SHIELD ID 사용자 계정 비활성화 시 DS6 인증 차단 및 로그아웃 기능
info
SHIELD ID 의 사용자 계정이 비활성화된 경우, DS6 클라이언트에서 SHIELD ID 인증 실패되며 이때 기존 SCI 서버 인증도 차단(로그인 실패처리)하는 기능 개발 요청
1.개요
- KB 위협감지 시스템을 통해 사용자의 위협을 감지하고, 위협이 감지된 사용자에 대해 KB강화인증 시스템 통해 통제(차단) 가능한 API 제공 및 DS6 통제 방안 요청
- 관련 Azure
2. 관련 모듈
| 파일명 | 경로 | 버전 | 설명 | 다운로드 경로 |
|---|---|---|---|---|
| SCPD_DS365.dll | C:\Windows\Softcamp\SDK\scsa | 6.1.0.4 | SHIELD DRM 모듈 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS6.0_VS2019(ZTCA_AIP) |
| SCPD_DS36564.dll | C:\Windows\Softcamp\SDK\scsa | 6.1.0.4 | SHIELD DRM 모듈 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS6.0_VS2019(ZTCA_AIP) |
| DS365.Agent.exe | C:\Windows\Softcamp\Security365\DS365\x64 | 6.2.0.1 | SHIELD DRM 모듈 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS6.0_VS2019(ZTCA_AIP) |
| DS365.Core.dll | C:\Windows\Softcamp\Security365\DS365\x64 | 6.2.0.4 | SHIELD DRM 모듈 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS6.0_VS2019(ZTCA_AIP) |
| DSResKor.ini | C:\Windows\Softcamp\SDS | 6.0.0.19 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS_vs2019 | |
| DSResJpn.ini | C:\Windows\Softcamp\SDS | 6.0.0.19 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS_vs2019 | |
| DSResEng.ini | C:\Windows\Softcamp\SDS | 6.0.0.19 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS_vs2019 | |
| DSResDeu.ini | C:\Windows\Softcamp\SDS | 6.0.0.19 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS_vs2019 | |
| DSResChn.ini | C:\Windows\Softcamp\SDS | 6.0.0.19 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS_vs2019 | |
| DSResRus.ini | C:\Windows\Softcamp\SDS | 6.0.0.19 | \sctfsbuild.softcamp.co.kr\AzureBuild\2025\DS_vs2019 |
- cf) DSResXXX.ini 는 사용자 비활성화 알림을 위한 메세지 박스 다국어 리소스 파일.
3. 설명
- security365 사용자 비활성화
- 비활성화 된 사용자는 다음의 두 상황에서 따라 차단 동작이 발생합니다.
- 문서보안 로그인 상태
- ztcap 정책으로 평가되는 동작에 의해 ( Ex 우클릭 Aip 로 문서변환, Aip->Drm문서변환 등) 비활성화 된 사용자로 응답 받을 경우 알림 메세지창 발현 및 문서보안 로그아웃 상태가 됨.
- 문서보안 미 로그인 상태
- DS_MIP_INIT 정책의 Runmode sso 를 사용하는 경우에 한정하여 s365 인증 받기 전에 사용자 ShieldID로 조회하여 비활성화 사용자의 경우 로그인 직후 알림 메세지창 발현 및 다시 로그아웃 상태가 됨.
- sso가 아닌 다른 Runmode 정책 값의 경우 현재 지원 불가 ( 사유에 대해서는 아래 제약사항 참고 )
- 문서보안 로그인 상태
4. 적용 방법
- 모듈 패치
5. 제약 사항
-
DS_MIP_INIT 정책의 Runmode sso가 아닌 다른 Runmode 사용 시 ( s365, appauth, aad, ds ) 아래 사유로 비활성화된 ShieldID 사용자의 로그인 차단 및 로그인 후 바로 로그아웃 기능은 동작이 불가함.
- s365, ds의 경우 통합 로그인 창을 사용하여 s365인증을 진행하는 데 사용자의 shieldID가 브라우저 및 securiy365 front 단에서 인증이 동작하므로 DS 6.0 클라이언트 입장에서 ShieldID를 얻어올 방법이 없음. ( ShieldID가 없으면 비활성화 여부 확인 불가 )
- appauth의 경우 개별 사용자의 shieldId 기반이 아닌 sheildrm svc 앱 기반으로 동작하므로 기능이 무의미함.
- aad의 경우 현재는 테넌트id로 인증 후 토큰에서 shieldID를 구해 올 수 있어 추후 모듈 개편 이후 개발 진행이 필요함.
- Aip 해제의 경우 기존에 ztcap으로 해제 여부를 판단하는 로직이 존재하지 않기 때문에 지금 구조에서는 이 기능이 적용될 수 없음. Aip 해제 시 ztcap 정책 질의 기능 추가 개발 진행이 필요함.
- 이후 바로 진행 예정
6. 알림 메세지 및 리소스
- 사용자가 비활성화 될 경우 아래의 알림 메세지와 함께 문서보안 로그아웃 처리됨.
- ERROR_BLOCKED_DISABLE_USER_ICON 의 경우 설치 경로 ( Windows\Softcamp\SDS\Image\drm_icons\04.MIP ) 의 IMG_ICON으로 시작하는 icon 리소스 선택을 위한 값
7. 문서보안 로그아웃 기능에 대한 on/off 커스텀 정책
- DS_MIP_INIT 정책의 ForceLogoutOnUserDisabled 정책 값으로 비활성화된 사용자의 문서보안 로그아웃 기능을 On/Off 가능.