ISVG : IBM Security Verify Governance
정의 :
인사 원장에서 사용자 정보를 가져와서 사용자 계정을 중앙에서 관리하고, 대상시스템으로 계정을 프로비저닝 하기 위한 계정 관리 솔루션
주요 기능 :
1) 신원 수명 주기 관리 : 사용자의 계정 생성, 수정, 삭제 등을 자동화 하고 감사
2) 역할 기반 프로비저닝 : 사용자의 역할에 따라 자동으로 계정 및 접근 권한을 부여 또는 회수
3) 비즈니스 활동 기반 거버넌스 : 역할 대신 비즈니스 활동을 사용해서 의무 분리 위반을 관리하고 준수를 달성
4) 실시간 접근 리스크 분석 : 사용자의 접근 권한이 조직의 정책 / 규정에 위배되는지 실시간으로 모니터링 및 경고
Feed
정의 : 인사원장으로 부터 사용자 정보를 받아와서 ISVG에 Person을 생성하는 것을 의미
(Feed 방식은 Listener 방식, JNDI 방식, CSV File을 직접 동기화하는 방식 , .. 등이 있다)
Feed는 IBM의 SDI (Security Directory Integrator) 소프트웨어에서 진행 한다
Provisioning
정의 : ISVG에서 Person을 기반으로 Account를 생성해 대상시스템에 Account를 배포하는 것을 의미
(대상 시스템 : Application, OS, DB 를 의미)
Reconciliation
정의 : 대상시스템에 Provisioning된 Account를 ISVG의 Account로 가져오는 것을 의미
Person
정의 : 인사원장에서 가져온 사용자 정보
>> 실제 사용자의 정보
(대상시스템에 접근하려면 반드시 계정이 필요. 계정을 통해서 대상시스템 접근을 제어)
Account
정의 : 인사원장에서 가져온 사용자 정보 (Person) 를 사용해서 대상 시스템에 접근할 수 있는 계정
>> 대상시스템으로의 접근을 제어하기 위한 엔터티
(실제 사용자의 정보인 Person을 사용해서 계정을 생성)
(대상시스템이 다수일 수 있기 때문에, 어떤 사용자는 다수의 계정을 가질 수 있음)
SDI (Security Directory Integrator)
정의 : Person을 생성하기 위한 소프트웨어
>> 인사원장에서 ISVG로 사용자 정보를 동기화 (Feed) 하는 도구
(쉽게 말하면 A에서 B로 데이터를 이관 하기 위한 IBM에서 개발한 도구)
(인사원장은 RDB 일 수도 있고, LDAP 일 수도 있고, File (.csv) 일 수도 있다)
인사원장에 존재하는 사용자 정보 (예 : 사번, 이름, 부서) 를 가지고 SDI에서 프로젝트를 만들어서 서비스를 생성하고,
일련의 과정을 거쳐 ISVG에 최종적으로 Person (사용자 정보) 이 생성된다
SDI의 주요 기능 :
1) SDI는 데이터 (사용자 정보) 를 이관 (동기화 == Feed) 하기 위한 기능을 제공하는 도구이다
(SDI는 DB to LDAP 뿐만아니라, DB to DB로 데이터를 동기화 하는 기능도 지니고 있다)
2) SDI는 스케줄링 기능도 지니고 있다
3) SDI는 다양한 기능을 가진 도구이기 때문에,
특정 기능을 사용하고 싶을 때 각각의 프로젝트를 생성해서 사용하는 개념으로 생각하면 된다
(마치 이클립스 IDE 에서 다수의 프로젝트를 생성하는 것으로 예시를 생각 하면 된다)
ADT (Adapter Development Tool)
정의 : Account를 생성하기 위한 소프트웨어
(IBM에서 개발한 별도의 도구)
LDAP (SDS)
정의 : ISVG에서 Person 정보를 담는 Repository는 LDAP (SDS) 이다