Enterprise Single Sign-On 기본 사항
Enterprise SSO(단일 Sign-On)를 이해하려면 현재 사용 가능한 세 가지 유형의 단일 Sign-On 서비스인 Windows 통합, 엑스트라넷 및 인트라넷을 살펴보는 것이 유용합니다. 다음 섹션에서는 Enterprise Single Sign-On 세 번째 범주로 분류됩니다.
Windows 통합 Single Sign-On
이 서비스를 사용하면 네트워크 내에서 일반적인 인증 메커니즘을 사용하는 여러 응용 프로그램을 연결할 수 있습니다. 이 서비스는 사용자가 네트워크에 로그인하면 자격 증명을 요청하고 확인하며 자격 증명을 사용하여 사용자 권한을 기반으로 수행할 수 있는 동작을 결정합니다. 예를 들어 애플리케이션이 Kerberos를 사용하여 통합되는 경우 시스템에서 사용자 자격 증명을 인증한 후 Kerberos와 통합된 네트워크의 모든 리소스에 액세스할 수 있습니다.
엑스트라넷 Single Sign-On(웹 SSO)
이 서비스를 사용하면 단일 사용자 자격 증명 집합을 사용하여 인터넷을 통해 리소스에 액세스할 수 있습니다. 사용자는 서로 다른 조직에 속한 다양한 웹 사이트에 로그온할 수 있는 자격 증명 집합을 제공합니다. 이러한 유형의 단일 Sign-On 예로 소비자 기반 애플리케이션의 Windows Live ID가 있습니다. 페더레이션 시나리오의 경우 Active Directory Federation Services 웹 SSO를 사용하도록 설정합니다.
서버 기반 인트라넷 Single Sign-On
이러한 서비스를 사용하면 엔터프라이즈 환경에서 여러 다른 유형의 애플리케이션 및 시스템을 통합할 수 있습니다. 이러한 애플리케이션 및 시스템은 일반적인 인증을 사용하지 않을 수 있습니다. 각 응용 프로그램에는 자체 사용자 디렉터리 저장소가 있습니다. 예를 들어 한 조직의 Windows는 사용자를 인증하는 데 Active Directory 디렉터리 서비스를 사용하고 메인프레임은 동일한 사용자를 인증하는 데 IBM의 RACF(Resource Access Control Facility)를 사용합니다. 기업 내에서 미들웨어 응용 프로그램은 프런트 엔드 및 백 엔드 응용 프로그램을 통합합니다. Enterprise Single Sign-On을 사용하면 기업의 사용자는 자격 증명 집합을 한 개만 사용하여 프런트 엔드와 백 엔드에 모두 연결할 수 있습니다. Enterprise Single Sign-On을 사용하면 Windows에서 시작한 Single Sign-On(초기 요청이 Windows 도메인 환경에서 작성됨)과 호스트에서 시작한 Single Sign-On(초기 요청이 Windows 이외의 도메인 환경에서 작성됨)을 모두 사용하여 Windows 도메인의 리소스에 액세스할 수 있습니다.
또한 암호 동기화는 SSO 데이터베이스 관리를 단순화하고 사용자 디렉터리에서 암호를 동기 상태로 유지합니다. 암호 동기화 도구를 사용하여 구성하고 관리할 수 있는 암호 동기화 어댑터를 사용하여 이 작업을 수행할 수 있습니다.
Enterprise Single Sign-On 시스템
Enterprise 단일 Sign-On 도메인 경계를 포함하여 로컬 및 네트워크 경계 간에 암호화된 사용자 자격 증명을 저장하고 전송하는 서비스를 제공합니다. SSO는 자격 증명 데이터베이스에 자격 증명을 저장합니다. SSO는 일반 Single Sign-On 솔루션을 제공하기 때문에 미들웨어 애플리케이션 및 사용자 지정 어댑터는 SSO를 활용하여 환경 전체에서 사용자 자격 증명을 안전하게 저장하고 전송할 수 있습니다. 최종 사용자는 응용 프로그램마다 서로 다른 자격 증명을 기억하지 않아도 됩니다.
SSO 시스템 구성 요소
단일 Sign-On 시스템은 자격 증명 데이터베이스, master 비밀 서버 및 하나 이상의 단일 Sign-On 서버로 구성됩니다.
SSO 시스템에는 관리자가 정의하는 관련 응용 프로그램이 있습니다. 관련 애플리케이션은 Enterprise Single Sign-On을 사용하여 연결하는 호스트, 백 엔드 시스템 또는 LOB(기간 업무) 애플리케이션과 같은 시스템 또는 하위 시스템을 나타내는 논리적 엔터티입니다. 각 관련 응용 프로그램에는 여러 개의 사용자 매핑이 있습니다. 예를 들어 Active Directory의 사용자 자격 증명과 해당 RACF 자격 증명 간의 매핑이 있을 수 있습니다.
자격 증명 데이터베이스는 모든 관련 애플리케이션에 암호화된 모든 사용자 자격 증명뿐만 아니라 관련 애플리케이션에 대한 정보를 저장하는 SQL Server 데이터베이스입니다.
마스터 보안 서버는 마스터 보안을 저장하는 Enterprise Single Sign-On 서버입니다. 시스템의 다른 모든 단일 Sign-On 서버는 master 비밀 서버에서 master 비밀을 가져옵니다.
SSO 시스템에는 하나 이상의 SSO 서버도 포함되어 있습니다. 이러한 서버는 Windows와 백 엔드 자격 증명 간의 매핑을 수행하고 자격 증명 데이터베이스에서 자격 증명을 조회합니다. 관리자는 이러한 서버를 사용하여 SSO 시스템을 유지 관리합니다.
참고
SSO 시스템에는 하나의 master 비밀 서버와 하나의 자격 증명 데이터베이스만 있을 수 있습니다. 자격 증명 데이터베이스는 master 비밀 서버에 원격일 수 있습니다.
참고
Enterprise Single Sign-On 작업 그룹 환경에서 제한된 기능을 가지며 구성 저장소 시나리오만 지원합니다. 도메인 환경은 단일 Sign-On 시나리오 및 암호 동기화 시나리오에 필요합니다.