조건, metaverse 및 커넥터 공간 간의 관계, 삭제 규칙, 데이터 흐름 등을 웹 UI를 통해 정의할 수 있습니다. 관리 에이전트 디자이너에서 정의되는 모든 데이터 흐름 매핑이 표시되므로 매핑을 편집하여 인바운드 흐름과 아웃바운드 흐름 모두에서 특성을 연결하고 형식을 지정할 수 있습니다. 뿐만 아니라 코드를 사용하려는 경우에는 ILM "2"에 대한 확장 및 프로비전 규칙을 개발하여 함수를 작성할 수도 있습니다.

결론

ILM "2"는 관리를 단순화하고 지원 부서 비용을 절감하는 데 도움이 되는 다양한 기능을 새롭게 제공합니다. 코드를 사용하지 않는 프로비전을 구현하기 위해 필요했던 새로운 포털 및 셀프 서비스 기능이 제공되면서 관리자와 최종 사용자가 작업을 단순화하고 생산성을 높이는 데 도움이 되는 새 기능을 이용할 수 있게 되었습니다. 또한 향상된 인증서 수명 주기 관리 기능과 추가된 관리 에이전트를 통해 제공되는 확장된 연결 기능, 확장 기능 등 향상된 기능도 많습니다.

ILM "2"는 2009년 상반기에 출시될 예정입니다. 자세한 내용은 Microsoft의 Identity Lifecycle Manager "2" 웹 사이트를 참조하시기 바랍니다.

Aung Oo는 Microsoft Consulting Services의 ID 관리 부문 전문가로, Microsoft Identity Management가 처음 릴리스된 이후 기업 및 정부 고객을 위한 엔터프라이즈 디렉터리 및 ID 관리 솔루션의 설계, 개발 및 배포 작업을 담당해 왔습니다.