Directory Service Overview KEY MESSAGE: Introduce the session. SLIDE BUILDS: None SLIDE SCRIPT: Hello and Welcome to this Microsoft TechNet session on Building A Business Intelligence Web Portal with Office XP and Sharepoint. My name is {insert name} SLIDE TRANSITION: Let’s talk about what we’re going to cover today. ADDITIONAL INFORMATION FOR PRESENTER: 고병갑 이사(bgko@nets.co.kr) ㈜넷츠
Directory 정의 - I 사전적 의미 : 전화 번호부, 사용자 프로필 저장소 정보기술 측면의 의미 정보기술 응용프로그램의 사용자(Identity)를 저장 다양한 색인, 캐싱, 디스크 접근 등의 기술을 통해 데이터 저장소에 빠르게 접근할 수 있도록 고안된 특별한 형식의 데이터베이스 저장된 데이터들은 계층이 있는 트리 형태로 디렉터리 서버에 저장이 되고 디렉터리 접근 프로토콜을 통해 조회, 수정, 삭제 등의 동작을 수행
Directory 정의 – II Standard X.500 ITU에서 제정한 디렉터리 표준으로 디렉터리 접근 프로토콜(DAP)을 사용하여 시스템과 사용자간의 정보를 전송 이 표준은 구현된 제품들이 너무 크고 복잡하여 보편화되어 있는 PC에서 사용하기에는 무리가 있지만, 디렉터리 시스템간의 원활한 통신이 가능하고 분산 아키텍처 설계가 용이하여 광범위한 디렉터리 서비스 구현에 적합 LDAP X.500의 복잡성을 대신하여 IETF(Internet Engineering Task Force)에서는 인터넷을 기반으로 하고 X.500의 불필요한 동작을 단순화한 LDAP 표준을 제정하였다. LDAP은 X.500과 같이 CPU의 부하를 많이 발생시키지 않으면서 필요한 디렉터리 서비스 기능을 제공한다.
Directory 정의 – III Difference LDAP은 TCP/IP 위에서 수행되고, X.500 DAP은 OSI 스택 위에서 수행. LDAP은 단순화된 바인드(bind) 동작을 제공. LDAP 클라이언트는 패스워드를 사용하지 않고 익명으로 바인드 하거나 평문(clear text)의 패스워드를 사용할 수 있음. X.500은 암호기술을 사용하는 보안 메커니즘을 사용 LDAP은 X.500의 Read와 List 동작을 제공하지 않음. LDAP은 X.500에 비해 비교적 간단한 인코딩을 사용
Directory or Database Transactional store or Not High read performance Dynamic or Static Information Standard Schema or not
Directory Service 분류 Confusion of Directory Concept 일반적인 분류 White Paper User Admin E-Mail Network Resource Directory Directory Directory Directory
Directory Service 분류 사용자 및 네트워크 자원 관리 보안 인증과 권한 부여 서비스 디렉터리 통합 관리 권한의 위임이나 프린터 같은 네트워크 자원들을 찾는 등의 작업을 쉽게 하는, 확장 가능한 계층적 구조의 정보 저장소 제공 보안 인증과 권한 부여 서비스 데이터를 보호하면서도 인터넷을 통한 비즈니스를 하는데 어려움을 최소화할 수 있는, 유연한 인증 서비스와 일관성 있는 권한 부여 서비스 제공 디렉터리 통합 디렉터리의 개수를 줄임으로써, 기업은 사용자, 컴퓨터, 응용 프로그램 및 디렉터리 활성 디바이스들에 대한 정보 공유와 일반 관리 작업들을 더 향상시킴 디렉터리 활성 기반 구조 네트워킹 하드웨어와 공유 파일 시스템 같은 요소들을 활성화함으로써 향상된 서비스 질을 제공하며, 디렉터리에 저장된 사용자, 컴퓨터, 네트워크 등의 정보에 접근하기 위해 더 많은 기능들을 제공 디렉터리 활성 응용 프로그램 더 단순화된 응용 프로그램 구성과 관리가 가능해지므로, 기능성이 향상되고 네트워크 컴퓨팅 환경 내의 다른 디렉터리 활성 컴포넌트와도 상호 상승작용이 가능함
Multipurpose Directory Service Hub & Spoke Method Metadirectory Synchronization / consistency Synchronization / consistency Directories Application Core HR Mail NOS User & Resource Management Security Services Directory Management Centralized Directory Enabled Infrastructure Directory Enabled Applications Special purpose Directory Service Multipurpose Directory Service
Directory Service의 필요성 다중 디렉터리, 다중 데이터베이스 e-business, extranet / e-commerce 서비스 사용자 및 리소스의 증가 다중 디렉터리 및 데이터베이스 플랫폼에 대한 의존성 Active Directory in Windows 2000, Novell Directory Services (NDS) in NetWare 어플리케이션에 대한 직접적인 의존성 특정 application의 경우 단지 하나의 디렉터리 만을 지원함 어플리케이션에 대한 간접적인 의존성 특정 vendor의 경우 몇몇의 디렉터리 만을 지원함 업무 처리를 위한 적합성 실시간 성능, 높은 확장성 등 특정 업무에 필요한 독특한 디렉터리 특성 기업 시스템은 특정 업무 처리에 집중되어 있기 때문에 총체적으로 사용자 증가에 따른 확장성을 보장하지 못함. [Giga Information Group]
Directory Service의 필요성 SM assessment & analysis also has some opportunity 일관되지 않은 보안 정책 수립 및 적용 디렉터리 간 사용자 정보의 불일치로 인한 업무 혼선 및 경영 가치 저하 산재된 디렉터리 및 사용자 데이터베이스 서로 다른 관리자에 의한 개별적인 디렉터리 및 사용자 정보 통제 및 관리 디렉터리 재구축 및 중복된 개발로 인한 부적절한 시점의 서비스 공급 리소스 접근에 대한 복잡한 절차 및 통제로 인한 업무 효율 저하
Directory Service의 필요성 Multipurpose Directory Service Infrastructure 사용자 생산성 및 권한 향상 사용자에게 필요한 시점에 데이터 및 어플리케이션에 대한 접근 제공 개인화 및 self-service를 통한 보다 손쉬운 정보 활용 제공 Consumer User의 구매 향상 일관된 접근 제어 정책의 수립 및 전사적 적용으로 기업보안 강화 어플리케이션 개발 향상 인증, 연동, 보안 컴포넌트의 재사용으로 어플리케이션 개발 주기를 향상 새로운 서비스 및 기존 어플리케이션의 외부 이용을 보다 빠르게 함 비즈니스 경쟁력 증대 지속적인 데이터 정합성 유지로 이한 IT 관리 효율 증대 및 help desk 비용 감소
Delegated/Self Service Directory 활용예 Source: IDC, 2003, IDENTITY MANAGEMENT LIFE CYCLE Workflow/Process/Management Single sign-On Delegated/Self Service Personalization Privacy/Security Metadirectory Attributes Policies Preference Name Phone Email Level Authorization Option In Option Out Manage Privacy Provisioning Manage Policy Employees Contractors Customers Suppliers Partners IS/IT/HR/Accounting/Sales Directory : LDAP v3, Database, M/F Applications Data Document
Directory 활용예 Source: Gartner Research
Typical Usage in Domestic SPM 기업 내 Identity LDAP DB Others ID Migration Provisioning 통합 Directory or DB Data Access API SET Web 사용자 C/S 사용자 Host 사용자 시스템 관리자 사용자 SSO 구축
가까운 미래 - Federation 회사 A 회사 B Legacy Directories Legacy Directories Source: IDC, 2003, STANDARDIZED IDENTITY FEDERATION 회사 A 회사 B Legacy Directories Legacy Directories RCAF, AD, NDS RCAF, AD, NDS LDAP XML LDAP XML Internet SOAP Privacy Preferences Authorization/Policies Authentication Attribute/Assertions WS-Security SAML Internet을 통한 기업간 Identity 연합 표준 기반의 기술 채택으로 ID 연합의 유연성 확보
Federation &Federated Security 서로 다른 조직간의 사용자 인증 공유 각각 사용자 Pool 보유, 인증만 공유 Federation 종류 PartnerB PartnerA Internet Web Service B Web Service Consumers Web Service Container Document Based Federation www. PartnerB.com www.PartnerA.com User SSO Internet Browser Based Federation
Federation의 필요성 B->E B->B B->C Support outsourcing of services to employees Example - 401K, HR, Payroll, Travel, Health Plan, & Other services Reduce costs & improves employee satisfaction & productivity Connect legacy internal systems between business units Reduce costs and simplify data access B->B Improve collaboration with suppliers, resellers, & business customers Example - Provide financing “hub” for auto dealerships or for mortgage brokers Improve speed, cost, agility, revenue opportunities B->C Bring together products & services to present broad selection Example – Comprehensive financial offerings of investment, insurance, & banking services from multiple companies Expand product offering & improve customer service Improve cost, revenue, & customer satisfaction/stickiness
Federation방안 Decide where to start Partners .vs. Internal Bus Where big business bang Where good partnership already exists Leverage the ubiquitous network/technology Internet/internet technology Use document-based (Web services) and/or browser-based federation Use standards: SAML, Liberty, WS-*, Web services, others… Don’t invent proprietary methods
Federation 기술계획 Across company boundaries/security domains How to secure? How to scale across multiple partnerships? How to create/manage/delete user identities? How to pass user information? How to confirm sufficient authentication is conducted? How to authorize users/resources for appropriate access? How to provide SSO? How to personalize the Web experience? How to audit & report on usage?
Federation Model Hub Company Company A B Internet Company A B C D User Internet Authentication Hub Company Company A B C D Internet Provides Authentication Company A B C D User Internet Authentication
가까운 미래 – IAM (Identity & Access Management) 사용자의 요구 증대 SSO, Access Control 등 Directory Service기능 확대
Directory Vendors… Source: Gartner Research, 2002, Extranet/Intranet Directory Services Magic Quadrant
Metadirectory Vendors Source: Gartner Research, 2002, The 2H02 Metadirectory Service Magic Quadrant
IAM Vendors Source: Gartner Research, 2002, Extranet Access Management 2H02 Magic Quadrant
Session Summary IT Paradigm의 변화 IT Planning에서 중요한 요소 Productivity Manageability Information Technology = Business Value IT Planning에서 중요한 요소 Robust Infrastructure 사용자계정정보의 Infra 구축 가장 효과적인 Directory Service Infra 구축 KEY MESSAGE: Review the slide and emphasize these key points. SLIDE BUILDS: None SLIDE SCRIPT: The key points to take away from this session are: Digital Dashboards provide an easy way for users to share Business Intelligence Data Lots of Web Parts target sharing BI data, and leverage Office collaboration Users can use the same Office applications to publish their data to Dashboards Office Web Components can bring Office functionality to business web sites SLIDE TRANSITION: ADDITIONAL INFORMATION FOR PRESENTER:
Q & A