メインコンテンツまでスキップ

3) SKMSアプリの登録

MASTER-TENANT アプリ登録

説明
  • SKMSはクライアントにサービスを提供するためにSecurity365認証/認可サービスと有機的に動作します。
  • これを行うために、アプリに関する基本情報をSecurity365アプリサービスに登録する必要があります。(手動作業)

マスター・テナントにアプリ(サービス)を登録

  • SKMSが認証/認可サービスAPIを使用するためのアプリ登録
  • SKMSはマルチテナント(会社)をサポートする予定なので、master-tenantに登録します。(初回1回)
skms_master_appRegi
  • アプリサービス名 : SKMS
  • 認証タイプ : client_credentials
  • 認証/認可APIを使用するためにアクセス範囲(scope)の必須設定
    ClientAppInfo.ReadWrite, PolicyInfo.ReadWrite, UserInfo.ReadWrite, CompanyInfo.Read
  • Notify設定 : 全社リストの公開鍵キャッシュおよびmaster-tenantに登録したアプリサービスのbuilt-inプロファイル更新のために使用
  • Notify URL : http://cloud-skms-service.dev.svc.cluster.local/api
  • Notify target : company, profile

登録完了後に表示されるアプリサービスIDおよびSecret keyは、SKMS Deploy時にConfigMapの該当するキーの値として入力します。

  • アプリサービスのSecret keyは最初にのみ確認可能なため、別途保存が必要です(重要)。
skms_master_idSecret

[ConfigMap 入力項目]

  • CUSTOM_AUTH_SERVICE_EXTRA : mater-tenant の会社ID (tenant ID)
  • CUSTOM_APP_TENANT_ID : master-tenantに登録されたアプリサービスID(client id)の値を入力してください。
  • CUSTOM_APP_TENANT_SECRET : master-tenantに登録されたアプリサービスのSecret key値を入力してください。
  • AZURE_INFO : AZURE 共通アプリ ID|SECRET(パイプ区切り)
    例) 7e82e70d-4386-419d-9dfd-6c8d6e6068fc|LBd8Q~.aDAmOjOhZSbcgu.sakTgSPrb_zNPxrbuM

マスター・テナントのポリシープロファイル設定

  • master-tenantに登録された属性はすべての会社に自動的に生成されます。
  • BUILT-IN-PROFILE メニューで master-tenant を選択した後、プロファイル属性値の Key のみを入力します。(大文字で入力)
  • TENANT_APP_ID : 会社別 APP_ID
  • TENANT_APP_SECRET : 会社ごとの APP_SECRET
  • DS_KEY_ENCRYPTION_KEY : セキュリティ脆弱性への対応として、暗号化および復号化用のキー生成に使用されます
    • 該当のポリシーはValue入力が必要です(固定値):CwI3FmhjG01Qd28JV3IreA==
    • SKMSサービス実行時に自動的に追加されます

会社別アプリ登録

新規追加された会社にアプリ(サービス)を登録

  • 追加された会社がSKMSサービスを使用するためのアプリ登録
  • SKMSを使用する会社ごとにアプリの登録が必要です。
skms_company_appRegi
  • アプリサービス名 : SKMS
  • 認証タイプ : authorization_code, client_credentials
  • Redirect URL : https://{서버ip:port}/api/oauth/loginCallback/{회사 company_id(테넌트ID)}
  • 認証/認可APIを使用するためにアクセス範囲(scope)の必須設定
    PolicyInfo.ReadWrite
  • Notify設定 : 登録したアプリサービスのbuilt-inプロファイルを更新するために使用
  • Notify URL : http://cloud-skms-service.dev.svc.cluster.local/api
  • Notify target : profile

登録完了後に表示されるアプリサービスIDおよびSecret keyは、各会社のポリシープロファイル管理 > BUILT-IN-PROFILEタブメニューで使用します。

  • 登録後に生成されたApp Secretは最初にのみ確認可能なため、別途保存が必要です(重要)。
skms_company_idSecret
  • アプリを使用するためには、アプリサービス管理 > 会社選択 > SKMSアプリサービスの使用を有効にする必要があります。
skms_company_appUse

新規追加された会社のポリシープロファイル設定

  • BUILT-IN-PROFILE メニューで新しい会社を選択した後、プロファイル属性値の Value を入力します。
skms_company_builtIn
  • TENANT_APP_ID : 会社アプリ登録時に発行されたAPP_ID
  • TENANT_APP_SECRET : 会社アプリ登録時に発行されたAPP_SECRET
  • EDGE_KMS_URL : EDGEサーバー使用時のキーボルトURL情報入力
  • EDGE_EKMS_URL : EDGEサーバー使用時にEKMS URL情報を入力

登録された会社のビルトインプロファイルポリシーの説明

  • Key : TENANT_APP_ID
  • Information
회사 별 App Id
  • Value
70ce0461-264c-4506-809c-2f2088b5730e
  • Key : TENANT_APP_SECRET
  • Information
회사 별 App Secret
  • Value
JicqKismISYkIi0mKiQtKCosJiolKSQjJyomJi0jJCs
  • Key : KEY_MANAGER_INFO
  • Information
암호 키 관리 페이지 설정 정보
sci_server_id : SCI 서버 아이디
sci_server_name : SCI 서버명
  - SKMS 서버 시작 시 키파일 업로드 또는 SCI 서버 연동으로 KMS 에 저장된 SCI 서버 아이디 및 서버명을 조회하여 자동으로 추가함 
    (없는 경우 NoRegisteredId, NoRegisteredName)
key_type : 키매니저 키타입 (사용안함)
execute_time : 스케줄러 실행 시간(24시간 단위)
sl_uid : 키매니저 SL_UID
service_id : 	SCI 서비스 아이디
renewal_cycle : 스케줄러 실행 주기 (현재 24만 수행)
server_ip : SCI 서버 아이피
regist_ip : 등록된 서버 IP
key_count : 키볼트 데이터 저장 후 처리된 키 카운트 (총 16자리로 "|" 로 구분)
  총합계|성공합계|실패합계|중복합계|
  MAC합계|MAC성공|MAC실패|MAC중복|
  DAC합계|DAC성공|DAC실패|DAC중복|
  GRADE합계|GRADE성공|GRADE실패|GRADE중복
server_port : SCI 서버 포트
  • Value
{
  "sci_server_id": "TEST-SERVER",
  "sci_server_name": "테스트 서버",
  "key_type": "0",
  "execute_time": "5",
  "sl_uid": "SL2307120000000",
  "renewal_cycle": "24",
  "service_id": "03",
  "server_ip": "10.50.10.201",
  "regist_ip": "10.20.10.91",
  "key_count": "117|0|0|117|9|0|0|9|105|0|0|105|3|0|0|3",
  "server_port": "62000"
}
  • Key : KEY_UPDATE_TIME
  • Information
단일 서버 정보 (멀티 서버 정보는 KEY_UPDATE_TIME_MULTI 에 저장됨)
첫번째 자리 : 키볼트에 키 정보 업데이트 시간 millisecond (UTC 기준)
두번째 자리 : 키볼트에 키 정보 저장 시 소요 시간 millisecond
  • Value
1663574932538|11705
  • Key : KEY_VAULT_OPTION
  • Information
단일 서버 정보 (멀티 서버 정보는 KEY_UPDATE_TIME_MULTI 에 저장됨)
키파일/키볼트 사용 여부
E : RSA키파일, M : 키볼트
  • Value
M
  • Key : CONNECTOR_INFO
  • Information
각 회사 별 연동 서비스 정보 - 마스터 테넌트의 빌트인프로파일에 저장됨
  • Value
[
  "{\"ecLicense\":\"1CF4-70CE6-9D5D-72C5C\",\"systemDomain\":\"TEST\",
  \"systemNameEn\":\"TEST\",\"systemDetail\":\"\",\"connectorUseAvailable\":true,
  \"updateDate\":\"2022-11-17 07:31:05\",
  \"companyId\":\"ks69wQjL-emPAibk0-bOZxzcnw-pUXBi5iK\"}"
  ,.............
]
  • Key : DS_KEY_ENCRYPTION_KEY
  • Information
보안 취약점 대응으로 고객사 별 암복호화용 키 생성 시 사용됨
SCI 서버 커스텀 정책에 등록된 값과 동일하게 입력
  • Value
CwI3FmhjG01Qd28JV3IreA==
  • Key : EDGE_KMS_URL
  • Information
EDGE 서버의 키볼트 URL 정보
  • Value
https://devkms.softcamp.co.kr
  • Key : EDGE_EKMS_URL
  • Information
EDGE 서버의 EKMS URL 정보
  • Value
https://devekms.softcamp.co.kr
  • Key : KEY_MANAGER_INFO_MULTI
  • Information
SCI 멀티 서버 사용 시 서버 정보
  • Value
[
  {
    "sci_server_id": "TEST-SERVER",
    "sci_server_name": "테스트 서버",
    "key_type": "0",
    "execute_time": "5",
    "sl_uid": "SL2307120000000",
    "renewal_cycle": "24",
    "service_id": "03",
    "server_ip": "10.50.10.201",
    "regist_ip": "10.20.10.91",
    "key_count": "117|0|0|117|9|0|0|9|105|0|0|105|3|0|0|3",
    "server_port": "62000",
    "key_update_time": "1730174855050|35",
    "key_vault_option": "M"
  }
]

  • Key : POLICY_MANAGER_INFO_MULTI
  • Information
권한 정책 연동 시 서버 정보
sci_server_id : SCI 서버 아이디
execute_time : 스케줄러 실행 시간(24시간 단위)
renewal_cycle : 스케줄러 실행 주기 (현재 24만 수행)
server_ip : SCI 서버 아이피
server_port : SCI 서버 포트
policy_count : 키볼트 데이터 저장 후 처리된 정책 연동 카운트 (총 4자리로 "|" 로 구분)
  총합계|성공합계|실패합계|중복합계|
policy_update_time : 키볼트 업데이트 완료 시간(타임스탬프)|업데이트 소요 시간(밀리세컨드)
key_vault_option : SCI 연동 스케줄러 사용 여부
  • Value
[
  {
    "sci_server_id": "SKMS-TEST",
    "execute_time": "18",
    "renewal_cycle": "24",
    "server_ip": "10.10.13.122",
    "server_port": "62004",
    "policy_count": "31|31|0|0",
    "policy_update_time": "1733126944465|1626",
    "key_vault_option": "M"
  }
]
  • Key : MULTI_SERVER_OPTION
  • Information
SCI 멀티 서버 사용 여부 (기본값 : N)
  - N : SCI 서버 아이디와 관계 없이 항상 단일 서버 사용
  - Y : SCI 서버 아이디에 따라 멀티 서버로 동작
  • Value
N
  • Key : EKMS_KEYFILE_SAVE_TIME
  • Information
EKMS 서비스에서 키볼트에 데이터 저장 완료 후 해당 회사의 SKMS 빌트인 프로파일 업데이트
  - 키 업데이트 시간(Unix 타임스탬프)
  • Value
1733126944465
  • Key : AIP_ASSIGNMENT_METHOD
  • Information
AIP 설정 시 AssignmentMethod 옵션
  - Privileged: 민감도 레이블을 수동으로 적용하거나 시스템이 강제로 적용할 때 사용됩니다. 자동 정책을 무시하고 직접 레이블을 지정할 수 있습니다.
  - Auto: 문서 내용을 분석하여 정책 기반으로 민감도 레이블을 자동으로 할당합니다. (예: 개인정보 포함 시 자동 1등급 설정 등)
  - Standard: 사용자가 수동으로 선택한 민감도 레이블을 그대로 유지합니다. 자동 적용이나 강제 적용 없이 사용자 선택 중심의 방식입니다.
  • Value
Privileged
  • Key : USE_ZTCAP_POLICY
  • Information
SDF 조건부 정책 설정 메뉴 사용 여부
  - Y : 메뉴 표시됨
  - N : 메뉴 표시 안됨(기본값)
  • Value
Y
  • Key : AZURE_APP_ID
  • Information
AZURE 앱 ID
  • Value
7e82e70d-4386-419d-9dfd-6c8d6e6068fc
  • Key : AZURE_APP_SECRET
  • Information
AZURE 앱 SECRET
  • Value
LBd8Q~.aDAmOjOhZSbcgu.sakTgSPrb_zNPxrbuM