Korean Identity Management(KIM)

3일차 저녁에 OSIS(Open Source Identity Systm)의 User-centric IdM InterOP Demo 가 열렸습니다. 이번 데모의 2가지 특징은, OpenID 진영이 참여했다는 것과 원격에서도 데모가 이루어졌다는 것입니다.

OpenID 진영에서는 6개의 OpenID Provider와 5개의 OpenID Relying Party가 참여했습니다.

데모 행사는 방 한 곳에서 이루어졌습니다. 15-20 명 정도가 개발하고 있었고, 실제 참여한 단체는 10 곳 정도였습니다. 나머지는 원격으로 접속하여 테스트를 수행했구요. 각 프로젝트 별로 endpoint가 제공되었기 때문에 누구나 자신의 코드를 테스팅 할 수 있습니다. Liberty Alliance도 원격에서 상호운용성 테스트를 받을 수 있지만, 테스터들만 접근할 수 있다는 차이가 있습니다.

Novell 부스 근처에서 사진을 찍다가, 담당자가 DigitalMe를 시연하는 모습을 봤습니다. 잘 돌아가더군요. 현재는 리눅스나 Mac에서만 동작하기 때문에, 언제쯤 Windows 버전을 지원할 것인지 물어봤습니다. 현재 0.5버전인데 0.9 버전에서 지원할 계획이라더군요. 한달마다 버전이 0.1 오르기 때문에, 4개월 정도 걸릴 예정입니다.

1. Sizing up Roles: A Fit for Everyone? - Burton Group

실제로 ERM(Enterprise Role Management) 프로젝트를 수행한 기업을 대상으로 설문 조사를 한 내용입니다. ERM을 도입하는데 기존 자료나 타사의 자료를 재활용하는 경우는 30%에 불과합니다. 범용성이 떨어진다는 말이죠. 조직 별로 특화되는 측면이 있기 때문에 이해는 가지만, 자사의 기존 자료를 활용하지 못하는 건 왜일까요? 또한 프로젝트의 목표가 portable, reusable roles and policies across multiple platforms and applications 임에도 불구하고 말입니다.

RBAC의 중요성에 대해서는 45%가 안 중요하다고 응답했습니다. 해외에서는 RBAC이 매우 중요하게 고려되는 줄 알았는데 약간은 의외였습니다. 유럽, 북미 쪽이 중요하게 고려한다더군요.

2. Experiences in Role Management Deplyment - Engiweb Security

ERM를 구축하는 가장 효과적인 방법은 'well-defined' 된 role을 도출하는 것입니다. Role Discovery 툴을 이용하여 role의 갯수, role과 사용자의 관계, role과 권한의 관계를 정의하는 것과, 실제 비즈니스 절차에서 요구되는 role을 명확히 해야 합니다.

3. User Provisioning; injecting a dose of reality - Burton Group

User Provisioning 프로젝트를 수행한 25개 기업을 대상으로 조사한 내용입니다. 전반적으로 많은 비용이 들고 시간도 많이 걸립니다. 프로젝트들은 평균 2천만 달러 규모로, 3-5 년 이상 수행되었습니다. 거기다가, Provisiong에 끝은 없죠. 항상 최신의 정보로 바꿔주어야 합니다.

프로젝트는 5단계의 흐름을 가집니다.

1. homegrown solution; 워크플로우를 기반으로 직접 만듭니다.
2. packaged app; 하지만 유지하기가 어렵죠. 어쩔 수 없이 외부의 전용 패키지 솔루션을 도입합니다.
3. packaged app 초기 적용; 실제 환경에 바로 적용하기 어렵습니다. 패키지에서 사용한 usecase는 이해도 안되고, 업무 부서의 지원도 없습니다. 패키지가 사용한 특정 기술에 국한된 기능만 쓸 수 있습니다.
4. reality check; 초기의 요구 사항을 반영 못한다는 걸 깨닫게 되죠. 패키지 솔루션은 조직이 당면한 문제 해결에는 도움이 안되고 기대에 못 미칩니다. 이 단계에서  대부분은 다시 3단계로 가는 실수를 범합니다.
5. phase 2 구현; 이제는 구체적인 계획을 가지고 Provisioning 솔루션을 구축합니다. 요구사항 잘 이해하고 적합한 기술을 적용합니다. 운영진의 지원도 충분합니다.

5. Directory Services: Still Evolving After All These Years - Burton Group

디렉토리 서비스에서는 동기화(synchronization)와 가상화(vitualization)가 이슈입니다. 동기화 방식은 데이터 소유 문제가 있고, 가상화 방식은 로드 밸런싱과 안정성 보장(warrent consideration)과 관련된 이슈가 있습니다.

발표자는 가상화 방식을 선택했습니다. 가상화의 장점으로 관리상 문제 간략화, 유연성, 거버넌스 기능 향상(ex. Audit), 그리고 많은 기능(인가, Provisioning)을 들었습니다. 단일 디렉토리라고 가정할 수 있기 때문이라고 생각됩니다.

6. The Infrastructure Services Model (ISM) - Burton Group

ISM은 기존에 하나로 다루어졌던 인프라를 모듈화 및 계층화하여, 서비스 단위로 관리하는 것을 말합니다. 각 인프라는 SoA(Service-oriented Architecture) 처럼 모듈화된 서비스 단위로 제공되며, 표준화되어 있다면 재사용도 가능합니다.

하지만 어떤 분야의 어플리케이션은 모듈화가 아닌, 강하게 결합되어 있는(tightly coupled) 구조를 요구하기도 합니다. 특히 금융과 관련된 부분에서 말이죠. 실제로도 범용모델은 regulatory, 보안 이슈들 때문에 적용이 어렵다고 합니다. 무조건 모듈화, 범용성이 최고라고 할 수 없습니다.

7. Defining Identity Services for the ISM - Burton Group

ISM이 도대체 뭔지는 모르겠지만-_-;;, 이 발표는 Identity 서비스에 대한 전반적인 관리를 다루고 있습니다. Identity 서비스는 다양한 기능을 수행해야 하며, 이를 지원하기 위해서는 여러 제품들의 통합적인 동작이 요구됩니다. 하지만 각각의 기능에 대한 표준화는 있지만, 전체 identity 서비스에는 충분하지 않습니다.

표준은 서비스가 아니고 기술, 방법에 대해서만 다룹니다. 하나의 표준이 전체 identity 서비스를 커버하기에는 너무 복잡하고, 표준을 확장하려고 하면 이미 다른 표준에 포함되어 있는 경우가 많습니다.

발표자는 추상화된 계층을 두어 해결하는 방안을 제시합니다. 세부 기술을 모르더라도, 기존의 여러 표준이나 바인딩을 이용하여 효과적인 서비스를 구축할 수 있습니다. 평범한 내용입니다.

8. A Holistic View on Authentication - SecurIT

인증, 인가도 인프라 서비스의 하나로 제공하라고 합니다. SoA 개념이죠. 어플리케이션의 변경이 없어도 인증 기능을 제공할 수 있도록 유연성(flexibility)도 제공할 수 있어야 합니다.

또한, 인증을 centralized 서비스로 고려하라고 주장하였습니다. 고객들이 사용하기 쉽고, 관리도 간단하다는 이유죠. 하지만 Microsoft의 Passport 방식이 바로 centralized 서비스인데, 과연 고객들이 좋아할지 의문입니다.