IAM(ID 및 액세스 관리) 기본 개념
이 문서에서는 IAM(ID 및 액세스 관리)을 이해하는 데 도움이 되는 기본 개념과 용어를 제공합니다.
IAM(ID 및 액세스 관리)이란?
ID 및 액세스 관리는 적절한 사용자, 컴퓨터 및 소프트웨어 구성 요소가 적시에 적절한 리소스에 액세스할 수 있도록 보장합니다. 첫째, 사용자, 컴퓨터 또는 소프트웨어 구성 요소는 자신이 누구인지 또는 무엇이라고 클레임하는지 증명합니다. 그런 다음 사용자, 컴퓨터 또는 소프트웨어 구성 요소는 특정 리소스에 대한 액세스 또는 사용을 허용하거나 거부합니다.
다음은 ID 및 액세스 관리를 이해하는 데 도움이 되는 몇 가지 기본 개념입니다.
ID
디지털 ID는 컴퓨터 시스템의 인간, 소프트웨어 구성 요소, 컴퓨터, 자산 또는 리소스를 나타내는 고유 식별자 또는 특성의 컬렉션입니다. 식별자는 다음과 같습니다.
- 이메일 주소
- 로그인 자격 증명(사용자 이름/암호)
- 은행 계좌 번호
- 정부 공인 ID
- MAC 주소 또는 IP 주소
ID는 리소스에 대한 액세스를 인증 및 권한 부여하고, 다른 인간과 통신하고, 트랜잭션을 수행하고, 기타 목적을 수행하는 데 사용됩니다.
상위 수준에는 세 가지 형식의 ID가 있습니다.
- 인간 ID는 직원(내부 작업자 및 일선 작업자)과 외부 사용자(고객, 컨설턴트, 공급업체 및 파트너)와 같은 인간을 나타냅니다.
- 워크로드 ID는 애플리케이션, 서비스, 스크립트 또는 컨테이너와 같은 소프트웨어 워크로드를 나타냅니다.
- 디바이스 ID는 데스크톱 컴퓨터, 휴대폰, IoT 센서, IoT 관리 디바이스 등의 디바이스를 나타냅니다. 디바이스 ID는 인간 ID와 다릅니다.
인증
인증은 ID를 확인하거나 클레임하는 사용자가 누구인지 증명하기 위해 사용자, 소프트웨어 구성 요소 또는 하드웨어 디바이스에 자격 증명을 요청하는 프로세스입니다. 인증에는 일반적으로 자격 증명(예: 사용자 이름 및 암호, 지문, 인증서 또는 일회용 암호)을 사용해야 합니다. Authentication(인증)은 종종 AuthN으로 축약됩니다.
MFA(다단계 인증)는 사용자가 자신의 ID를 확인하기 위해 다음과 같은 두 가지 이상의 증거를 제공하도록 요구하는 보안 측정값입니다.
- 암호 등 사용자가 알고 있는 항목입니다.
- 배지나 보안 토큰과 같이 사용자가 갖고 있는 항목입니다.
- 생체 인식(지문 또는 얼굴)과 같은 항목입니다.
SSO(Single Sign-On)를 사용하면 사용자는 자신의 ID를 한 번 인증한 다음 나중에 동일한 ID를 사용하는 다양한 리소스에 액세스할 때 자동으로 인증할 수 있습니다. 일단 인증되면 IAM 시스템은 사용자가 사용할 수 있는 다른 리소스에 대한 ID 정보의 원본 역할을 합니다. 여러 개의 별도 대상 시스템에 로그온할 필요가 없습니다.
Authorization
권한 부여는 사용자, 컴퓨터 또는 소프트웨어 구성 요소에 특정 리소스에 대한 액세스 권한이 부여되었는지 유효성을 검사합니다. 권한 부여는 AuthZ로 축약되는 경우가 많습니다.
인증과 권한 부여의 차이점
인증 및 권한 부여라는 용어는 종종 사용자에게 단일 환경처럼 보이기 때문에 같은 의미로 사용됩니다. 실제로는 두 개의 별도 프로세스입니다.
- 인증은 사용자, 컴퓨터 또는 소프트웨어 구성 요소의 ID를 증명합니다.
- 권한 부여는 특정 리소스에 대한 사용자, 컴퓨터 또는 소프트웨어 구성 요소 액세스를 허용하거나 거부합니다.
인증 및 권한 부여에 대한 간략한 개요는 다음과 같습니다.
| 인증 | 권한 부여 |
|---|---|
| 유효한 자격 증명을 제공한 사용자에게만 액세스를 허용하는 게이트키퍼로 생각할 수 있습니다. | 적절한 허가를 받은 사용자만 특정 지역에 들어갈 수 있도록 보장하는 경비원으로 생각할 수 있습니다. |
| 사용자, 컴퓨터 또는 소프트웨어가 자신이 클레임하는 사용자인지 또는 무엇인지 확인합니다. | 사용자, 컴퓨터 또는 소프트웨어가 특정 리소스에 액세스할 수 있는지 결정합니다. |
| 사용자, 컴퓨터 또는 소프트웨어에 확인 가능한 자격 증명(예: 암호, 생체 인식 식별자 또는 인증서)을 요구합니다. | 사용자, 컴퓨터 또는 소프트웨어의 액세스 수준을 결정합니다. |
| 권한 부여 전에 완료되었습니다. | 인증 성공 후 완료되었습니다. |
| 정보는 ID 토큰으로 전송됩니다. | 정보는 액세스 토큰으로 전송됩니다. |
| OIDC(OpenID Connect)(OAuth 2.0 프로토콜을 기반으로 빌드됨) 또는 SAML 프로토콜을 사용하는 경우가 많습니다. | OAuth 2.0 프로토콜을 사용하는 경우가 많습니다. |
자세한 내용은 인증과 권한 부여를 참조하세요.
예시
호텔로 밤 시간을 보내려고 하는 경우를 가정해 보겠습니다. 인증 및 권한 부여는 호텔 건물의 보안 시스템이라고 생각하면 됩니다. 사용자는 호텔에 머물고 싶은 사람이고, 리소스는 사람들이 사용하고 싶은 객실이나 공간입니다. 호텔 담당자는 또 다른 유형의 사용자입니다.
호텔에 숙박하는 경우 먼저 리셉션으로 가서 "인증 절차"를 시작합니다. 신분증과 신용 카드를 제시하면 접수 담당자는 사용자의 ID를 온라인 예약과 일치시킵니다. 접수 담당자는 사용자가 누구인지 확인한 후 사용자에게 배정된 객실에 대한 액세스 권한을 부여합니다. 키 카드를 받았으니 이제 방으로 들어가면 됩니다.
호텔 객실 및 기타 구역의 문에는 키 카드 센서가 있습니다. 센서 앞에서 키 카드를 긁는 것이 "권한 부여 과정"입니다. 키 카드를 사용하면 호텔 객실, 호텔 연습실 등 출입이 허용된 객실의 문만 열 수 있습니다. 다른 호텔 객실에 들어가기 위해 키 카드를 긁으면 출입이 거부됩니다.
연습실 및 특정 객실 액세스와 같은 개별 권한은 개별 사용자에게 부여할 수 있는 역할로 수집됩니다. 호텔에 숙박하면 호텔 후원자 역할이 부여됩니다. 호텔 룸서비스 담당자에게는 호텔 룸서비스 역할이 부여됩니다. 이 역할을 통해 호텔의 모든 객실(오전 11시부터 오후 4시 사이에만), 세탁실, 각 층의 비품 옷장에 대한 접근이 허용됩니다.
ID 공급자
ID 공급자는 인증, 권한 부여, 감사 서비스를 제공하는 동시에 ID 정보를 만들고, 유지 관리하고, 관리합니다.
최신 인증을 사용하는 경우 모든 인증 서비스를 포함하여 모든 서비스를 중앙 ID 공급자가 제공합니다. 서버를 사용하여 사용자를 인증하는 데 사용되는 정보는 ID 공급자가 중앙에서 저장하고 관리합니다.
조직에서는 중앙 ID 공급자를 사용하여 인증 및 권한 부여 정책을 설정하고, 사용자 동작을 모니터링하며, 의심스러운 활동을 식별하고, 악의적인 공격을 줄일 수 있습니다.
Microsoft Entra ID는 클라우드 기반 ID 공급자의 예입니다. 다른 예로는 Twitter, Google, Amazon, LinkedIn, GitHub 등이 있습니다.
다음 단계
- 자세히 알아보려면 ID 및 액세스 관리 소개를 참조하세요.
- SSO(Single Sign-On)에 대해 알아봅니다.
- MFA(다단계 인증)에 대해 알아봅니다.