IDM(계정관리) 소개자료

㈜디에스멘토링
통합계정관리 개요
현황 및 문제점

- 계정 생성 시 서비스별로 각각 별도의 사용 신청이 필요함

- 사용자 정보 변경 시 가입한 서비스 별로 반복하여 수정이 필요함
- 서비스 탈퇴 시 일괄 탈퇴가 어려움
- 사용하지 않는 서비스에 사용자 정보가 계속해서 남아있음

- 서비스 별로 사용자 가입 처리 및 확인 절차가 필요

- 장기 미사용, 탈퇴 회원 정보의 관리가 어려움
- 계정 생성 현황, 계정 변경 이력 추적 등이 어려움
- 보안 정책에 따른 계정 정보, 패스워드 정보에 정책 일괄 적용이 어려움
통합계정관리 개요
도입 효과

- 복수의 서비스 시스템과 연계한 사용자 계정 생성

- 계정관리 시스템에서 사용자 계정 직접 등록
- 장기미사용, 회원 탈퇴 등의 이유로 계정 유지 사유가 없어진 경우 계정 삭제/잠금
- 부서 변경, 직급/직위 변경, 업무 변경 등에 따른 계정 변경 사항 자동 반영
- 통합계정 관리시스템에서 관리하는 계정 외의 임의 계정 생성 방지

- 계정 생성, 변경, 삭제 등의 계정 정보 변경 이력 추적 가능
- 사용자 계정에 대한 현황 파악, 통계 자료 생성, 감사 자료 관리가 용이
- 계정 생성, 변경 시 업무 프로세스에 따른 단계별 승인/반려 처리
- 조직 개편 등 다량의 변경 정보 발생 시, 보안 정책 적용 시, 일괄 작업 가능
- 계정 관리 정책, 보안 관리 정책에 따른 셀프 서비스 제공
 통합계정관리 개요
계정 정보 현행화 #1 (통합 관리 화면)

계정관리시스템에서 제공하는 관리화면을

이용하여 계정관리시스템에 사용자 등록
사용자 등록 시 원하는 서비스를 선택하여
가입 가능
사용자 정보 변경 시 통합 관리화면에서만
수정하면 서비스 시스템에 자동 반영

판매 서비스

가입/탈퇴에 따른 계정 생성 및 삭제 수행
생성/수정/삭제된 계정 정보를 관리 정책에
따라 각 서비스 시스템에 배포
계정 배포는 업무 시스템 환경에 따라 DB
금융 서비스
직접 연계, API 연계, Agent 설치 등 다양하
게 구성 가능

정비 서비스 계정 관리 정책 설정
다양한 통계 자료 조회
계정 배포 대상 시스템 관리
사용자의 셀프 서비스를 위한 화면 제공
타 시스템에서 호출 가능한 기능 지원
 통합계정관리 개요
계정 정보 현행화 #2 (서비스별 등록)

각 서비스의 사용자 등록화면에서 사용자

등록
입력된 사용자 정보는 우선 통합계정관리
시스템에 저장하여 관리
통합계정관리시스템에서 서비스 별 사용자
정보를 관리

판매 서비스
각 서비스 시스템에서 사용자 정보를 통합
계정관리시스템에서 조회하여 가져감
서비스 시스템에서 자체 사용자 정보 DB가
필요한 경우에는 통합계정관리시스템에서
서비스 시스템으로 배포 가능
금융 서비스
서비스 시스템으로 사용자 정보 배포시에는
DB사이에 데이터 무결성 확보가 필요함

정비 서비스
계정 관리 정책 설정
다양한 통계 자료 조회
계정 배포 대상 시스템 관리
사용자의 셀프 서비스를 위한 화면 제공
 통합계정관리 개요
계정 정보 현행화 #3 (인사시스템 연계, 내부 사용자)

인사 시스템 또는 인사 정보 원천 시스템
으로 부터 사용자 계정 정보 수신
입사, 퇴사에 따라 신규 계정 생성, 회수
등의 계정 관리 처리
부서 이동, 휴직, 파견 등의 계정 정보
변경 사항을 반영

현행화 된 계정 정보를 사전 정의된 계정

관리 정책에 따라 업무 시스템에 배포
계정 배포는 업무 시스템 환경에 따라
DB 직접 연계, API 연계, Agent 설치 등
다양하게 구성 가능
계정 배포 뿐만 아니라 계정 회수도 처리

계정 관리 정책 설정
다양한 통계 자료 조회
계정 배포 대상 시스템 관리
사용자의 셀프 서비스를 위한 화면 제공
 제품 소개
Chakan IDM (통합계정관리)시스템

디에스멘토링(DSMentoring Chakan IDM)

 다양한 자원과 연계를 통한 동기화 및 프로비저닝 기능 지원
 워크플로우 기반의 사용자 계정 통합관리 기능 지원
 웹 기반의 계정관리 셀프 서비스 및 관리도구 지원
 감사 및 통계를 바탕으로 계정관리 이력 관리 지원

 Chakan IDM 시스템 특장점

 유연하고 확장성 있는 솔루션
 Java 기반으로 JVM이 구동되는 모든 시스템에 적용 가능
 다양한 응용시스템과 연계 가능한 Plugin/Agent/API/Web 인터페이스 제공
 고객사의 다양한 환경에 맞춤 적용이 가능한 유연하고 확장성 있는 솔루션
 다양한 보안솔루션과 연계 가능한 솔루션
 타사 SSO/EAM 솔루션과 연계가 가능
 Agent 및 Agent-less 모두 지원
 타사와 달리 Agent/Agent-less 연계 방식 모두 지원을 통해 배포 및 동기화 지원
 검증된 솔루션
 다양한 고객사에 구축되어 운영중인 시스템으로 성능과 안전성이 검증된 솔루션
주요 기능
계정 정보 직접 입력

서비스 이용을 위한 회원 가입 등의 경우에는 사용자 등록 화면을 통하여 사용자 정보를 등록

계정관리시스템에서 사용자 정보를 관리자 화면을 통해서 직접 입력/변경/삭제하는 기능 제공
주요 기능
계정 정보 현행화

* 현행화 모듈
Chakan IDM에 포함되는 모듈로서 다양한 형태의 이 기종간 데이터 교환에 최적화 된 데이터 동기화 솔루션

• 통합계정 관리시스템에서 외부시스템으로 접속

DB 직접 연계 • 추가 구현 없음
• JDBC 등 을 활용하여 인사 DB에 직접 접속하여 변경 정보 조회/반영
• 외부시스템 DB에서 계정 정보 연계를 위한 View 제공
View 연계 • 변경 사항을 View에 반영하면 통합계정 관리시스템에서 View 조회/반영 • View 테이블 제공 필요
• View 에 일정 간격으로 접속하여 변경 정보 확인(Polling 방식)
• 통합계정 관리시스템에서 제공하는 API를 외부시스템에서 호출
API 연계 • 외부 시스템 수정 필요
• 변경 사항이 있을 때마다 즉시 반영
• 외부시스템에서 계정 변경 사항을 사전 정의된 형태의 파일로 작성 후 저장
파일 연계 • 외부 시스템 수정 필요
• 통합계정 관리시스템에서 파일을 읽어서 변경 사항 반영
주요 기능
계정 정보 배포

* 배포 모듈
Chakan IDM에 포함되는 모듈로서 업무 시스템 별 환경에 따라 다양한 계정 배포 방식을 지원하는 솔루션

• 통합계정 관리시스템에서 업무 시스템 사용자 정보 DB에 직접 접속

DB 직접 연계 • 추가 구현 없음
• JDBC 등 을 활용하여 변경된 계정 정보를 사용자 정보 DB에 직접 반영
• 업무 시스템에서 사용자 정보 DB에 작업 가능한 API를 제공
API 연계 • 특정 Table의 특정 column만 변경할 수 있도록 권한 제한 • API 제공 필요
• 통합계정 관리시스템의 배포 모듈에서 API를 활용한 프로그램 개발 필요
• 업무 시스템에서 Web Service를 구현하고 정보 변경이 가능한 URI 제공
Web Service 연계 • Web Service 제공 필요
• 제공 받은 URI을 규격에 맞게 호출하여 변경 정보 반영(RESTful 방식)
• 업무 시스템에 통합계정 관리시스템에서 제공하는 Agent 설치
Agent 연계 • 배포 모듈과 Agent간 통신을 통하여 계정 변경 정보 전달 • 추가 구현 없음
• Agent는 전달 받은 정보를 사용자 정보 DB에 반영
주요 기능
장기 미사용 계정 잠금 서비스
최근 로그인 정보 기록

계정정보
DB
통합계정관리 계정 검증 모듈
SSO 또는 서비스 사용 중지 신청
서비스 시스템 사용자
일정 기간 동안 로그인
하지 않은 계정 잠금

- 사용자가 서비스 사용 중지 직접 신청
• 일정 기간 동안 서비스를 사용하지 않을 경우, 사용자가 직접 서비스 중지 신청
• 사용자가 정한 기간 또는 사용자 관리 정책에 따른 기간 동안 계정을 사용하지 못하도록 잠금 설정
- 사용자 최근 로그인 시점 확인
• SSO와 연계 또는 각 서비스 시스템의 인증 모듈과 연계하여 일정 기간 경과 후에도 로그인이 없는 경우 계정 잠금
• 계정 잠금 시 사용자에게 SMS, e-mail 등으로 계정 잠금을 통보하고 본인 인증을 거쳐서 재 사용 가능하도록 조치
주요 기능
계정 관리 셀프 서비스

셀프서비스
계정신청
YES
사용자 계정변경
자동
계정처리
처리
계정삭제
NO
YES
계정잠금 승인

NO

- 사용자가 계정 처리 요청을 직접 신청
• 인사시스템과 연계되어 자동으로 계정이 생성되는 경우 이외에 사용자가 직접 신청하는 절차
• 신규 계정 생성, 기존 계정 삭제, 계정 정보 변경 등의 업무 처리하며 자동 또는 관리자 승인을 거쳐서 처리
- 주의사항
• 사용자가 신청하여 생성된 계정은 시스템에서 자동으로 삭제 될 수 없음
• 따라서, 셀프서비스로 생성된 계정은 일정 기간 경과 후 잠금 또는 삭제 되도록 조치 필요
주요 기능
워크플로우에 따른 계정 관리
기본 YES 기본 YES
계정 권한
YES
NO NO
자동
인사 등록 계정생성
생성

반려 NO
1차 YES 2차 YES
승인 승인
NO NO

* 사용자 인증(Authentication) : 사용자가 시스템에 등록된 계정의 소유자 임을 증명하는 절차

* 권한 인가(Authorization) : 사용자 인증을 거쳐서 시스템에 접속한 계정에 부여된 시스템 이용 권한

- 계정 자동 생성 시 검토 사항
• 전 사원 대상 필수 (e-메일, 그룹웨어 등) 계정과 부서, 직위, 직급에 따라 기본으로 생성되어야 하는 계정 정의
• 계정에 일반 사용자 권한 외에 추가 권한(관리자, 승인자 등)이 필요한 지 여부
- 결재권자의 승인이 필요한 경우 검토 사항
• 계정 별 또는 업무 시스템 별 계정계정 생성을 위한 승인 단계 및 단계별 승인권자 정의
• 계정 생성을 위한 단계별 승인 처리 중 계정 생성이 반려되는 경우 처리 절차
주요 기능
워크플로우 관리
주요 기능
계정 정보 임의 변경 통제

통합계정 관리시스템에서 계정 생성 후
배포 시점에 특정 정보 항목의 HASH 값
계정정보 계정정보 HASH
DB 을 포함해서 배포
통합계정관리 업무 시스템 각 업무시스템 계정 정보에 HASH 값 보
사용자1 HASH
관, 임의로 생성된 계정은 HASH 값 없
계정 검증 모듈 음
사용자2 HASH
- 임의 생성 계정 확인
- 계정 잠금(삭제) 조치 사용자3 - 계정 검증 모듈에서 HASH가 없거나 일
치하지 않는 경우에는 계정 잠금(삭제)
조치

통합계정관리 업무시스템
통합계정 관리에서 확인하고자 하는
사용자1 사용자1 서비스에 부여된 계정 추출하여 전체
사용자2 HASH - 계정 전체의 HASH 비교 사용자2 HASH HASH값 생성
사용자3 - 동일하면 계정 일치 사용자3
업무 시스템에서도 계정 전체에 대한
HASH 값 생성후 비교하여 일치 여부
HASH MAP
확인
사용자1 - 계정 불일치 일 경우
사용자1
- HASH MAP 에서 계정 비교 불일치 시 각 계정 정보를 HASH
사용자2 사용자2 - 연계시스템에만 존재하는 계정 확인 MAP에서 비교하여 업무시스템에만
사용자3 사용자3
존재하는 계정 확인
주요 기능
감사 이력, 통계 정보

통합계정 배포/회수 사용자의 계정관리(계정추가, 변경, 삭제,

시스템/정책 관리 비밀번호 변경 등) 행위에 대한 모든 이력
을 감사기록으로 저장
계정정보 업무 시스템
관리자 DB 관리자의 시스템관리, 계정관리 등의 모든
행위에 대한 이력을 감사기록으로 저장
계정관리
감사기록을 통해 장애 발생 원인 파악 혹은
감사정보 행위 추적 지원
계정관리 감사 열람/추적 감사, 이력 및 로그 데이터에 대한 보존 기
사용자 감사 관리자 한 지정에 따른 보존 기한 도래 시 자동 삭
제 기능 지원

업무 시스템에 대한 관리 현황
사용자에 대한 계정관리 ( 등록, 변경,
삭제, 유휴계정, 만기, 행위, 승인처리
등) 현황
시스템에 따른 계정관리 처리 현황
유휴계정 및 만기 계정 현황
문서 형태 또는 그래픽 기반의 차트 형
태로 출력 및 저장기능 지원
Excel, CSV 형태의 파일 출력 지원
주요 기능
관리자 권한 관리
권한부여 권한위임

총괄관리자 권한회수 본부관리자 권한회수 일반관리자

계정정보 A 본부 A부서

A본부 A부서 사용자

B본부 B부서 사용자

C본부 C부서 사용자

- 총괄 관리자는 계정관리시스템에 등록되어 있는 모든 사용자 정보를 관리

- 총괄 관리자는 본부(지사 등)별로 본부(지사)관리자를 선임하여 소속 본부의 정보를 관리할 수 있는 권한을 부여
- 본부 관리자는 소속 본부의 사용자 정보를 관리하며 본부 내 하위 부서 정보 관리를 위한 일반관리자를 선임하여 부서
소속의 정보를 관리할 수 있는 권한을 부여
- 일반 관리자는 소속 부서의 정보를 관리
- 본부 관리자로 부터 권한 재위임을 받은 경우에는 본부 관리자와 동일한 권한으로 소속 본부 정보 관리
주요 기능
제품 보안

SSL/TLS를 통한 안전한 웹 인터페이스

ARIA-128 알고리즘을 통한 모듈간 통
신 구간 암호화
RSA-2048 알고리즘을 통한 안전한 키
관리
SHA-256 알고리즘을 통한 무결성 검증
국정원 검증필 암호 모듈 사용

ID/Password
OTP
PKI
2-Factor 인증

계정 정책
비밀번호 정책
유효기간 및 잠금 정책
미승인 및 로그인 실패 제한 정책
주요 기능
운영 지원

장애 대비 이중화 및 고가용성(HA) 구성
서비스 이중화 지원
데이터베이스 이중화 지원
클라우드 환경 지원

Active Directory
LDAP
Radius
SMB(Server Message Block)

HTML5 준수
IE, Chrome, Firefox 지원
 세부 기능
Chakan IDM 세부 기능

구분 기능 기능상세 비고

웹기반 셀프서비스 웹기반의 통합 계정관리 기능 제공 (계정등록/변경/삭제/조직변경/자원할당,해제 등)

조직관리 기능 지원 조직관리 기능 및 조직체계 동기화 기능 지원

임시사용자 계정 관리 지원 유효기간을 가지는 사용자에 대해 유효기간동안 계정배포 및 회수 처리

계정관리
워크플로우 기반의 계정관리 다양한 계정관리 이벤트에 따른 워크플로우 지원
기능

자동화된 계정관리 인사이동에 따른 조직변경시 계정회수 혹은 자원 추가할당 자동 처리 지원 자동/수동 지원

승인/참조 체계 지원 셀프서비스를 통한 계정관리 이벤트 발생시 관리자의 승인, 참조, 자동승인 지원

계정 자동화 재배포 지원 연계대상 자원에 대한 장애로 배포 실패시 자동 및 수동 재실행 지원

Plugin/Agent/API 지원 Agent. Agent-less(Plugin) 방식 및 API, Web 방식 모두 지원

동기화/ Oracle, MySQL, MSSQL, Tibero, Cubrid, PostgreSQL, Linux, Unix, Active Directory,
다양한 저장소 연계 지원 동기화/배포 지원
배포 기능 Radius, SMB 등 지원

동기화 자원 지원 인사시스템(HR) 혹은 기타 시스템과의 동기화를 통한 계정동기화 지원

 세부 기능
Chakan IDM 세부 기능
구분 기능 기능상세 비고

다양한 사용자 인증 방식 지원 ID/Password, PKI 기반의 인증, 기타 인증 방식 지원

관리자 권한 위임/회수 지원 관리자의 유형에 따른 권한 임의위임, 기간위임 및 수동/자동회수 지원

보안기능 비밀번호 암호화 지원 사용자의 비밀번호에 대한 암호화 지원

통신 프로토콜의 기밀성 지원 IDM Server와 Agent 간 보안 통신을 위한 암호화 채널 지원

국정원 검증필 암호 모듈 지원 국가정보원 검증필 암호 모듈 지원

다양한 웹브라우저
웹 기반 관리기능 웹 기반의 관리자 권한(슈퍼, 자원, 승인)별 계정관리 기능 제공
지원

계정관리 감사 기능 계정관리 수행에 따른 관리자/사용자 행위 및 계정관리 프로세스 감사기능 제공

기타 기능
통계 지원 감사기록을 바탕으로 사용자 계정관리에 따른 다양한 통계 지원

계정관리 처리 통보 지원 Email을 통한 계정관리 이벤트 및 승인처리시 통보기능 지원 SMS 가능

일괄서비스 지원 사용자 등록/삭제에 대한 일괄 서비스 기능 제공

주요 실적
구분 고객사 사업명 비고

1 전기공사공제조합 차세대 시스템 구축 진행 중

2 BNP파라바카디프생명보험 통합계정관리시스템 구축 AD연계

3 행정자치부 정부지식공유활용기반 고도화 3차 기관 확산

4 한국철도시설공단 김포고속철도 IT 설비 구매 설치 대량의 계정 정보

5 행정자치부 정부지식공유활용기반 고도화 2차 기관 확산

6 행정자치부 정부지식 공유활용기반 고도화 클라우드 기반 통합계정

7 LH공사 차세대 정보시스템 구축 다양한 자원 연계

8 한국교육학술정보원 전자서명인증 행정표준코드 동기화 SW 구매 계정 동기화

9 중앙입양원 시스템감사도구 도입 사업 SSO 연계

10 SEC 연구소 데이터관리체계 구축사업 계정 동기화

11 국민건강보험공단 연수원 정보시스템 구축 사업 계정 동기화

12 중앙선거관리위원회 솔루션 구매 계약 LDAP 연계

13 건강보험심사평가원 보건의료데이터 개방시스템 구축 사업 다양한 자원 연계

14 한국의약품안전관리원 마약류의약품 통합관리시스템 구축 계정 동기화

15 특허청 2014년 전산자원 도입사업(SW분리발주-원격접근통제관리도구) 대량의 데이터 전송

16 중소기업기술정보진흥원 클라우드 컴퓨팅 기반 중소기업 경영혁신플랫폼 구축 사업 계정 동기화

17 한국전기안전공사 정보시스템 서버 통합 구축 사업 계정 동기화

18 보건복지부 행정정보시스템 기능개선 사업(조직도 관리시스템) 계정 동기화

19 건강보험심사평가원 2013년 정보화사업 용역(통합계정관리) 다양한 자원 연계

20 한국조세연구원 연구사업별 연구데이터관리시스템 구축 SSO 연계 계정 관리

디에스멘토링
D S D S
디에스멘토링

텍스트 입력 텍스트 입력
디에스멘토링 – 주요사업분야
디에스멘토링 – 주요사업분야
디에스멘토링 – 주요사업분야
디에스멘토링 – 주요사업분야
디에스멘토링 – 제품 및 서비스
디에스멘토링 – 고객사 현황
감사합니다