Enterprise 단일 Sign-On 개요
여러 가지 애플리케이션을 사용하는 비즈니스 프로세스에서는 다양한 보안 도메인을 처리해야 할 수 있습니다. Microsoft Windows 시스템의 애플리케이션에 액세스할 때 필요한 보안 자격 증명 집합과 IBM 메인프레임의 애플리케이션에 액세스할 때 필요한 자격 증명(예: RACF 사용자 이름 및 암호)은 서로 다를 수 있습니다. 사용자는 이렇게 다양한 자격 증명을 처리하는 작업을 어렵게 생각할 수 있으며 자동화된 프로세스에서는 이런 작업이 더욱 어려워질 수 있습니다. 이 문제를 해결하기 위해 BizTalk Server Enterprise Single Sign-On을 포함합니다.
여기서 혼동해서는 안 됩니다. Enterprise Single Sign-On은 모든 애플리케이션에 대해 단일 로그인을 사용할 수 있도록 하는 메커니즘이 아니며, Windows 사용자 ID를 비 Windows 사용자 자격 증명에 매핑하는 방법을 제공합니다. 즉, 조직의 모든 엔터프라이즈 로그인 관련 문제를 해결하지는 못하지만 여러 시스템에서 애플리케이션을 사용하는 비즈니스 프로세스의 작업을 보다 간편하게 수행할 수 있도록 합니다.
비 Windows 시스템용 제휴 애플리케이션 만들기
Enterprise Single Sign-On을 사용하려면 관리자가 비 Windows 시스템이나 애플리케이션을 나타내는 관련 애플리케이션을 정의해야 합니다. 예를 들어 관련 애플리케이션은 IBM 메인프레임에서 실행되는 CICS 애플리케이션, Unix에서 실행되는 SAP ERP 시스템 또는 기타 모든 종류의 소프트웨어가 될 수 있습니다. 각 애플리케이션에는 고유한 인증 메커니즘이 있으므로 고유한 자격 증명도 있어야 합니다.
Enterprise Single Sign-On은 사용자의 Windows 사용자 ID와 여러 관련 애플리케이션에 대한 자격 증명 간의 암호화된 매핑을 SSO 데이터베이스에 저장합니다. 이 사용자가 관련 애플리케이션에 액세스해야 하는 경우 SSO(Single Sign-On) 서버를 통해 SSO 데이터베이스에서 해당 애플리케이션의 자격 증명을 조회할 수 있습니다. 아래 다이어그램에는 이 과정의 작동 방식이 나와 있습니다.
이 예에서 특정 애플리케이션이 BizTalk Server로 보낸 메시지는 오케스트레이션에 의해 처리된 다음 IBM 메인프레임에서 실행되는 관련 애플리케이션으로 발송됩니다. Enterprise Single Sign-On은 메시지가 관련 애플리케이션으로 전달될 때 올바른 자격 증명(즉, 올바른 사용자 이름과 암호)이 메시지와 함께 발송되는지를 확인합니다.
SSO 티켓을 사용한 메시지 처리
다이어그램에 나와 있는 것처럼 수신 어댑터는 메시지를 받으면 SSO 서버 A로부터 SSO 티켓을 요청할 수 있습니다(1단계). 이 암호화된 티켓에는 요청을 한 사용자의 Windows ID와 제한 시간이 포함되어 있습니다. (Kerberos 티켓과 혼동하지 마세요. 동일한 것은 아닙니다.) 티켓이 획득되면 들어오는 메시지에 속성으로 추가됩니다. 그런 다음 메시지는 정상적인 경로를 거쳐 BizTalk Server 엔진으로 이동합니다(이 예에서는 메시지가 오케스트레이션을 통해 처리됨). 이 오케스트레이션에서 생성하는 보내는 메시지에도 앞서 얻은 SSO 티켓이 포함됩니다.
이 새 메시지는 IBM 메인프레임에서 실행되는 애플리케이션으로 보낼 것이므로, 이 사용자가 해당 애플리케이션에 액세스하려면 적절한 자격 증명이 메시지에 포함되어 있어야 합니다. 이러한 자격 증명을 얻기 위해 송신 어댑터가 SSO 서버 B에 연결하여(2단계) 방금 받은 메시지(SSO 티켓을 포함함)와 자격 증명을 검색하려는 관련 애플리케이션의 이름을 제공합니다. '상환'이라는 이 작업을 통해 SSO 서버 B는 SSO 티켓의 유효성을 검사한 다음 해당 애플리케이션에 대한 이 사용자의 자격 증명을 조회합니다(3단계). SSO 서버 B는 이러한 자격 증명을 송신 어댑터로 반환하며(4단계), 송신 어댑터는 이 자격 증명을 사용해 적절하게 인증된 메시지를 관련 애플리케이션으로 보냅니다(5단계).
SSO 관리
또한 Enterprise Single Sign-On에는 다양한 작업을 수행할 수 있는 관리 도구가 포함되어 있습니다. SSO 데이터베이스에서 수행되는 모든 작업을 감사합니다. 예를 들어 관리자가 이러한 작업을 모니터링하고 다양한 감사 수준을 설정할 수 있는 도구가 제공됩니다. 다른 도구를 사용하면 관리자가 특정 관련 애플리케이션을 사용하지 않도록 설정하고, 사용자에 대한 개별 매핑을 설정하거나 해제하고, 다른 기능을 수행할 수 있습니다. 최종 사용자가 직접 자격 증명 및 매핑을 구성할 수 있는 클라이언트 유틸리티도 있습니다. 그리고 BizTalk Server의 다른 요소와 마찬가지로 Enterprise Single Sign-On 역시 프로그래밍 가능한 API를 통해 해당 서비스를 표시합니다. 타사 BizTalk Server 어댑터 작성자들은 이 API를 사용해 Single Sign-On 서비스에 액세스하고, 관리자는 이 API를 사용해 일상적인 작업을 자동화하는 스크립트를 만들 수 있습니다.
위에서 설명한 예에서는 일반적인 Enterprise Single Sign-On 사용을 보여 주지만 다른 방식으로 SSO를 구성할 수도 있습니다. 예를 들어 소규모 BizTalk Server 설치의 경우에는 SSO 서버가 하나뿐일 수 있으므로 Enterprise Single-Sign On을 BizTalk Server 엔진과 독립적으로 사용할 수 있습니다. 또한 이 기술은 Microsoft Host Integration Server와 함께 제공됩니다.