안녕하세요
저희 회사가 IM SSO 도입 검토중인데,
컴퓨터 로그인 한번으로 GW, NAC 등 모든 시스템 추가 로그인 없이 사용할 수 있도록 기능 이 있는지 문의드립니다.
업체도 있다면 요청드립니다.
IAM, SSO 문의
안녕하세요
저희 회사가 IM SSO 도입 검토중인데,
컴퓨터 로그인 한번으로 GW, NAC 등 모든 시스템 추가 로그인 없이 사용할 수 있도록 기능 이 있는지 문의드립니다.
업체도 있다면 요청드립니다.
10개의 답변이 있습니다.
그나마 okta가 제일 많이 지원 또는 커마 해주는 걸로 알고는 있습니다.!
일부 자체 또는 현재 지원하지 않는 경우 커마도 가능한걸로 알고 있어요
말씀하신 기능을 구현한 것이 Okta의 Desktop MFA입니다.
관련 자료를 첨부합니다.
https://help.okta.com/oie/en-us/content/topics/oda/windows-mfa/win-mfa.htm
데모는 아래 영상의 12:56초부터 볼 수 있습니다.
https://youtu.be/gb1X2GfF9zQ?list=PLyPtqY7T1lotU8fInOfnSuRYxNgLcoahO&t=776
이론적으로는 가능한데요. NAC등 보안장비까지 적용하려면 내부 환경에 대한 분석이 먼저 선행되야 합니다.
도입에 대해 필요성이 높으시고 예산이 있으시면 솔루션 상담실에 관련 요청 해보시기 바랍니다.
모든 장비가 다 가능하려면 관련 솔루션의 지원여부를 먼저 확인해보는게 좋습니다.
sso는 정확히 접속하고자 하는 솔루션에서 지원을 해야 의미가 있기 때문입니다.
'모든 시스템 추가 로그인 없이 사용할 수 있도록' 이라는 말이 쉽지 않네요...^^
받아들이는 장비가 호환이 되고 제조사 지원이 되어야 가능한 부분이므로 SSO를 도입한해도 일방적으로 모든 요구조건을 수용하기는 어렵다고 확신합니다.
단, 만약에 가능하다고 해도 보안에 취약한 구조가 되버리므로 MFA를 적용하는 것이 조금은 보완이 될 수 있을 것 같습니다.
TMI로 유사한 작업이 있어 소개한다면, 패스워드 관리 솔루션을 도입하면서 관리장비에서 일괄 정책을 적용하고 통제를 하려면 서버, 방화벽 등 보안장비 등에 에이전트를 설치해야하는데, 앞서 언급했듯이 해당 장비에서 에이전트를 설치할 수 있는 여건이 되어야 가능하고 제조사 엔지니어의 도움이 필요한 경우도 있어서 쉽지 않는 작업이었습니다. 결국 가능한 장비만 적용을 했습니다. 이와 유사하게 SSO 적용을 하려면 작업이 진행될 것 같은 생각이 듭니다. 그리고 MFA를 적용했습니다.
참고하세요.
시스템이나 환경에 따라 될 수도 안될 수도 있습니다.
그리고 IAM, SSO도 여러가지 방식으로 지원하다 보니
솔루션만으로는 안 될수도 있고 기존 시스템 수정도 필요합니다.
간단한 부분은 아니죠
비용적인 부분도 문제가 되고 보안 이슈도 있을듯합니다. 각각에 PC특성이 있을건데요~~솔루션상담실 견적게시판에 문의도 해보세요
아 부정적인 의견이 많네요........ 전 컴퓨터 로그인 계정 정보로 다른 시스템들에서도 인증이 가능할거라 생각했는데 아닌가봅니다.........
솔루션 찾다 보면 아예 없지는 않을 듯 싶은데요...
하지만 상당히 위험한 구조라고 볼 수 있겠네요.
컴퓨터만 로그인 되면 GW, NAC 모두 자동 로그인 되어 버린다면
해당 PC만 있다면 모든곳에 오픈되어 버리는 거니까요...
PC 로그인과는 별개로 인증 시스템을 통해서 나머지 자동 로그인 하는 방식으로
추진 하시는 것이 좋을 듯 싶네요~~
그 기능이 가능하려면...
SSO 솔루션이 해당 장비와의 인터페이스 호환성을 지원해줘야 합니다.
예를 들어 방화벽이라면 방화벽 장비의 웹 인터페이스 로긴이라면...
방화벽 장비 업체에서 자동 로그인할 수 있는 표준적인 방법을 제공해 주거나,
아니면 SSO 솔루션 업체와 방화벽 장비 업체가 별도 협의를 통해서 서로간에 자동 로그인할 수 있는 프로토콜을 협의해서 그에 맞춰 프로그래밍이 되어줘야 하겠고요.
방화벽 업체와의 협의가 되지 않는 상태에서 SSO 업체 단독으로도 가능할 것 같긴하지만...
웹 인터페이스 화면에서 로그인 ID 입력하는 위치라든가 웹페이지 내에서 로그인에 필요한 ID, 암호 입력 input tag에 대한 속성값, 로그인 버튼에 대한 속성 값 등을 분석해서 로그인할 수 있도록 프로그래밍이 되어 줘야 한데... 방화벽 장비 업체와 협의가 없는 상태에서 SSO 솔루션 업체에서 단독으로 자동 로그인되게 할 경우에 방화벽 업체에서 펌웨어를 업그레이드하면서 로그인 웹 페이지의 속성 값들이나 추가적인 로그인을 위한 내용을 추가해 버릴 경우에 자동 로그인이 안되게 되어 버리기 때문에 다시 자동 로그인 되게 프로그래밍을 해 줘야 하는 문제가 발생하게 되겠고요.
특정 유명 메이커나 많이 사용되는 장비 업체에 대해서는 SSO 솔루션 업체가 별도 자동 로그인 프로그래밍을 만들어 억지로 가능하게 만들수도 있겠지만...
다양한 장비들에 대해 자동 로그인 되게 만든다는 것은 어려울거라 생각되네요.
장비에 관계없이 자동 로그인을 위한 표준적인 프로토콜이 제안되고, 모든 장비 업체들이 제안된 프로토콜을 기반으로 로그인 인터페이스를 만들고 있다면 해당 기능이 가능하겠지만...
그렇지 않고서는 가능성이 거의 없다고 보는게 맞을 것 같습니다.