웹 액세스 관리
Web access management웹 액세스 관리([1]WAM)는 웹 리소스에 대한 액세스를 제어하는 ID 관리의 한 형태로, 인증 관리, 정책 기반 인증, 감사 및 보고 서비스(선택사항), 싱글 사인온(Single Sign-On) 편의성을 제공한다.
인증 관리는 사용자(또는 응용 프로그램의) ID를 결정하는 과정이다.이 작업은 일반적으로 사용자 이름과 암호를 묻는 메시지를 표시하여 수행된다.추가 인증 방법으로는 액세스 토큰(일회성 암호를 생성하는 액세스 토큰)과 디지털 인증서도 포함될 수 있다.
사용자(또는 프로세스) ID가 확인되면 정책 기반 인증이 실행된다.웹 자원은 예를 들어 하나 이상의 정책을 첨부할 수 있다."내부 직원만 이 리소스에 액세스할 수 있도록 허용" 또는 "관리 그룹의 구성원만 이 리소스에 액세스할 수 있도록 허용"요청된 리소스를 사용하여 정책을 조회한 후 사용자의 ID에 따라 정책을 평가한다.사용자가 정책 평가를 통과하면 리소스에 대한 액세스 권한이 부여된다.사용자가 평가에 실패하면 액세스가 거부된다.
인증 또는 인가 정책 결정 후 다음과 같은 감사 목적으로 결과를 기록할 수 있다.
- 사용자의 마지막 로그인 시간 결정
- 보호된 리소스에 대한 액세스 권한을 얻기 위한 시도 식별
- 관리 작업 기록
최종 사용자에게 이익이 되는 웹 액세스 관리 제품은 이 보안을 (IT와 관리 직원에게 더 많은 이익이 되는) 하나로 묶어 사용자가 웹 리소스에 한 번만 로그인한 후 자동으로 관련 리소스에 로그인하는 프로세스인 단일 로그온을 제공할 수 있다.사용자들은 하루 동안 여러 웹사이트에 인증하려고 할 때 불편함을 느낄 수 있다.웹 액세스 관리 제품은 초기 인증을 기록할 수 있으며, 사용자에게 다른 모든 보호된 리소스에 대한 인증의 임시 토큰 역할을 하는 쿠키를 제공하므로 사용자는 한 번만 로그인해야 한다.
역사
웹 액세스 관리 제품은 1990년대 후반에 시작되었으며, 그 후 싱글 사인온으로 알려져 있다.오리지널 제품으로는 휴렛패커드 HP IceWall SSO, CA Technologies SiteMinder, 오브릭스 Access Manager, Magnaquest Technologies Limited IAM(아이덴티티티 및 액세스 관리), Novell iChain 등이 5종이었다.이러한 제품들은 기능적인 기능에서는 단순했지만, 사용자가 두 번 이상 로그인할 필요 없이 여러 도메인에 걸쳐 사용자 자격 증명을 공유하는 방법이라는 중요한 문제를 해결했다.쿠키가 도메인별로 다르기 때문에 사용자를 한 웹사이트에서 다른 웹사이트로 원활하게 이전할 수 있는 간단한 방법이 없었다는 점에서 이 문제가 불거졌다.이 새로운 용어는 웹 액세스 관리라고 알려지게 되었는데, 그 이유는 제품이 인증뿐만 아니라 사용자가 액세스할 수 있는 리소스(웹 페이지)를 제어하는 기능을 추가했기 때문이다.
아키텍처
웹 액세스 관리 아키텍처에 관해서는 플러그인(또는 웹 에이전트), 프록시 및 토큰화의 세 가지 다른 유형의 아키텍처가 있다.
플러그인은 모든 웹/애플리케이션 서버에 설치되고, 그 서버에 등록되며, 웹 페이지 요청이 있을 때마다 호출되는 프로그램이다.요청을 가로채 외부 정책 서버와 통신해 정책 결정을 내린다.플러그인(또는 에이전트) 기반 아키텍처의 이점 중 하나는 특정 웹 서버의 고유한 요구에 맞게 사용자 정의할 수 있다는 것이다.단점 중 하나는 모든 플랫폼의 모든 웹 서버(그리고 잠재적으로 모든 서버 버전에 대해)에 대해 다른 플러그인이 필요하다는 것이다.또한 기술이 발전함에 따라 에이전트 업그레이드가 분산되어 진화하는 호스트 소프트웨어와 호환되어야 한다.
프록시 기반 아키텍처는 모든 웹 요청이 프록시 서버를 통해 백엔드 웹/애플리케이션 서버로 라우팅된다는 점에서 다르다.벤더별 API(응용프로그램 프로그래밍 인터페이스) 대신 공통 표준 프로토콜인 HTTP가 사용되기 때문에 웹 서버와의 보편적인 통합을 제공할 수 있다.단점 중 하나는 일반적으로 프록시 서버를 실행하기 위해 추가 하드웨어가 필요하다는 것이다.
토큰화는 사용자가 백엔드 웹/애플리케이션 서버에 직접 액세스하는 데 사용할 수 있는 토큰을 받는다는 점에서 다르다.이 아키텍처에서 인증은 웹 액세스 관리 도구를 통해 이루어지지만 모든 데이터가 그 주위를 흐른다.이것은 프록시 기반 아키텍처에 의해 야기되는 네트워크 병목 현상을 제거한다.단점 중 하나는 백엔드 웹/애플리케이션 서버가 토큰을 받아들일 수 있어야 하며 그렇지 않으면 웹 액세스 관리 도구가 공통 표준 프로토콜을 사용하도록 설계되어야 한다는 것이다.
CA SiteMinder(현재 CA Single Sign-On)와 같은 솔루션은 표준 기반 연합을 포함하면서 에이전트 기반 옵션과 프록시 기반 옵션을 모두 제공한다. P2 Security의 maXecured는 프록시 접근방식을 채택한다.NetIQ Access Manager는 프록시 및 J2EE 에이전트 접근 방식으로 모두 구성된 하이브리드 솔루션을 제공한다.텔레그래피드 SMRTe는 토큰화 접근방식을 채택한다.
비용.
대부분의 경우, 연간 유지 보수 비용이 구매 가격을 왜소하게 한다.예를 들어 (플러그인과 프록시 기반 아키텍처 모두에서) 정책 서버를 사용할 경우 웹 액세스 관리 인프라 실행에 필요한 워크로드를 처리하기 위해 고급 하드웨어가 필요하다.
고객은 기본 웹 애플리케이션에 대한 정책 권한을 독점적으로 관리하기 위해 직원을 고용하고 교육해야 하기 때문에 중앙 집중식 관리는 추가적인 숨겨진 비용이다.최종 숨겨진 비용은 규제 준수와 관련이 있다.웹 액세스 관리는 방화벽(애플리케이션 계층 방화벽과 보다 밀접하게 정렬됨)과 개념상 유사하므로, 특히 Sarbanes-Oxley 법의 적용을 받는 공기업(Health Insurance Portability and Accountability Act, PCI 또는 CPNI에 구속되어 있는 기업은 말할 것도 없고)에 따라 주요 감사 요건을 처리할 수 있어야 한다.대형 기업들은 이러한 웹 액세스 관리 인프라가 많은 내외부 애플리케이션의 시행점이기 때문에 막대한 시간과 비용을 들여 이러한 웹 액세스 관리 인프라를 감사한다.
참조
- ^ "Gartner names Oracle for WAM". The Financial Daily. Vol. 3, no. 154. January 8, 2010.
외부 참조
- 웹 액세스 관리, Gartner IT 용어집
- Magnaquest 기술 - ID 및 액세스 관리
