Enterprise Single Sign-On을 이해하려면 현재 사용 가능한 세 가지 유형의 Single Sign-On 서비스인 Windows 통합, 엑스트라넷 및 인트라넷을 살펴보는 것이 유용합니다. Enterprise Single Sign-On는 세 번째 범주에 속하며, 아래에 설명되어 있습니다.
Windows 통합 유닛 Sign-On
이러한 서비스를 사용하면 일반적인 인증 메커니즘을 사용하는 네트워크 내의 여러 애플리케이션에 연결할 수 있습니다. 이러한 서비스는 네트워크에 로그인한 후 자격 증명을 요청하고 확인하고 자격 증명을 사용하여 사용자 권한에 따라 수행할 수 있는 작업을 결정합니다. 예를 들어 애플리케이션이 Kerberos를 사용하여 통합되는 경우 시스템에서 사용자 자격 증명을 인증한 후 Kerberos와 통합된 네트워크의 모든 리소스에 액세스할 수 있습니다.
엑스트라넷 단일 Sign-On(웹 SSO)
이러한 서비스를 사용하면 단일 사용자 자격 증명 집합을 사용하여 인터넷을 통해 리소스에 액세스할 수 있습니다. 사용자는 다른 조직에 속한 다른 웹 사이트에 로그온할 자격 증명 집합을 제공합니다. 이러한 유형의 단일 Sign-On 예로 소비자 기반 애플리케이션에 대한 Windows Live ID가 있습니다. 페더레이션 시나리오의 경우 Microsoft Active Directory Federation Services는 웹 SSO를 사용하도록 설정합니다.
Server-Based 인트라넷 싱글 Sign-On
이러한 서비스를 사용하면 엔터프라이즈 환경 내에서 여러 다른 유형의 애플리케이션 및 시스템을 통합할 수 있습니다. 이러한 애플리케이션 및 시스템은 일반적인 인증을 사용하지 않을 수 있습니다. 각 애플리케이션에는 고유한 사용자 디렉터리 저장소가 있습니다. 예를 들어 조직에서 Windows는 Active Directory 디렉터리 서비스를 사용하여 사용자를 인증하고 메인프레임은 IBM의 RACF(리소스 액세스 제어 시설)를 사용하여 동일한 사용자를 인증합니다. 엔터프라이즈 내에서 미들웨어 애플리케이션은 프런트 엔드 및 백 엔드 애플리케이션을 통합합니다. Enterprise Single Sign-On 사용하면 엔터프라이즈의 사용자가 프런트 엔드와 백 엔드 모두에 연결하면서 하나의 자격 증명 집합만 사용할 수 있습니다. Windows 시작 단일 Sign-On(Windows 도메인 환경에서 초기 요청이 이루어지는 경우) 및 호스트 시작 단일 Sign-On(Windows가 아닌 도메인 환경에서 초기 요청이 이루어지는 경우)을 모두 사용하여 Windows 도메인의 리소스에 액세스할 수 있습니다.
또한 암호 동기화 는 SSO 데이터베이스의 관리를 간소화하고 사용자 디렉터리 간에 암호를 동기화 상태로 유지합니다. 이 작업은 암호 동기화 도구를 사용하여 구성하고 관리할 수 있는 암호 동기화 어댑터를 사용하여 수행됩니다.
엔터프라이즈 단일 Sign-On 시스템
Enterprise SSO(Single Sign-On)는 도메인 경계를 포함하여 로컬 및 네트워크 경계를 넘어 암호화된 사용자 자격 증명을 저장하고 전송하는 서비스를 제공합니다. SSO는 SSO 데이터베이스에 자격 증명을 저장합니다. SSO는 일반 Single Sign-On 솔루션을 제공하기 때문에 미들웨어 애플리케이션 및 사용자 지정 어댑터는 SSO를 활용하여 환경 전체에서 사용자 자격 증명을 안전하게 저장하고 전송할 수 있습니다. 최종 사용자는 다른 애플리케이션에 대해 다른 자격 증명을 기억할 필요가 없습니다.
단일 Sign-On 시스템은 SSO 데이터베이스, 마스터 비밀 서버 및 하나 이상의 단일 Sign-On 서버로 구성됩니다.
SSO 시스템에는 관리자가 정의하는 관련 애플리케이션이 포함되어 있습니다. 제휴 애플리케이션은 Enterprise Single Sign-On을 사용하여 연결하는 호스트, 백 엔드 시스템 또는 업무 분야 애플리케이션과 같은 시스템 또는 하위 시스템을 나타내는 논리적 엔터티입니다. 각 관련 애플리케이션에는 여러 사용자 매핑이 있습니다. 예를 들어 Active Directory의 사용자에 대한 자격 증명과 해당 RACF 자격 증명 간에 매핑이 있습니다.
SSO 데이터베이스는 모든 관련 애플리케이션에 암호화된 모든 사용자 자격 증명뿐만 아니라 관련 애플리케이션에 대한 정보를 저장하는 SQL Server 데이터베이스입니다.
마스터 비밀 서버는 마스터 비밀을 저장하는 Enterprise Single Sign-On 서버입니다. 시스템의 다른 모든 단일 Sign-On 서버는 마스터 비밀 서버에서 마스터 비밀을 가져옵니다.
SSO 시스템에는 하나 이상의 SSO 서버도 포함되어 있습니다. 이러한 서버는 Windows와 백 엔드 자격 증명 간의 매핑을 수행하고, SSO 데이터베이스에서 자격 증명을 조회하며, 관리자는 이를 사용하여 SSO 시스템을 유지 관리합니다.
비고
SSO 시스템에는 하나의 마스터 비밀 서버와 하나의 SSO 데이터베이스만 있을 수 있습니다. SSO 데이터베이스는 마스터 비밀 서버에 원격일 수 있습니다.