Skip to main content

주요기능

SHIELD ID 기능

SHIELD ID 기능명세서

1. 사용자 인증

SHIELD ID는 다양한 인증 프로토콜과 방식을 지원하여 인증의 신뢰성을 높입니다.

1.1 지원 프로토콜

  1. OAuth2
    • OAuth2 프로토콜을 지원하여 안전하고 표준화된 방식으로 사용자 인증을 처리합니다.
    • 다양한 SaaS 애플리케이션, 클라우드 서비스, 모바일 앱과의 안전한 인증 및 권한 부여를 지원합니다.
    • 사용자는 인증 절차를 거쳐 액세스 토큰을 받아 애플리케이션에 접근할 수 있으며, 이를 통해 중앙에서 사용자 접근 권한을 관리하고 보안을 강화할 수 있습니다.
  2. SAML
    • SAML 프로토콜을 지원하여 기업 내부의 다양한 온프레미스 애플리케이션 및 클라우드 서비스에 대한 SSO 기능을 제공합니다.
    • 사용자 정보를 안전하게 전달하여, 사용자가 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있게 합니다.
    • 사용자 경험을 향상 시키고, 비밀번호 관리 부담을 줄이는 데 기여합니다.
  3. OIDC(OpenID Connect)
    • OAuth2의 권한 위임 기능 위에 사용자 인증 기능을 추가하여, 사용자가 누구인지 확인할 수 있는 ID 토큰을 발급합니다.
    • 사용자 정보의 신뢰성을 높이며, 클라이언트 애플리케이션이 사용자의 신원을 확인하고 프로필 정보를 안전하게 가져올 수 있게 합니다.

1.2 인증 방식

  1. 패스워드(Security365, LDAP/AD)
    • 사용자는 Security365, LDAP/AD와 같은 기존의 디렉토리 서비스와 통합하여 패스워드 기반 인증을 지원합니다.
    • 기존 인프라에 저장된 패스워드를 사용하여 인증할 수 있으며, 이는 조직이 기존의 보안 자산을 최대한 활용하여 사용자 인증을 일관되게 관리할 수 있게 합니다.
  2. CSP 인증
    • Microsoft : Microsoft 계정과의 연동을 통해 인증할 수 있는 기능을 제공합니다.
    • Google : Google 계정과의 연동을 통해 인증할 수 있는 기능을 제공합니다.
  3. 패스워드 없는 인증 (개발중)
    • EMAIL
    • OTP
    • FIDO2 WebAuthn
    • 간편인증

2. 권한 부여

SHIELD ID는 강력하고 유연한 권한 부여 메커니즘을 제공하여 조직 내의 보안 정책을 일관되게 적용할 수 있도록 지원합니다. 사용자에게 필요한 최소한의 권한만 부여함으로써 보안성을 극대화하고, 내부 보안 위협을 효과적으로 줄일 수 있습니다.

2.1 역할 기반 접근제어(RBAC, Role Based Access Control)

RBAC는 사용자의 역할에 따라 권한을 부여하는 시스템으로, 다양한 사용자 그룹에 맞춘 세부적인 권한 설정을 지원합니다.

  • ADMIN
    • 시스템 전반에 대한 접근 및 관리 권한을 가지며, 제한된 인원에게 부여되어 시스템의 전반적인 보안을 유지하고 효율적인 관리가 이루어지도록 합니다.
  • USER
    • 제한된 접근 권한을 가지며, 자신의 업무에 필요한 리소스와 기능만 접근할 수 있도록 하여 불필요한 권한 부여를 방지하고 내부 보안 위협을 최소화할 수 있도록 합니다.

3. SSO (Single Sign-On)

SHIELD ID는 강력한 SSO(Single Sign-On) 기능을 제공하여, 사용자가 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있도록 지원합니다.

3.1 지원 프로토콜

  1. OAuth2
    • OAuth2 프로토콜은 안전하고 효율적인 권한 부여를 제공하며, 웹 애플리케이션, 모바일 앱 등 다양한 클라이언트에서 SSO 기능을 제공합니다.
  2. SAML
    • SAML 프로토콜은 특히 엔터프라이즈 환경에서 널리 사용되며, 브라우저 기반의 웹 애플리케이션에서 강력한 SSO 기능을 제공합니다.

4. 디렉토리 서비스 통합

SHIELD ID는 다양한 디렉토리 서비스와의 통합을 통해 사용자 계정과 접근 권한을 중앙에서 일관되게 관리할 수 있도록 지원하여, 조직의 기존 인프라와 원활하게 연동하여 보안성과 운영 효율성을 극대화할 수 있도록 지원합니다.

  1. Microsoft Entra ID (Azure AD)
    • Microsoft Entra ID와의 통합을 지원하여, M365 및 Azure 서비스를 사용하는 조직으 사용자 계정과 권한을 중앙에서 관리하고, 일관된 접근 제어를 구현할 수 있습니다.
  2. Google Workspace
    • Google Workspace와의 통합을 지원하여, Google 서비스에 대한 접근관리와 SSO를 제공합니다.
  3. LDAP
    • LDAP 디렉토리 서비스와의 통합을 지원하여, 다양한 온프레미스 애플리케이션과의 호환성을 제공하며 기존 인프라를 최대한 활용할 수 있습니다.
  4. AD
    • 조직 내의 사용자 계정과 그룹을 일관되게 관리하며, 특히 온프레미스 환경과 클라우드 환경 간의 일관된 접근 제어를 가능하게 하여 보안성과 관리 효율성을 높입니다.

5. 사용자 프로비저닝

SHIELD ID는 다양한 소스에서 사용자 정보를 가져오고 동기화하는 강력한 프로비저닝 기능을 제공하여, 사용자 계정 생성 / 수정 / 삭제 등의 작업을 자동화하여 관리 효율성을 높이고 보안 정책을 일관되게 적용할 수 있도록 지원합니다.

5.1 Security365

  1. CSV 지원
    • CSV 파일을 사용하여 대량의 사용자를 프로비저닝 할 수 있는 기능을 제공
    • 조직은 대규모 사용자 데이터를 빠르고 효율적으로 시스템에 반영할 수 있으며, 초기 사용자 설정 시간을 단축할 수 있습니다.
  2. Microsoft Entra ID 사용자 가져오기 및 동기화 스케줄러 지원
    • 스케줄러 기능을 제공하여 Microsoft 환경에서의 사용자 관리가 간소화되며, 최신의 사용자 정보를 유지할 수 있습니다.
  3. Google Workspace 사용자 가져오기
    • Google Workspace와 연동하여, Google 서비스와의 통합을 강화하고 사용자 계정 관리의 일관성을 유지할 수 있습니다.
  4. LDAP/AD 사용자 가져오기
    • 조직의 기존 인프라인 LDAP/AD 기반 디렉토리에서 사용자 프로비저닝을 자동화하고, 사용자 정보를 중아에서 통합적으로 관리할 수 있습니다.

5.2 SCIM

  • SCIM 프로토콜 : 클라우드 애플리케이션 간의 사용자 계정 정보를 표준화된 방식을 교환하고 관리하기 위한 프로토콜

    로드맵 : SCIM 표준을 사용한 사용자 프로비저닝 기능을 로드맵에 포함하고 있습니다.

6. 다중 요소 인증(MFA)

분류설명상세비고
Email이메일을 사용한 MFA 인증인증코드 요청 발신을 연동된 이메일로 발신하여 수신한 해당 인증코드로 인증을 수행• 인증 코드는 6자리
• 인증 제한 시간은 5분
OTP일회용 패스워드(OTP)를 사용한 MFA 인증인증코드 요청 발신을 연동된 기기의 OTP 인증 앱으로 발신하여 수신한 해당 인증코드로 인증을 수행인증코드는 6자리
생체인증 FIDO2 WebAuthnFIDO2 WebAuthn 표준을 기반으로 한 생체인증 MFA 인증웹 애플리케이션이 사용자 디바이스의 생체인식 정보나 보안 키와 같은 물리적 인증 요소를 사용하여 신원을 확인개발 중
간편인증사용자 편의성을 높이기 위한 간편인증 MFA 인증지원되는 다양한 민간인증서를 통해 다양한 인증 옵션을 제공개발 중

7. 사용자 셀프 서비스

  1. 프로필 관리 : 사용자는 자신의 프로필 정보를 직접 관리할 수 있습니다.
  2. 비밀번호 재설정 : 사용자는 비밀번호를 셀프 서비스로 재설정할 수 있습니다.

8. SAML Federation

8.1 IdP 서버 기능

  • SAML SP 연결 템플릿 제공
    • Microsoft : Graph API를 기반으로 Microsoft와의 Domain Federation을 자동으로 설정할 수 있는 템플릿을 제공합니다.
    • Google : Google 과의 SAML SP 연결 템플릿을 제공합니다.
    • AWS : AWS와의 SAML SP 연결 템플릿을 제공합니다.

8.2 SP 서버 기능

  • Security365에 등록된 OAuth2 클라이언트에게 SAML SP Brokering 제공
    • 표준 SAML을 연결할 수있는 대다수 SAML IdP와 연계 가능 ▶ SHIELD ID는 SAML SP Brokering 기능을 통해 다양한 SAML IdP와 연계할 수 있습니다.

9. API 지원

REST API 지원

SHIELD ID는 REST API를 통해 다양한 기능을 제공하고 외부 시스템과 통합할 수 있습니다. 이는 개발자들이 SHIELD ID의 기능을 커스터마이징하고 다른 애플리케이션과 원활하게 연동할 수 있도록 도와줍니다.