사용자 프로비저닝 소프트웨어

이 문서에는 참고 자료, 관련 읽기 또는 외부 링크가 포함되어 있지만 인라인 인용이 부족하여 출처가 불분명합니다. 좀 더 정밀한 인용문을 도입하여 이 글의 개선에 도움을 주시기 바랍니다.(2019년 11월) (이 템플릿메시지 삭제 방법 및 삭제 시기 확인)

사용자 프로비저닝 소프트웨어는 조직이 여러 시스템 및 애플리케이션 상의 사용자에 대한 정보를 보다 빠르고, 저렴하고, 신뢰성 있고, 안전하게 관리할 수 있도록 지원하는 소프트웨어입니다.

배경: 시스템, 애플리케이션 및 사용자

사용자는 다른 시스템 및 응용 프로그램에서 사용자 개체 또는 로그인 계정으로 표시됩니다.

시스템 및 애플리케이션의 예는 다음과 같습니다.

• LDAP 디렉토리
• Microsoft Active Directory 및 Novell eDirectory.
• Linux, Unix, Solaris, AIX, HP-UX 및 Windows Server와 같은 운영 체제.
• RAC/F, CA ACF/2 및 CA TopSecret과 같은 메인프레임 보안 제품.
• SAP R/3, PeopleSoft, JD Edwards, Lawson Financials, Oracle eBusiness Suite 등의 ERP 애플리케이션.
• Microsoft Exchange 및 Lotus Notes와 같은 전자 메일 시스템.
• Oracle, Microsoft SQL Server, IBM DB2 및 MySQL과 같은 데이터베이스.
• 기타 다양한 커스텀 또는 수직시장 시스템 및 애플리케이션

사용자 객체는 일반적으로 다음과 같이 구성됩니다.

• 일의 식별자
• 사용자 오브젝트에 할당된 사용자의 설명(주로 사용자 이름).
• 전자 메일 주소, 전화 번호, 메일 주소 등, 그 사람의 연락처 정보.
• 관리자의 ID, 부서 또는 위치와 같은 개인에 대한 조직 정보입니다.
• 패스워드 및 기타 인증 팩터.

사용자는 시스템 또는 응용 프로그램에 로그인할 수 없습니다.사용자 오브젝트는 HR 어플리케이션의 레코드 또는 전화번호부 시스템의 엔트리일 수 있습니다.이러한 레코드는 사용자가 로그인할 수 없지만 사용자를 나타냅니다.

사용자 개체는 일반적으로 보안 사용 권한을 통해 시스템 또는 애플리케이션의 다른 부분에 연결됩니다.대부분의 시스템에서는 사용자를 1개 이상의 Security Group에 배치하여 각 그룹의 사용자에게 보안 권한을 부여합니다.

사용자 라이프 사이클 프로세스

조직은 비즈니스 프로세스를 구현하여 시스템 및 애플리케이션에서 사용자 개체를 생성, 관리 및 삭제합니다.

• 온보드:
  • 신입사원이 채용되거나 청부업자가 업무를 시작하거나 고객 또는 파트너가 시스템에 액세스할 수 있는 권한을 부여받을 때 수행되는 단계를 나타냅니다.
  • 이 용어는 상용 여객기에 승객을 싣는 과정을 암시한다.
• 관리:
  • 사용자는 동적으로 이름, 주소, 책임 등을 변경할 수 있습니다.
  • 물리적 환경에서 사용자가 경험한 변경 사항은 시스템 및 애플리케이션의 사용자 개체에 반영되어야 합니다.
• 지원:
  • 시스템과 애플리케이션에 문제가 발생할 수 있습니다.예를 들어 암호를 잊어버리거나 새 보안 사용 권한이 필요할 수 있습니다.
  • 사용자 지원이란 사용자의 문제를 해결하기 위해 시스템 및 애플리케이션의 사용자에 대한 데이터 변경, 사용자 비밀번호 재설정 등을 의미합니다.
• 비활성화:
  • 사용자는 한정된 수명을 가지며 일반적으로 시스템 또는 애플리케이션을 관리하는 조직과의 관계는 더욱 짧아집니다.
  • 사용자가 퇴사할 때(종료, 사임, 퇴직, 계약 종료, 고객 관계 종료 등) 시스템 및 애플리케이션에 대한 접근도 비활성화해야 합니다.

덧붙여서 라이프 사이클이라는 용어는 비활성화 된 사용자가 반드시 다시 온보딩되지 않는다는 것을 의미하지는 않습니다.하지만, 이런 일이 일어납니다.예를 들어, 종업원은 퇴사하고 나중에 재취업하거나 계약자는 계약을 종료하고 종업원으로 고용될 수 있다.

사용자 프로비저닝 시스템

사용자 프로비저닝 시스템은 조직이 시스템 및 애플리케이션 상의 사용자 개체에 대한 업데이트를 수행할 수 있도록 사용자 라이프사이클 프로세스를 간소화하는 데 도움이 됩니다.

• 더 빨리. 따라서 사용자는 변경하기를 기다릴 필요가 없습니다.
• 보다 효율적으로—사용자 라이프사이클 이벤트에 대응하여 시스템 및 애플리케이션 관리 비용을 절감합니다.
• 보안 강화—사용 기간이 지난 사용자 개체, 부적절한 보안 권한 및 쉽게 추측하거나 암호를 손상하여 시스템 손상 위험을 줄입니다.

사용자 프로비저닝 프로세스

사용자 프로비저닝 시스템은 상기 목표를 달성하기 위해 하나 이상의 프로세스를 구현할 수 있다.이러한 프로세스에는 다음이 포함됩니다.

• 자동 프로비저닝예를 들어 다음과 같습니다.
  • HR 어플리케이션을 감시하고 새로운 직원 레코드가 HR 데이터베이스에 표시되었을 때 다른 시스템 및 어플리케이션에 새로운 사용자를 자동으로 작성합니다.
• 자동 비활성화예를 들어 다음과 같습니다.
  • HR 어플리케이션을 감시하고 직원 레코드가 사라지거나 HR 데이터베이스에서 비활성으로 표시된 경우 다른 시스템 및 어플리케이션의 사용자 객체를 자동으로 비활성화합니다.
  • 계약자 등 종료 예정일이 지난 사용자의 사용자 개체를 자동으로 비활성화합니다.
• 아이덴티티 동기화예를 들어 다음과 같습니다.
  • 메일 시스템에서 사용자의 전자 메일 주소 변경이 감지되면 다른 시스템에서 동일한 사용자의 전자 메일 주소를 자동으로 업데이트합니다.
  • HR 시스템에서 사용자의 이름, 전화 번호 또는 메일 주소 변경이 감지되면 다른 시스템에서 동일한 사용자의 전자 메일 주소를 자동으로 업데이트합니다.
• 셀프 서비스 프로파일이 변경됩니다.예를 들어 다음과 같습니다.
  • 사용자가 자신의 연락처 정보를 갱신할 수 있도록 합니다.
• 셀프 서비스 액세스 요구예를 들어 다음과 같습니다.
  • 사용자가 시스템 및 응용 프로그램에 대한 액세스를 요청할 수 있습니다.
• 위임된 액세스 요청.예를 들어 다음과 같습니다.
  • 관리자가 직속 부하를 대신하여 시스템 및 응용 프로그램에 대한 액세스를 요청할 수 있습니다.
• 인가 워크플로우예를 들어 다음과 같습니다.
  • 비즈니스 관계자에게 사용자 프로파일 또는 액세스 권한에 대한 제안된 변경 내용을 검토하고 승인 또는 거부하도록 요청하십시오.
• 액세스 인증예를 들어 다음과 같습니다.
  • 관리자에게 (a) 직속 부하 명단이 여전히 조직에 고용되어 있는지, (b) 계속 보고하고 있는지를 정기적으로 확인하도록 요청한다.
  • 정기적으로 데이터 또는 응용 프로그램 소유자가 데이터 또는 응용 프로그램에 액세스할 수 있는 사용자 목록을 확인합니다.

사용자 프로비저닝 시스템 컴포넌트

사용자 프로비저닝시스템은 일반적으로 다음 컴포넌트의 일부 또는 모두를 포함해야 합니다.

• 커넥터: 통합 시스템 및 응용 프로그램에서 사용자에 대한 정보를 읽고 해당 시스템 및 응용 프로그램에 업데이트(예: 새 사용자 생성, 사용자 삭제, 사용자 정보 수정)를 전송합니다.
• 통합 시스템 및 응용 프로그램에서 사용자 개체 및 기타 데이터를 추적하는 내부 데이터베이스입니다.
• 커넥터를 사용하여 내부 데이터베이스를 채우는 자동 검출 시스템.
• 사용자가 내부 데이터베이스의 내용을 확인하거나 변경 요청을 하거나 제안된 변경 사항을 승인 또는 거부할 수 있는 사용자 인터페이스입니다.
• 주로 사용자가 변경 내용을 검토하고 승인 또는 거부하도록 초대하는 데 사용되는 워크플로우 엔진입니다.
• 정책 엔진: 현재 사용자 정보와 제안된 변경 사항을 모두 평가하여 기업 규칙 및 규정을 충족하는지 확인합니다.
• 내부 데이터베이스에서 정보를 추출하는 데 도움이 되는 보고 엔진입니다.

레퍼런스

• Casassa Mont, Marco; Baldwin, Adrian; Shiu, Simon (2009), Identity Analytics - "User Provisioning" Case Study: Using Modelling and Simulation for Policy Decision Support, p. 49
• Hommel, Wolfgang; Schiffers, Michael (2005), Supporting Virtual Organization Lifecycle Management by Dynamic Federated User Provisioning, p. 12, CiteSeerX 10.1.1.84.6068
• Becker, M; Drew, M (2005), "Overcoming the challenges in deploying user provisioning/identity access management backbone", BT Technology Journal, BT Technology Journal (published 2006), 23 (4): 71–79, doi:10.1007/s10550-006-0009-x
• Witty, Roberta J (2003), The Identity and Access Management Market Landscape (PDF), p. 11