신원상관

정보 시스템에서 ID 상관관계는 조직 전체의 시스템과 애플리케이션에 상주하는 상이한 사용자 계정 로그인 ID(사용자 이름)의 적절한 소유권을 조정하고 검증하는 과정이며, 고유한 식별자를 할당하여 해당 사용자 계정 로그인 ID의 소유권을 특정 개인에게 영구적으로 연결할 수 있다. (주 키 또는 공통 키라고도 함)^[1] 검증된 모든 계정 로그인 ID에 대해

ID 상관관계 프로세스는 조직의 비즈니스 정책, 액세스 제어 정책 및 다양한 애플리케이션 요구사항에 따라 사용자가 액세스해야 하는 적절한 시스템과 애플리케이션에 대한 계정 로그인 ID만 개인이 가지고 있음을 검증한다.

ID 상관관계의 맥락에서 고유 식별자는 개인 그룹과 특정 목적을 위해 사용되는 모든 식별자 사이에서 고유하다고 보장되는 식별자다. 각각 다른 세대 전략에 해당하는 세 가지 유형의 고유 식별자가 있다.

일련 번호, 증분 할당
식별될 개체의 최대(또는 예상) 수보다 훨씬 큰 숫자 공간에서 선택한 임의의 숫자. 실제로 고유하지는 않지만, 이러한 유형의 일부 식별자는 많은 실제 적용에서 개체를 식별하는 데 적합할 수 있으며, 따라서 이러한 맥락에서 "유일"이라고 칭한다.
선택적으로 할당된 이름 또는 코드, 그러나 EPCglobal Network의 EPC Information Services와 같은 중앙 레지스트리를 유지하여 고유해야 함

ID 상관관계의 목적상 고유 식별자는 일반적으로 식별될 최대 개인 수보다 훨씬 큰 숫자 공간에서 선택한 일련번호 또는 무작위 번호다. 이러한 맥락에서 고유 식별자는 일반적으로 각 특정 데이터 소스와 연결된 디렉토리의 추가 속성으로 표현된다. 그러나 각 시스템별 디렉토리에 속성을 추가하는 것은 조직의 요건에 따라 애플리케이션 요구사항이나 특정 비즈니스 요구사항에 영향을 미칠 수 있다. 이러한 상황에서 고유 식별자는 조직에 허용되는 추가가 아닐 수 있다.

ID 상관관계의 기본 요구사항

ID 상관 관계에는 다음과 같은 몇 가지 요소가 포함된다.

1. 여러 시스템 또는 애플리케이션 간에 서로 다른 계정 ID 연결

많은 조직은 상이한 애플리케이션 사용자 ID를 해당 사용자 ID와 관련된 실제 인력과 연결하도록 요구하는 감사를 준수하는 방법을 찾아야 한다.

일부 개인은 상당히 일반적인 이름 및/또는 성을 가질 수 있으므로, 특히 해당 계정 로그인 ID가 고유하게 유지될 수 있는 충분한 특정 ID 데이터와 연결되지 않은 경우 적합한 개인을 적절한 계정 로그인 ID에 연결하기가 어려울 수 있다.

예를 들어, 로그인 ID의 일반적인 구성은 sn의 첫 번째 문자 + 다음 7번째 문자로, 증분적 고유성을 가질 수 있다. 이렇게 하면 각각 사용자 존 스미스, 제임스 스미스, 잭 스미스를 위한 jsmith12, jsmith 13, jsmith14 등과 같은 로그인 ID가 생성될 것이다.

반대로, 한 개인은 공식적으로 또는 비공식적으로 이름 변경을 겪을 수 있으며, 이는 개인이 변경하기 전에 취득한 계정 로그인 ID에 대해 명명법이 현저히 다르게 나타나는 새로운 계정 로그인 ID를 야기할 수 있다.

예를 들어, 여성은 결혼을 해서 자신의 새로운 성을 전문적으로 사용하기로 결정할 수 있다. 만약 그녀의 이름이 원래 메리 존스였지만 지금은 메리 스미스라면, 그녀는 인사부에 전화해서 그녀의 연락처와 이메일 주소를 그녀의 새 성으로 업데이트해달라고 요청할 수 있다. 이 요청은 성 변경사항을 반영하기 위해 Microsoft Exchange 로그인 ID를 mary.smith로 업데이트하지만, 실제로 액세스 권한이 있는 다른 시스템에서 그녀의 정보나 로그인 자격 증명을 업데이트하지 않을 수 있다. 이 예에서, 그녀는 여전히 Active Directory의 mjones, RACF의 mj5678일 수 있다.

ID 상관관계는 적절한 시스템 계정 로그인 ID를 구별할 수 없는 개인뿐만 아니라 시스템별 관점과 현저히 다르게 보일 수 있지만 동일한 개인과 연관되어야 하는 개인에게도 연결해야 한다.

이 주제에 대한 자세한 내용은 다음을 참조하십시오. 제2의 물결: 정체성과 문맥 연결

2. ID 데이터의 의도적 및 의도하지 않은 불일치 발견

ID 데이터의 불일치는 일반적으로 애플리케이션이 추가, 제거 또는 변경되고 개인이 조직 내부와 외부에서 결합하면서 끊임없이 변화하는 액세스 권한을 얻거나 보유함에 따라 조직에서 시간이 지남에 따라 발생한다.

애플리케이션 사용자 로그인 ID가 항상 서로 다른 애플리케이션이나 시스템에 걸쳐 일관된 구문을 가지는 것은 아니며, 많은 사용자 로그인 ID가 조직 내의 특정 개인 한 명과 다시 직접 상관 관계를 맺을 만큼 충분히 구체적이지 않다.

사용자 데이터 불일치는 또한 모든 시스템에서 동일하게 업데이트되지 않을 수 있는 단순한 수동 입력 오류, 비표준 명명 또는 이름 변경으로 인해 발생할 수 있다.

ID 상관 프로세스는 초기 조사 시 관련이 없어 보이는 ID 데이터를 연결하기 위해 이러한 불일치를 고려해야 한다.

3. 분리된 계정 로그인 ID 식별

조직은 인수합병(M&A)을 통해 확장 및 통합할 수 있으며, 이로 인해 비즈니스 프로세스, 정책 및 절차의 복잡성이 증대된다.

이러한 이벤트의 결과로, 사용자는 조직의 다른 부분으로 이동하거나, 조직 내에서 새로운 위치를 획득하거나, 조직에서 완전히 모성할 수 있다. 동시에, 추가된 각각의 새로운 애플리케이션은 완전히 고유한 새로운 사용자 ID를 생산할 수 있는 잠재력을 가지고 있다.

일부 ID는 중복될 수 있으며, 다른 ID는 애플리케이션별 또는 더 광범위한 부서 정책을 위반할 수 있으며, 다른 ID는 비인간 또는 시스템 계정 ID와 관련될 수 있으며, 다른 ID는 특정 사용자 환경에 더 이상 적용되지 않을 수 있다.

조직의 여러 부분에 걸쳐 있거나 둘 이상의 애플리케이션에 집중하는 프로젝트는 사업 프로세스 변경으로 인해 사용자 ID가 제대로 정리되지 않거나 소멸된 것으로 인식되는 경우가 많아 실행이 어려워진다.

신원상관절차는 조직의 기반구조에서 그러한 급격한 변화로부터 더 이상 속하지 않는 모든 고아 또는 소멸된 계정 정체성을 식별해야 한다.

4. 적절한 계정 ID에 대한 개인 확인

Sarbanes-Oxley와 Gramm-Leach-Bliley 법 같은 규정에 따르면, 조직에서는 모든 시스템에 걸쳐 각 사용자의 무결성을 보장하고 조직의 다양한 백엔드 시스템과 애플리케이션에 대한 사용자의 모든 액세스를 설명해야 한다.

올바르게 구현되면 ID 상관 관계에서 규정 준수 문제가 노출된다. 감사인은 종종 조직에게 누가 어떤 자원에 접근할 수 있는지 설명해 달라고 요청한다. 기업 ID 관리 솔루션을 아직 완전히 구현하지 않은 기업의 경우, ID 상관 관계와 검증이 조직의 사용자 기반에 대한 실제 상태를 적절히 증명하기 위해 필요하다.

이 검증 프로세스는 일반적으로 전사적 관점에서 조직의 사용자 기반에 익숙한 조직 내의 개인뿐만 아니라 각 개별 시스템 및/또는 애플리케이션별 사용자 기반에 대해 책임감이 있고 지식이 있는 개인과의 상호작용을 요구한다.

또한 검증 프로세스의 많은 부분은 궁극적으로 해당 특정 개인과 관련된 특정 신원 데이터를 확인하기 위해 해당 개인과 직접 의사소통을 할 수 있다.

5. 모든 시스템 또는 응용 프로그램에 고유한 기본 또는 공통 키 할당 각 개인에 연결된 계정 ID

다양한 컴플라이언스 압력에 대응하여 조직은 전체 사용자 기반에 고유한 식별자를 도입하여 각 사용자가 로그인 기능을 가진 각 특정 시스템 또는 애플리케이션에 속해 있는지 검증할 수 있는 옵션을 가지고 있다.

그러한 정책을 시행하기 위해서는, 각 시스템별 사용자 기반뿐만 아니라 조직의 전체 사용자 기반에 정통한 다양한 개인이 특정 ID를 함께 연결하고 다른 ID를 서로 분리해야 하는지를 검증할 책임이 있어야 한다.

유효성 검사 프로세스가 완료되면, 고유한 식별자를 해당 개인 및 그와 연관된 시스템별 계정 로그인 ID에 할당할 수 있다.

서로 다른 계정 ID 연결 방법

위에서 언급했듯이, 많은 조직에서 사용자들은 서로 다른 로그인 ID를 사용하여 서로 다른 시스템과 애플리케이션에 로그인할 수 있다. 이것들을 ``기업 전체의 사용자 프로필"로 연결해야 할 많은 이유가 있다.

이러한 상관 관계를 수행하기 위한 여러 가지 기본 전략이 있다. 또는 "ID 매핑:"

계정 ID가 동일하다고 가정하십시오.
- 이 경우, 매핑은 사소한 것이다.
- 이것은 많은 조직에서 실제로, 오랫동안 ID를 새로운 사용자에게 할당하기 위해 엄격하고 표준화된 프로세스가 사용되어 온 경우에서 효과가 있다.
기존 시스템에서 매핑 데이터 가져오기:
- 조직이 장기간에 걸쳐 ID를 사용자에게 매핑하기 위한 강력한 프로세스를 구현한 경우, 이 데이터는 이미 사용할 수 있으며 새로운 ID 관리 시스템으로 가져올 수 있다.
속성 값에 대한 정확한 일치:
- 한 시스템에서 하나 이상의 속성과 상관 관계가 있는 하나의 ID 속성 또는 속성 조합을 찾으십시오.
- 속성이 동일한 사용자를 찾아 두 시스템의 ID를 연결하십시오.
속성 값의 대략적인 일치:
- 위와 동일하지만, 속성이나 식이 정확히 일치하도록 요구하는 대신, 일부 차이를 용인한다.
- 이것은 철자가 틀리고, 모순되게 자본화되며, 그 외 다소 다양한 이름과 유사한 ID 값을 허용한다.
- 여기서 위험은 연결되지 않아야 할 계정이 우연히 이 프로세스에 의해 일치하게 된다는 것이다.
셀프 서비스 로그인 ID 조정:
- 사용자에게 양식을 작성하도록 초대하고 사용자가 소유한 ID를 표시하십시오.
- 사용자는 거짓말을 하거나 실수를 할 수 있으므로, 예를 들어 사용자에게 비밀번호를 제공하도록 요청하고 그러한 비밀번호를 확인하도록 하여 사용자 입력을 검증하는 것이 중요하다.
- 사용자들은 시스템 이름을 인식하지 못할 수도 있다. 따라서, 대체적인 대안을 제시하거나 사용자에게 ID+암호를 요구하는 것이 중요하다. 그 ID들이 어떤 시스템을 위한 것인지 명시하도록 요구하는 것보다 더 중요하다.
컨설턴트를 고용하거나 수동으로 작업:
- 이는 여전히 데이터 출처에 대한 문제를 열어두고 있다. 즉, 문제의 모든 사용자를 인터뷰함으로써?

ID 상관 관계 수행에 대한 일반적인 장벽

1. 프라이버시 우려사항

종종 신원 데이터를 심층적으로 조사해야 하는 모든 프로세스는 사생활과 공개 문제에 대한 우려를 제기한다. ID 상관 관계 프로세스의 일부는 관련 기업 정책 및 액세스 제어에 대한 일관성과 타당성을 보장하기 위해 각 특정 데이터 소스를 권위 있는 데이터 소스와 비교할 필요가 있다고 주입한다.

전사적, 권위적, HR 관련 신원 데이터의 노출을 수반하는 그러한 비교는 조직이 신원 상관 관계 연습을 어떻게 실시하기로 결정하느냐에 따라 내부 또는 외부적으로 다양한 비공개 계약을 필요로 할 것이다.

권위 있는 데이터는 기밀성이 높고 제한적이기 때문에, 그러한 우려는 신원 상관 활동을 철저하고 충분히 수행하는 데 방해가 될 수 있다.

2. 광범위한 시간과 노력 요구 사항

대부분의 조직은 모든 데이터 소스에 걸쳐 ID 데이터 내에 존재하는 불일치와 복잡성을 이해하는 데 어려움을 겪는다. 일반적으로 두 개의 ID 데이터 목록을 수동으로 비교하거나 두 개의 서로 다른 데이터 세트 간에 일치하는 항목을 찾기 위해 간단한 스크립트까지 실행하면 프로세스가 정확하거나 충분히 완료되지 않는다. 조직이 상근 개인을 그러한 노력에 헌신할 수 있다 하더라도, 방법론 자체는 일반적으로 충분한 비율의 소멸된 신원을 노출하거나, 충분한 비율의 일치된 신원을 확인하거나, 시스템(비인용) 계정 ID를 식별하여 신원 관련 감사의 일반적인 요건을 통과하지 못한다..

참고 항목

신분 상관 관계를 달성하기 위한 수작업의 노력은 많은 시간과 사람들의 노력이 필요하며, 그 노력이 성공적으로 또는 준수하는 방식으로 완성될 것이라고 보장하지는 않는다.

이 때문에, 자동화된 ID 상관 관계 솔루션은 ID 상관 관계 연습을 더 쉽게 처리할 수 있는 방법을 제공하기 위해 최근 시장에 출시되었다.

일반적인 자동화된 ID 상관 관계 솔루션 기능에는 다음과 같은 특성이 포함된다.

여러 데이터 소스 내에서 ID 분석 및 비교
두 데이터 소스 간의 모든 데이터 요소 조합에 대한 유연한 일치 기준 정의 및 할당
모든 허용되는 데이터 소스에 직접 또는 간접적으로 쉽게 연결
즉시 사용 가능한 보고서 및/또는 데이터 일치 결과 요약
일치하거나 일치하지 않는 데이터 조합을 수동으로 재정의하는 기능
세분화된 수준에서 데이터 결과를 볼 수 있는 기능
사전 승인되거나 수동으로 검증된 일치 데이터에 고유 식별자 할당
확인된 사용자 목록을 소스 시스템 및/또는 프로비저닝 솔루션으로 다시 보낼 수 있는 내보내기 기능
데이터 연결 기술을 사용자 정의하여 데이터 일치를 세분화하는 기능
조직 내외부의 다양한 개인에 의해 데이터가 로드, 분석 및 검증될 때 ID 데이터 노출을 규제하기 위해 솔루션에 내장된 역할 기반 액세스 제어
수동 방법론보다 더 빠르고 효율적으로 최종 사용자에 대해 ID 데이터를 검증할 수 있는 능력
부분 ID 추출을^[2] 통해 개인 모바일 장치에서 ID 속성 수집
추적 메커니즘을^[3] 통한 웹 서핑 및 소셜 미디어 행동 프로파일링
해당 사용자의 생체 측정 측정은 시스템^[4] 간의 ID 상관 관계를 파악할 수 있음
ID 사일로^[5] 전체에서 ID 속성을 관리하고 액세스하는 중앙 집중식 ID 중개 시스템

3가지 ID 상관 관계 프로젝트 전달 방법

ID 상관 관계 솔루션은 세 가지 뚜렷한 전달 모델에서 구현될 수 있다. 이러한 전달 방법론은 다양한 예산과 인력 확보 요구 사항에 부합할 수 있을 만큼 유연하고, 단기 및/또는 장기 프로젝트 목표와 이니셔티브를 모두 충족시킬 수 있는 솔루션을 제공하도록 설계되었다.

소프트웨어 구매 – 조직이 소프트웨어 라이센스를 구입하여 자체 하드웨어 인프라 내에서 소프트웨어를 실행하는 전형적인 소프트웨어 구매 모델이다.

교육 이용 가능 및 권장
설치 서비스는 선택 사항임

ICAS(Indentity Collaboration as a Service) – ICAS는 클라이언트가 안전한 인프라에 연결하여 상관 관계 활동을 로드하고 실행하는 구독 기반 서비스다. 이 오퍼링은 하드웨어 및 관련 지원 인력을 소유 및 유지하지 않고 ID 상관 관계 솔루션에서 제공하는 모든 기능을 제공한다.

턴키 아이덴티티 상관 관계 – 턴키 방법론은 고객이 필요한 아이덴티티 상관 관계 활동을 수행하기 위해 솔루션 벤더와 계약을 맺고 데이터를 제공해야 한다. 완료되면 솔루션 공급업체는 상관 관계가 있는 데이터를 반환하고 불일치를 식별하며 데이터 무결성 보고서를 제공한다.

검증 활동은 여전히 전사적 관점에서 조직 사용자 기반의 상태를 이해하는 조직 내의 개인뿐만 아니라 각 시스템 특정 사용자 기반을 잘 알고 있는 조직 내의 개인으로부터도 몇 가지 직접적인 피드백을 필요로 한다. 또한 일부 검증 활동은 사용자 기반 자체 내의 개인으로부터 직접적인 피드백을 요구할 수 있다.

턴키 솔루션은 단일 일회성 활동 또는 월별, 분기별 또는 조직의 연간 유효성 검사 활동의 일부로 수행될 수 있다. 다음과 같은 추가 서비스를 이용할 수 있다.

데이터 불일치 해결을 위한 이메일 캠페인
통합 또는 병합된 목록 생성

참고 항목: 관련 항목

ID 상관관계 범주에 속하는 관련 주제 또는 관련 주제에는 다음이 포함될 수 있다.

컴플라이언스 규정/감사

신원 관리

접근 제어

디렉터리 서비스

기타 카테고리

역할 기반 액세스 제어(RBAC)
신뢰되지 않는 네트워크에 걸친 웹 응용 프로그램에 대한 사용자 액세스 권한 연합

참조

^ 해리스, 션 "CISSP 인증 올인원 시험 가이드, 4차 에드."(2007년 11월 9일), 맥그로힐 오스본 미디어.
^ Fritsch, Lothar; Momen, Nurul (2017). "Derived Partial Identities Generated from App Permissions". Gesellschaft für Informatik: 117–130. {{cite journal}}: Cite 저널은 필요로 한다. journal= (도움말)
^ [1], "웹 ID와 소셜 미디어 ID 상관 관계", 2012-05-09, 미국 특허 발행
^ Ng-Kruelle, Grace; Swatman, Paul A.; Hampe, J. Felix; Rebne, Douglas S. (2006). "Biometrics and e-Identity (e-Passport) in the European Union: End-user perspectives on the adoption of a controversial innovation". Journal of Theoretical and Applied Electronic Commerce Research. 1 (2): 12–35. ISSN 0718-1876.
^ Bruegger, Bud P.; Roßnagel, Heiko (2016). Towards a decentralized identity management ecosystem for Europe and beyond. Gesellschaft für Informatik e.V. ISBN 978-3-88579-658-9.

[1] 해리스, 션 "CISSP 인증 올인원 시험 가이드, 4차 에드."(2007년 11월 9일), 맥그로힐 오스본 미디어.

[2] Fritsch, Lothar; Momen, Nurul (2017). "Derived Partial Identities Generated from App Permissions". Gesellschaft für Informatik: 117–130. {{cite journal}}: Cite 저널은 필요로 한다. journal= (도움말)

[3] [1], "웹 ID와 소셜 미디어 ID 상관 관계", 2012-05-09, 미국 특허 발행

[4] Ng-Kruelle, Grace; Swatman, Paul A.; Hampe, J. Felix; Rebne, Douglas S. (2006). "Biometrics and e-Identity (e-Passport) in the European Union: End-user perspectives on the adoption of a controversial innovation". Journal of Theoretical and Applied Electronic Commerce Research. 1 (2): 12–35. ISSN 0718-1876.

[5] Bruegger, Bud P.; Roßnagel, Heiko (2016). Towards a decentralized identity management ecosystem for Europe and beyond. Gesellschaft für Informatik e.V. ISBN 978-3-88579-658-9.

[1]

[2]

[3]

[4]

[5]

Search