SHIELDRM 사양서
SHIELDRM 사양서
SHIELDRM 기본 기능
SharePoint 사이트, Teams 게시판, Teams 채팅에 업로드한 MS Office 문서를 ZTCA 정책에 따라 변환한다. SharePoint 사이트에 애드인을 설치할수 있는 API를 제공한다
모듈 관리
서비스 | 이미지 버전 | 비고 |
---|---|---|
cloud-ssevtr-service | cloud-ss-evtr-svc:20230713.3 | ssevtr 서비스 |
SHIELDrmEventReceiverWeb | 1.0.0.4 | 이벤트 리시버 |
파일 명 | 버전 | 비고 |
---|---|---|
SHIELDrmEventReceiver.app | 1.0.0.2 | SHIELDRM SharePoint Add-in |
연관 서비스
서비스 | 이미지 버전 | 비고 |
---|---|---|
cloud-skmsfe-service | cloud-skms-frontend:20230713.1 | SHIELDRM 관리페이지 프론트 |
mip-restapi | MIP 변환 서비스 | |
cloud-containerlinker-service | cloud-containerlinker:20221021.2 | ContainerLinker |
개념도
SHIELDRM 서비스 구성도
지원 대상
저장소
- SharePoint 사이트
- OneDrive
앱
- SharePoint 사이트 문서
- Teams 게시물
- Teams 파일
- Teams 채팅
파일
- MS Office 파일
- 확장자 : xlsx, pptx, docx, xls, ppt, doc, pdf, docm, pps, ppsx, pptm, xlsb, xlsm
- 암호화 방식
- 일반 문서
- 보안 문서
- AIP 문서
기능 리스트
번호 | 구분 | 기능 | 설명 | 비고 |
---|---|---|---|---|
1 | 파일 제어 | SharePoint 사이트 문서에 업로드 되는 파일을 제어한다. | 문서 업로드 시에 ZTCA 정책에 따라일반문서, 보안문서, AIP문서로 변환이 가능하다. 문서 삭제 시에 ZTCA 정책에 따라 차단이 가능하다. | 쉐어포인트에 애드인이 설치가 되어 있어야 동작한다. |
2 | 파일 제어 | Teams 게시물에 올리는 파일을 제어한다. | 팀 채널에 연결된 쉐어포인트에 애드인이 설치가 되어 있어야 동작한다. | |
3 | 파일 제어 | Teams 파일에 올리는 파일을 제어한다. | 팀 채널에 연결된 쉐어포인트에 애드인이 설치가 되어 있어야 동작한다. | |
4 | 파일 제어 | Teams 채팅에 올리는 파일을 제어한다. | 채팅에 파일을 올리는 사용자의 원드라이브에 애드인이 설치가 되어 있어야 동작한다. | |
5 | 애드인 관리 | 특정 사이트 혹은 전체 사이트에 애드인(SHIELDRM SharePoint Add-in)을 설치/삭제한다. | SHIELDRM 관리 페이지에 서 애드인을 관리할 수 있다. | |
6 | 애드인 관리 | 신규 사이트를 감지하여 애드인(SHIELDRM SharePoint Add-in)을 설치한다. |
적용 방법
1. 애드인을 설치한다
애드인 관리 페이지에서 설치하고 싶은 SharePoint 사이트(팀 사이트) 혹은 원드라이브를 찾아서 애드인 설치를 요청한다
정상적으로 설치가 완료되면 약 5분뒤에 애드인 설치 버전 정보가 표기됩니다.
2. ZTCA 정책을 설정한다.
정책 관리 > 정책 추가를 클릭합니다.
구성원을 선택합니다.
대상 문서를 선택합니다.
저장소를 선택합니다.
파일 이벤트를 선택합니다.
집행 정책을 선택합니다.
추가 버튼을 클릭합니다.
정책이 추가되었습니다.
기능 테스트 방법
SharePoint 사이트에 문서를 업로드 한다.
브라우저에서 쉐어포인트 URL로 접속합니다.
문서로 이동하여 "열 추가"를 합니다.
민감도 설정 후 적용을 클릭합니다. <br />
파일을 업로드 합니다.
약 1분뒤에 새로 고침하면 문서가 ZTCA 정책에 따라 변환되어 있습니다.
팀 일반 채널 파일에 문서를 업로드 한다.
팀 일반 채널에 연결된 SharePoint에 애드인이 설치되어 있어야 합니다.
⚠️ 팀 일반 채널에 연결된 SharePoint 확인하는 방법
일반 채널 → 파일 → SharePoint에서 열기
"https://{tenant-name}.sharepoint.com/sites/{site-name}" 까지가 쉐어포인트 사이트 주소입니다.
팀 일반채널 > 파일로 접속합니다. <br />
열에 "민감도"가 없을 경우 "열 추가" 를 클릭하여 추가합니다.
파일을 업로드 합니다.
약 1분정도 기다린 후에 새로고침 하면 ZTCA 정책에 따라 문서가 변환됩니다.
팀 일반 채널 게시물에 문서를 업로드 한다.
팀 일반 채널 > 게시물에서 새 대화를 클릭합니다.
클립 모양 버튼을 눌러서 파일을 업로드 한다.
파일을 올리고 보냅니다.
보낸 후 문서를 다운로드 받거나 열람하여 정상 변환되 었는지 확인합니다.
브라우저로 열람 시에 AIP 문서로 변환 된 것을 확인 할 수 있습니다.
"SharePoint에서 열기" 하여 폴더로 바로 접근 할 수도 있습니다.
팀 채팅에 문서를 업로드 한다.
팀 채팅에 올리는 파일은 올리는 사용자의 원드라이브 경로에 업로드 됩니다. <br />
사용자 원드라이브에 애드인이 설치되어 있어야 합니다. <br />
팀 채팅에서 클립 버튼을 눌러서 파일을 업로드 합니다. <br />
문서를 업로드 후에 보냅니다.
다운로드하여 잘 변환되었는지 확인합니다.
원드라이브 > Microsoft Teams 채팅 파일 에서 문서가 원드라이브에 업로드 된 것을 확인 할 수 있습니다.
원드라이브에 문서를 업로드 한다.
원드라이브에 애드인이 설치되어 있어야 합니다. <br />
https://www.office.com 에 접속합니다. <br />
좌측 상단 메뉴에서 OneDrive에 접속합니다.
파일을 업로드 합니다. 내 파일 > 업로드 > 파일
약 1분정도 뒤에 다운로드 하여 문서를 확인합니다.
정책 집행 재시도 메커니즘
기준 버전: cloud-ss-evtr-svc | 1.0.8
- 동작 방식
- 정책 집행 중 지정된 예외 상황 발생 시 해당 Task는 저장되며 재시도 매니저가 사전에 정의된 방식으로 재시도한다.
- 지정된 예외가 아닌 경우에는 재시도되지 않을 수 있다.
- 실패한 집행 정책은 최초 재시도가 1분 이후에 시작되며, 이후에는 지수적으로 재시도 간격이 증가
- 최대 2시간 간격 까지 재시도 간격 증가 후 이후 부터는 2시간 간으로 재시도
- 예) 1분 -> 2분 -> 4분 -> 8분 ....
- 재시도의 최대 유지 기간은 24시간이다. 이 기간을 초과하면 재시도하지 않는다.
- 정책 집행 중 지정된 예외 상황 발생 시 해당 Task는 저장되며 재시도 매니저가 사전에 정의된 방식으로 재시도한다.
- 재시도 대기열에서 삭제 되는 경우
- 해당 문서가 삭제되었을 경우
재시도 대상이 되지 않는 경우
- 타사 테넌트의 문서
- 타사 DS 문서 (현재 버전은 모든 케이스에 대해 지원하지 않지만 추후 모든 DS 문서에 대해서 지원할 예정)
Multi Azure App 사용
기준 버전: cloud-ss-evtr-svc | 1.0.9
- MS Graph API 의 제약을 회피하기 위함
- 기존 1개의 Azure App 을 사용하는 방식에서 여러개의 Azure App 의 token 상태를 관리하고 사용하는 기능
- 빌트 인 프로파일에 Azure App 정보를 등록시 사용하는 프로퍼티 명은 AZURE_APPINFO 이며 암호화된 텍스트를 사용해야 합니다.
- 암호화 방법은 https://www.devglan.com/online-tools/jasypt-online-encryption-decryption 에서 가능합니다.
- 테넌트별 멀티 앱 관리
- 해당 회사의 빌트인 프로파일
AZURE_APPINFO
값을 먼저 확인하며, 없을 경우 master-tenant의 빌트인 프로파일 값으로 동작합니다. - App 리스트/상태는 회사단위로 관리되며, app 리스트를 가져온 시간이 20분이 지났을 경우 빌트인 프로파일에 업데이트 된 app이 있는지 확인하여 추가/삭제 합니다.
- 해당 회사의 빌트인 프로파일
MS Graph API Throttling 시 재시도
기준 버전: cloud-ss-evtr-svc | 1.0.10
- MS Graph API 제약에 의해 언제든 Throttling 이 발생 할 수 있습니다.
- Throttling 발생시 해당 집행 정책 작업은 response 결과에 따라 대기후 재시도 됩니다.
애드인 설치 재시도 매커니즘
실패 시 재시도 조건:
애드인 설치 요청 실패: 초기 설치 요청이 실패했을 때. 설치 확인 실패: 설치 후의 확인 과정에서 실패가 감지됐을 때. 두 조건 중 하나라도 충족될 경우 해당 태스크는 애드인 재시도 큐에 저장됩니다.
Task 관리 방법:
- 고유 식별자: 각 설치 사이트는 고유한 Task 로 관리됩니다.
- 형식: [테넌트ID:SiteURL:설치타입]의 형태로 키가 생성됩니다.
재시도 로직
- 그룹화: 재시도는 테넌트 단위로 진행되며, 관련된 설치 사이트 정보를 모아 한 번에 처리합니다. 백오프 간격: 재시도는 1시간 후 시작하여 1시간, 1시간 30분, 2시간, 2시간 30분, 3시간, 최종적으로 4시간까지 간격을 늘려가며 시도합니다.
- 삭제 조건: 태스크 생성 후 48시간이 지나면 해당 태스크는 큐에서 삭제됩니다.
- 성공 판단:
- 최종 설치 확인: 설치 확인 절차에서 애드인 설치가 성공적으로 완료된 것으로 확인되면, 태스크는 재시도 큐에서 삭제됩니다.
이 명세는 애드인 설치 관리 시스템의 재시도 메커니즘을 설명하며, 재시도 큐 관리, 태스크 키 생성 규칙, 백오프 간격 증가 로직, 그리고 성공 및 실패 기준을 명시하고 있습니다. 이를 통해 시스템은 재시도 필요성을 판단하고, 필요한 경우 자동으로 재시도를 수행할 수 있습니다
주의 사항
- ZTCA 정책에서 IP 정보는 사용할 수 없습니다.
- SharePoint 이벤트가 발생하면 이벤트 리시버에서 감지하여 SHIELDRM 서비스로 통신을 하므로 IP가 항상 동일합니다. 사용자 PC의 IP는 알 수가 없어서 IP 조건은 사용이 불가합니다.
- 클라우드 스토리지에 대해 ZTCA를 설정 시에는 사용 조건 > 위치(IP)를 사용 안함으로 설정하시기 바랍니다.
- 저장소 위치는 클라우드 스토리지로 선택하여야 합니다.
- 보안문서는 SharePoint 에서 직접확인 할 수 없습니다. 다운받아서 보안문서인지 여부를 알 수 있습니다.
- 현재(2023-08-04) 컨테이너 링커에서 보안문서 커스텀 헤더키를 지원하지 않습니다.
- 신규 DS Client를 사용할 경우에는 구 헤더키를 반드시 커스텀 정책(DS_CUSTOM_HEADER_KEY)에 설정한 후에 만든 보안문서만 SHIELDRM 서비스에서 ZTCA 정책에 따라 문서가 변환됩니다.
- 위키 참고 바랍니다. https://wiki.softcamp.co.kr/x/-JSVC
- 10MB AIP 문서를 두개 이상 선택 하여 압축 파일로 다운로드시 파일 별 실패 현상이 확인 되었습니다.
- Zip 파일로 압축하여 다운로드할 때 일부 파일은 성공, 일부 실패 파일은 "파일이름".error.txt로 다운로드 됩니다.
-
This file cannot be downloaded.
ExceptionType: COMException.
CorrelationId: 7862703b-28cd-44ce-8c79-6a9e9096858b
-
- SHIELDRM 애드인 설치가 안된 사이트에서도 발생 하고 있습니다.
- Zip 파일로 압축하여 다운로드할 때 일부 파일은 성공, 일부 실패 파일은 "파일이름".error.txt로 다운로드 됩니다.
- (프론트) skmsfe 애드인 설치 페이지의 계정 설정 시 등록 계정의 MFA가 활성화되어 있으면 안됩니다.
- 암호 인증 방법 사용으로 인한 제약 사항
제약 사항
1. 저장소에 문서가 열람되어 잠겨 있을 경우에는 변환이 불가합니다.
- 이벤트를 감지하여 SHIELDRM 서비스에서 체크아웃을 먼저 시도합니다. 이때 사용자가 이미 열람중이어서 Lock이 걸려있을 경우에는 체크아웃을 실패합니다.
2. ZTCA에서 IP 조건은 사용이 불가합니다.
- SharePoint 이벤트가 발생하면 이벤트 리시버에서 감지하여 SHIELDRM 서비스로 통신을 하므로 IP가 항상 동일합니다. 사용자 PC의 IP는 알 수가 없어서 IP 조건은 사용이 불가합니다.
3. AIP 변환 시에 템플릿 ID가 없는 레이블은 사용이 불가합니다.
- mip-restapi 서비스에 AIP 변환을 요청하려면 보호 템플릿 ID가 필요합니다.
4. AIP 기능 중 워터마크 기능은 지원하지 않습니다.
AIP 공식 문서
Manage sensitivity labels in Office apps | Microsoft Learn
Office 앱에서 콘텐츠 표시 및 암호화를 적용하는 경우 Office 앱은 사용하는 앱에 따라 민감도 레이블이 있는 콘텐츠 표시 및 암호화를 다르게 적용합니다.
앱 콘텐츠 표시 암호화 모든 플랫폼의 Word, Excel, PowerPoint 즉시 즉시 PC 및 Mac용 Outlook Exchange Online에서 전자 메일 또는 모임 초대를 보낸 후 즉시 웹, iOS 및 Android의 Outlook Exchange Online에서 전자 메일 또는 모임 초대를 보낸 후 Exchange Online에서 전자 >메일 또는 모임 초대를 보낸 후
Office 앱 외부의 파일에 민감도 레이블을 적용하는 솔루션은 파일에 레이블 메타데이터를 적용하는 방식으로 레이블을 >적용합니다. 이 시나리오에서는 레이블 구성의 콘텐츠 표시가 파일에 삽입되지 않고 암호화가 적용됩니다.
5. MS Graph/SharePoint API 관련 제약사항
-
SHIELDRM 의 기능은 실시간 적용을 보장하지 않습니다
- MS Graph/SharePoint API는 사용량의 제한이 존재하여 모든 요청에 실패할 가능성을 열어두고 있습니다.
- SHIELDRM은 이를 감안하여 설계 되었고 실패한 처리는 재시도 처리 됩니다.
-
SHIELDRM은 MS Graph/SharePoint API를 사용하며 응답 결과에 따라 동작하고 있어 아래 항목의 영향을 받습니다.
- MS 네트워크, 서버 상황 등에 영향을 받을 수 있습니다.
- MS에 요청한 결과를 알지 못하게 만드는 게이트웨이 타임 아웃(504) 응답이 있습니다.
- MS Graph/SharePoint API의 버그 등에 영향을 받을 수 있습니다. ex) 409
- SHIELDRM은 이를 감안하여 설계 되었고 실패한 처리는 재시도 처리 됩니다.
6. 사용자 이벤트 발생 시에만 이벤트를 처리합니다
- 쉐어포인트 앱에서 발생한 이벤트는 처리하지 않습니다. (링크)
7. 압축 파일(zip)은 지원하지 않습니다.
- 압축 파일 내의 문서 파일은 지원하지 않습니다.
8. 암호가 설정된 오피스 파일은 지원이 불가합니다.
- 암호가 설정된 오피스 파일은 Graph API, MIP SDK 모두 실패하고 있으며, 오피스 암호 + 민감도 레이블 설정된 문서에 대해 민감도 레이블 설정 여부 판단이 불가능합니다.