IAM (Identity Access Management)

의미

• 올바른 user가 Resource에 대해 적절한 Access 권한을 갖도록 보장하기 위한 정책 및 기술 프레임워크 - [1]
• User Authentication, 권한 및 자원의 배분(Provisioning)을 수행하는 중앙집중 체계 - [2]
• User Authentication/Authorization 등 통합 계정 관리를 위한 보안 제품 - [3]
• 단순한 한 가지 Application을 지칭하는 용어가 아니라, 계정 관리 전반 및 Provisioning 기능을 포함한 포괄적인 의미의 계정관리 솔루션을 의미 - [3]
  • 고객의 요구를 반영한 기능 조합/확장이 가능한 솔루션
  • 업무 프로세스를 정의하고 관리하는 인프라로써 업무효율성/생산성/보안성 극대화를 통해 이익창출이 가능한 툴

주요 특징

• 강화된 Audit, report 기능 - [3]
  • 계정의 요청, 승인, 수정 및 삭제된 audit record를 저장
  • audit record의 시각화
• 인증 권한 관리 - [4]
  • X.509 인증서 기반 권한 관리
    • PKI 기반 전자 서명, 공개키 표준 포맷
    • RSA/MD5 서명, 인증 기관(CA, RA)
  • Kerberos 기반 권한 관리
    • 대칭키 기반 LDAP 기본 인증 방식
    • Authentication Server, Ticket Granting Server 등
  • 멀티 팩터 기반 권한 관리
    • ID/PW 방식 및 FIDO 기반 생체 인증
    • 스마트 카드, OTP, OAuth 적용
• 인증 프로세스 관리 - [4]
  • Provisioning 정책
    • 사용자/그룹에 대한 권한 관리
    • 멤버십과 역할에 대한 정책 적용
    • 조직 내에 인사이동이나 직무변경이 발생하여, 사용자가 접근하는 Resource의 범주가 변경되었을 경우
    • User Provisioning
    • : 새로운 User 발생 시, 자동으로 계정을 발급하고 접근 권한을 부여하는 기능
    • User De-Provisioning)
    • : 기존 사용자가 더 이상 계정을 사용하지 않는 경우, 자동으로 계정을 소멸시키고 부여된 권한을 삭제하는 기능
  • Workflow 자동화
    • 인증 프로세스 과정 자동화
    • 사용자 계정 생성/변경/승인/거부 등
  • 사용자 자체 정보 변경 - [3, 4]
    • 사용자 정보를 직접 수정하여 관리 노력 최소화
    • 사용자 자신이 Password를 관리하고, 여러 system의 password를 동기화

구성요소

• User (시스템 이용 계정)
  • System Resource에 Access하는 User/Domain
  • ID, 계정정보, email, domain name 등
• Role (권한의 모음)
  • Resource에 대해 허용되는 작업 결정
  • User에 Role을 매핑하여 권한을 부여
• Policy (User-Role 연결)
  • Resource에 대해 특정 User에게 특정 권한 정의
  • Policy를 정의하려면, 하나 이상의 User와 권한이 필요

시스템 구성요소

• Server engine - [3]
  • Policy engine
    • user 계정 관리 및 인증
    • 인증된 사용자에 대한 권한 검증
    • 인증, 인가 서비스에 대한 요청/결과 정보 기록
  • management engine
    • IAM 솔루션의 모든 구성요소 관리
    • 보안정책 사용자의 계정 조직 구성/관리
    • user/resource에 대한 권한 정책 관리
• Database - [3]
  • Repository
    • user 정보 저장
    • policy 정보 저장
• Agent - [3]
  • Web, Application Server 등에 설치되어, Server Engine에서 부여된 보안 정책 실행

EAM과의 차이

• EAM이 접근권한 중심이라면, 여기서 더 포괄적이고 확장된 것이 IAM
• EAM이 차등적 Authorization을 구현하기 위해, 관리자가 user의 권한을 수작업으로 입력 (시간/비용 손실) - [3]
• IAM은 자동적 권한 부여/관리 기능 - [3]
  • EAM에서 User Provisioning, 전사적 접근 관리, 분산 관리, 패스워드 관리 등을 추가
• EAM이 관리자가 직접 ACL을 관리하는 문제를 IAM은 Provisioning을 통한 자동 관리 기능으로 개선 - [4]

장점

• 자동 사용자 관리기능을 추가함으로써 업무 중심의 서비스 체계 구현
• 통합적이고 중앙집중적인 계정관리 서비스
  • 일괄된 정책에 따라 사용자와 자원을 효과적으로 관리할 수 있는 통합관리 인프라 구축
  • 전사적인 보안 정책과 표준 정립으로 기업 이미지 강화
  • 통합적인 감사 및 리포팅 능력 강화
• 비용 대비 효율성 증가
  • SSO 구현으로 업무 시스템에 단일 로그인 가능
  • 자동화된 계정/자원 관리
• 강력한 보안 체계 구현
  • 사용자 인증/자원관리 모듈을 공통적으로 사용하게 되므로, 어플리케이션 개발 품질 향상 및 중복 투자 방지
  • 권한 회수 및 감사(audit)가 가능하므로, 기밀 유출 가능성 또는 해킹 사고에 대비/발생 시 추적 용이

동의어

• IM (Identity Management)
• 계정관리 솔루션
• 통합 계정 관리

---

Reference

1. 위키백과 "identity_management", https://en.wikipedia.org/wiki/Identity_management
2. IT Wiki "IAM", https://itwiki.kr/w/IAM
3. wikisecurity "iam", https://wiki.wikisecurity.net/wiki:iam
4. Security Career blog, https://isc9511.tistory.com/57
5. 도리의 디지털라이프 blog, http://blog.skby.net/iam-identity-and-access-management/