프로비저닝이란?
1. 프로비저닝 개요
-
사용자 또는 그룹의 계정 정보를 시스템에 자동으로 생성, 관리, 업데이트하는 과정을 말합니다.
-
사용자의 계정을 연결된 시스템과 연동하고, 새로운 사용자가 등록되면 각 연동된 시스템에 계정을 자동으로 생성합니다.
-
단순히 사용자 계정 뿐 아니라, 시스템 접속에 필요한 (액세스) 권한까지도 계정 생성과 동시에 자동으로 배포합니다.
- Inbound 프로비저닝 : 외부 소스에서 사용자 정보 및 권한을 받아 시스템에 반영하는 과정
- Outbound 프로비저닝 : 시스템에서 다른 외부 소스로 사용자 정보를 보내는 과정
2. 프로비저닝
2.1 Inbound 프로비저닝
외부 소스(인사 시스템, HR 시스템 등)에서 사용자/그룹 정보를 받아와 SHIELD ID에 이를 반영하는 과정
2.1.1 프로세스 개요
- HR 시스템 등 외부에서 제공된 사용자/그룹 정보(예:신규 입사자)를 시스템에 자동으로 반영
- 필요한 경우 사용자 속성(예:부서 변경, 직책 변경 등)을 주기적으 로 업데이트
- 특정 조건(퇴사, 그룹 해제 등)에 따라 사용자나 그룹의 비활성화 또는 삭제
2.1.2 주기
스케줄을 설정하여 해당 시간마다 내부 시스템에 반영하는 것이 일반적입니다.
2.2 Outbound 프로비저닝
SHIELD ID에서 유지 관리되는 사용자/그룹 정보를 외부 애플리케이션이나 시스템(SaaS)에 전달하는 과정
2.2.1 프로세스 개요
- 내부 시스템에서 사용자/그룹에 대한 변경 사항(예: 신규 사용자 생성, 권한 변경 등)을 외부 시스템(예: 클라우드 서비스, 외부 애플리케이션)에 전달
- 외부 시스템과의 동기화를 통해 권한 및 사용자 정보 일관성 유지
2.2.2 주기
내부 시스템의 변경 사항을 추적하여 실시간으로 외부 시스템에 전달하는 것이 일반적입니다.
2.3 정책
프로비저닝 과정 중 사용자 및 그룹의 생성, 수정, 삭제 등에 대한 세부 정책은 매우 중요한 요소이며, 조직의 보안 요구 사항 및 관리 절차에 맞게 설정되어야 합니다. 아래와 같은 요소들이 고려될 수 있습니다.
2.3.1 사용자 및 그룹 생성 정책
- 신규 사용자/그룹 생성 시 권한 부여 기준 및 규칙 설정
- 사용자 정보 입력 시 필수 항목 정의
- 자동 생성된 계정의 초기 비밀번호 정책 설정
2.3.2 권한 부여 및 변경 정책
- 역할 기반 권한 관리(Role-Based Access Control,RBAC)를 통해 사용자에게 부여되는 권한 정의
- 특정 기간 동안 비활성화된 계정에 대한 자동 권한 해제 또는 삭제 규칙 설정
2.3.3 비활성화 및 삭제 정책
- 퇴사, 그룹 해제, 장기 미사용 계정 등의 조건에 따라 사용자 및 그룹의 비활성화 또는 삭제 기준 정의
- 삭제된 사용자/그룹의 기록 보존 주기 및 방법 설정
- 계정 비활성화 후 일정 기간이 지난 후 자동 삭제 여 부 및 처리 방식 규정