다음을 통해 공유

페더레이션 ID 관리 상호 운용성

  • 아티클

 

Microsoft Corporation

2004년 5월

요약: 엔터프라이즈는 내부 시스템을 외부 사용자로 확장하므로 시스템이 다른 조직의 애플리케이션과 상호 운용할 수 있도록 하는 것이 중요합니다. 선도적인 ID 관리 솔루션 공급자는 최근 상호 운용성 워크샵에서 이러한 요구를 충족하는 솔루션을 시연했습니다. (7페이지 인쇄)

참고 이 문서에서는 Web Services 보안 표준 집합을 기반으로 WS-Federation 수동 요청자 프로필을 사용하여 상호 운용성 시나리오를 구현한 워크샵의 결과를 설명합니다.

콘텐츠

페더레이션 ID 관리
웹 서비스 프로토콜 워크샵
WS-Federation 수동 요청자 프로필 상호 운용성
워크숍 결과 및 토론
관련 링크

페더레이션 ID 관리

기업 간 상거래의 성장, 이동성 증가 및 지속적인 연결의 필요성과 같은 현재 업계 추세의 과제를 충족하기 위해 조직은 내부 시스템을 고객, 파트너, 공급자 및 모바일 직원에게 연결을 제공하는 외부 사용자로 확장하고 있습니다. 효율적이고 원활한 연결을 제공하려면 조직에서 사용자의 ID 정보를 안전하게 공유할 수 있는 "신뢰 기반" 관계를 구축해야 합니다. 트러스트 관계를 사용하면 ID 및 정책 정보가 플랫폼, 애플리케이션 또는 보안 모델과 무관하게 조직 간에 흐를 수 있습니다. 신뢰 관계는 생산성을 최대화하고 오늘날 자주 발생하는 수동 프로세스를 제거하기 위해 신속하고 효율적으로 형성되어야 합니다. 페더레이션은 이 상호 연결에 필요한 기술 및 비즈니스 준비를 설명합니다.

페더레이션 시스템은 조직 경계를 넘어 상호 운용하고 다양한 기술, ID 스토리지, 보안 접근 방식 및 프로그래밍 모델을 활용하는 프로세스를 연결해야 합니다. 페더레이션된 시스템 내에서 ID 및 관련 자격 증명은 여전히 별도로 저장, 소유 및 관리됩니다. 페더레이션의 각 개별 멤버는 자체 ID를 계속 관리하지만 다른 멤버의 원본에서 ID 및 자격 증명을 안전하게 공유하고 수락할 수 있습니다.

페더레이션된 시스템 내에서 organization 신뢰할 수 있는 파트너 및 고객에게 제공되는 서비스뿐만 아니라 신뢰할 수 있는 다른 조직 및 사용자, 수락하는 자격 증명 및 요청 유형 및 개인 정보 보호 정책과 같은 비즈니스를 실행하는 정책을 표현하는 표준화되고 안전한 방법이 필요합니다.

이러한 요구 사항에 대응하여 Microsoft는 업계 리더와 협력하여 일반적으로 웹 서비스라고 하는 분산 애플리케이션 아키텍처에 대한 일련의 사양을 개발하고 있습니다. 웹 서비스 아키텍처는 SOAP, XML, WSDL 및 UDDI와 같은 업계 표준을 기반으로 하며 페더레이션 ID 및 보안을 관리하는 기능을 포함하여 확장된 엔터프라이즈를 위한 완전하고 상호 운용 가능한 비즈니스 솔루션을 제공하기 위한 토대를 제공합니다. 웹 서비스 모델은 엔터프라이즈 시스템이 다양한 유형의 디바이스에서 실행되고 액세스되는 다양한 프로그래밍 모델을 사용하여 서로 다른 언어로 작성된다는 생각에 기반을 두고 있습니다. 웹 서비스는 인터넷을 통해 쉽고 효율적으로 서로 연결하고 상호 작용할 수 있는 분산 시스템을 구축하는 플랫폼 및 언어 독립적 수단입니다. 웹 서비스 및 웹 서비스 사양에 대한 자세한 내용은 MSDN 웹 서비스 개발자 센터에서 찾을 수 있습니다.

상호 운용성

웹 서비스 아키텍처의 성공과 이를 가능하게 하는 애플리케이션은 상호 작용하는 플랫폼, 프로그래밍 언어 또는 애플리케이션에 관계없이 신뢰할 수 있는 비즈니스, 파트너 및 서비스 네트워크에서 상호 운용할 수 있는 기능에 따라 달라집니다. 이를 위해 웹 서비스를 구현하는 엔터프라이즈 기업은 애플리케이션이 상호 운용성을 보장하기 위해 웹 서비스 표준을 준수하기를 원합니다. SOAP, XML, WSDL 및 UDDI를 포함한 웹 서비스 표준을 통해 개발자는 여러 플랫폼, 프로그래밍 언어 및 애플리케이션에서 상호 운용 가능한 웹 서비스 솔루션을 성공적으로 만들 수 있습니다. 이러한 상호 운용성이 존재하고 웹 서비스 사양이 이러한 비즈니스 목표를 달성하고 있는지 확인하는 기본 방법 중 하나는 프로토콜 interop 워크샵을 통해서입니다.

웹 서비스 프로토콜 워크샵

웹 서비스 프로토콜 워크샵은 WS-* 사양의 유효성을 검사하고 구체화하는 과정에서 웹 서비스 커뮤니티(최종 사용자 회사, ISV 및 기타 공급업체 포함)를 참여시키는 방법입니다. 워크샵에는 피드백 및 상호 운용성이라는 두 가지 유형이 있습니다. 피드백 워크샵을 사용하면 각 웹 서비스 프로토콜의 작성자가 디자인에 대한 배경 정보를 공유하고 구현의 실용성에 대한 참석자의 피드백을 받을 수 있습니다. 상호 운용성 워크샵은 동일한 이유로 개최되며, 또한 회사에서 다른 워크샵 참가자와 구현의 상호 운용성을 테스트할 수 있습니다.

워크샵에서 모든 피드백 및 구현 결과가 수집되면 작성자는 표준 설정 organization 제출 사양을 업데이트하고 구체화합니다.

WS-Federation 수동 요청자 프로필 상호 운용성 워크샵

2004년 3월 29일과 30일에 WS-Federation 수동 요청자 프로필 사양의 저자는 워싱턴 주 레드먼드의 Microsoft 캠퍼스에서 이틀간의 상호 운용성 워크샵을 주최했습니다.

이틀간의 워크숍은 2003년 7월 8일에 게시된 WS-Federation 사양과 2003년 7월 8일에 게시된 WS-Federation 수동 요청자 프로필을 기반으로 구현된 기업을 위한 공개 포럼이었습니다. 이벤트 전에 시나리오 문서가 제공되었고 참석자가 다른 회사의 구현으로 시나리오 구현을 테스트하도록 초대되었습니다. 워크샵 참가자로는 IBM Corporation, Microsoft Corporation, Netegrity Inc., Oblix Inc., OpenNetwork Corporation, Ping Identity Corporation 및 RSA Security Inc.가 포함되었습니다. 이 워크샵 및 기타 웹 서비스 프로토콜 워크샵에 대한 자세한 내용은 MSDN에서 찾을 수 있습니다.

WS-Federation 사양

WS-Federation 사양은 Web Services 보안 사양 집합의 일부입니다. 서로 다른 신뢰 영역에서 트러스트 및 ID 및 인증 정보 페더레이션을 중개하기 위한 모델 및 메시지 집합을 정의합니다.

WS-Federation 사양은 신뢰 영역에서 ID 및 인증 요청의 두 가지 원본을 식별합니다. 즉, SOAP 사용 애플리케이션과 같은 활성 요청자와 광범위하게 지원되는 HTTP(예: HTTP 1.1)가 가능한 HTTP 브라우저로 정의된 수동 요청자입니다.

수동 요청자 프로필 WS-Federation

WS-Federation 수동 요청자 프로필은 WS-Federation 구현되며 수동 요청자(예: 웹 브라우저)가 페더레이션 프레임워크를 적용하는 방법에 대한 표준 프로토콜을 제안합니다. 이 프로토콜 내에서 웹 서비스 요청자는 새로운 보안 메커니즘을 이해하고 웹 서비스 공급자와 상호 작용할 수 있어야 합니다.

WS-Federation 수동 요청자 프로필 상호 운용성

WS-Federation 수동 요청자 상호 운용성 프로필

WS-Federation 수동 요청자 상호 운용성 프로필은 더 많은 상호 운용성 보장을 제공하기 위해 수동 요청자 프로필에 대한 추가 제약 조건입니다. 이 프로필은 SAML(보안 어설션 태그 언어)을 토큰 유형으로 사용하여 수동 요청자의 컨텍스트 내에서 보안 토큰을 요청, 교환 및 발급하기 위한 표준을 정의합니다.

WS-Federation 수동 요청자 상호 운용성 프로필은 WS-Federation 수동 요청자 프로필의 상호 운용 가능한 구현을 만들기 위한 가이드로 워크샵 전에 참가자에게 생성되고 배포되었습니다. 권장 프로토콜을 테스트하기 위해 공급업체는 구현 시나리오 만들기에 대해 협력했습니다. 이 시나리오는 조직이 혜택과 같은 서비스를 타사에 아웃소싱하지만 내부 웹 사이트(이 시나리오의 수동 요청자)를 통해 서비스에 대한 브랜드화된 액세스를 제공해야 하는 일반적인 필요성을 반영합니다.

Interop 시나리오

상호 운용성 워크샵 시나리오에서 회사인 ME(내 고용주)는 직원 복리후생 관리를 제3자 BC(복리후생 회사)에 아웃소싱합니다. 내 고용주 및 복리후생 회사는 비즈니스 연맹에 대한 신뢰와 정책을 수립했습니다. 혜택 회사와의 비즈니스 페더레이션 조정의 일환으로, 내 고용주는 혜택 회사에 리소스 요청과 함께 특정 사용자별 특성을 보내는 데 동의합니다. Benefits Company의 복리후생 관리 애플리케이션에는 내 고용주의 직원이 요청한 특정 리소스를 표시하기 전에 이러한 특성이 있어야 합니다.

이 시나리오의 목표는 세 가지였습니다.

  • ME가 직원 복리후생 관리를 아웃소싱할 수 있도록 하여 organization 및 타사 서비스 공급자 간의 비즈니스 간 페더레이션을 보여 줍니다.
  • WS-Federation 수동 요청자 프로필에 설명된 표준을 사용하여 만든 여러 공급업체 솔루션 간의 상호 운용성을 테스트합니다.
  • 다음을 통해 비즈니스 페더레이션의 이점을 실현합니다.
    • 혜택을 관리하기 위해 BC가 ME 직원의 ID 및 암호를 관리할 필요가 없습니다.
    • ME 직원을 위한 신뢰할 수 있는 SSO(Web Single Sign On)를 BC 도메인에 제공합니다.

시나리오 연습

ME 직원이 근무 중이며 내부 혜택 포털 페이지에 액세스합니다. 직원이 ME에서 도메인에 아직 로그인하지 않은 경우 혜택 포털 페이지에 대한 액세스 권한이 부여되기 전에 해당 도메인에 로그인해야 합니다. 혜택 포털 페이지에는 개별 사용자 또는 ME 자체와 관련한 정보가 표시되며 사용자의 혜택을 관리할 수 있는 링크가 있습니다.

직원이 복리후생 관리 링크를 클릭하면 ME 혜택 포털 페이지에 대한 인증을 위해 이전에 제공된 자격 증명을 사용하여 혜택 회사에 인증됩니다.

직원에게는 직원의 복리후생 선택에 대한 개인 설정된 정보를 제공하는 복리후생 관리 애플리케이션에 의해 사용자 지정된 "환영 페이지"가 제공됩니다.

여기서 실제 혜택 애플리케이션 구현을 통해 직원이 상태 계획 옵션을 업데이트하고 링크를 클릭하여 상태 계획을 관리할 수 있습니다. 직원에게 사용 가능한 다양한 상태 계획 옵션과 각 플랜 비용의 양이 표시됩니다. 직원은 새 건강 플랜을 선택하고 각 급여에서 공제할 새 금액이 표시됩니다. 직원에게 이 트랜잭션을 확인하라는 메시지가 표시됩니다.

직원은 선택 사항을 확인하고 이제 업데이트된 상태 계획 정보를 표시하는 사용자 지정된 "시작 페이지"로 돌아갑니다.

직원이 자신의 상태 계획에 대한 링크를 다시 클릭하면 선택한 상태 계획의 세부 정보가 표시되고 등록 기간이 끝나기 전에 선택을 수정할 수 있습니다.

트랜잭션을 완료한 후 직원은 BC 사이트에서 로그아웃 링크를 클릭하고 ME의 내부 포털로 다시 전송됩니다. 그러면 직원이 Benefit Company 애플리케이션에서 로그아웃되었음을 확인할 수 있습니다.

워크숍 결과 및 토론

WS-Federation 수동 요청자 프로필 상호 운용성 워크샵은 참여하는 모든 공급업체의 모든 구현 간에 높은 수준의 상호 운용성을 보여주었으며, 이는 예상보다 훨씬 빠르게 달성되었으며, 이러한 구현의 성숙도가 증가하고 있음을 분명하게 나타내는 문제 수가 적습니다.

현재 웹 서비스를 구현하는 고객은 애플리케이션이 기존 표준을 준수하고 웹 서비스를 지원하는 다른 제품과 상호 운용성을 제공할 수 있음을 알고 싶어 합니다. 워크샵에서 테스트된 상호 운용성 시나리오의 구현은 모든 공급업체 솔루션 간의 상호 운용성을 입증했습니다.

웹 서비스 및 페더레이션 ID 관리에 대한 포괄적이고 일관되고 확장 가능한 모델을 제공하려면 플랫폼 공급업체, 애플리케이션 개발자, 네트워크 및 인프라 공급자 및 고객의 조정된 노력이 필요합니다. 최근 WS-Federation 수동 요청자 프로필 상호 운용성 워크샵과 같은 이벤트는 웹 서비스 표준의 진화에 대한 광범위한 업계 참여를 촉진하고 고객, 개발자 및 공급업체가 플랫폼, 애플리케이션 및 프로그래밍 언어에서 일관되고 안정적이며 상호 운용 가능한 웹 서비스를 빌드하기 위한 검증된 프로토콜을 갖도록 합니다.

상호 운용성은 웹 서비스 구현에 대한 고객의 의사 결정의 증가 요인이며 앞으로도 계속 될 것입니다. 웹 서비스 구현에서 상호 운용성을 지원하기 위해 Microsoft는 다음을 권장합니다.

  • 설정된 웹 서비스 구현 프로토콜을 따릅니다. 웹 서비스 사양 및 웹 서비스 개발 및 구현에 대한 추가 지원은 MSDN 웹 서비스 개발자 센터에서 찾을 수 있습니다.
  • 예정된 웹 서비스 피드백 및 상호 운용성 워크샵에 참여합니다. 더 많은 워크샵 정보를 보려면 클릭합니다.
  • WS-I 상호 운용성 지침에 익숙해집니다. 지침 및 기타 WS-I 개발자 리소스에 대한 자세한 내용은 에서 http://www.ws-i.org/확인할 수 있습니다.
  • WS-I 테스트 도구를 활용하여 웹 서비스 애플리케이션이 WS-I 상호 운용성 지침을 준수하는지 확인합니다.

Web Services 보안 사양 집합은 페더레이션 ID 관리를 위한 완전한 솔루션을 제공하여 조직과 외부 사용자 간의 안전하고 효율적인 통신 및 협업을 허용합니다. WS 보안 표준을 기반으로 상호 운용 가능한 솔루션을 만들면 페더레이션 ID 관리 채택이 더욱 가속화되고 고객이 구현 비용과 위험을 줄여 웹 서비스 솔루션을 구현할 수 있습니다.

자세한 내용은 다음 리소스를 참조하세요.

© 2004 Microsoft Corporation. All rights reserved.

이 문서는 예비 문서이며 시간이 지남에 따라 크게 변경될 수 있습니다. 이 문서에 포함된 정보는 게시 날짜 당시 논의된 문제에 대한 Microsoft Corporation의 현재 관점을 나타냅니다. Microsoft는 변화하는 시장 상황에 대응해야 하므로 Microsoft와 Microsoft의 약정으로 해석되어서는 안 되며 게시 날짜 이후에 제시된 정보의 정확성을 보장할 수 없습니다.

이 문서에 포함된 정보의 프레젠테이션, 배포 또는 기타 보급은 Microsoft 및\또는 다른 제3자에서 소유하거나 제어하는 지적 재산권에 대한 라이선스가 아닙니다. Microsoft 및 기타 제3자는 이 문서의 주제를 다루는 특허, 특허 출원, 상표, 저작권 또는 기타 지적 재산권을 가질 수 있습니다. 이 문서의 제공은 Microsoft 또는 다른 제3자의 특허, 상표, 저작권 또는 기타 지적 재산권에 대한 라이선스를 제공하지 않습니다. 이 문서에 사용된 예제 회사, 조직, 제품, 도메인 이름, 전자 메일 주소, 로고, 사람, 장소 및 이벤트는 실제 데이터가 아닙니다. 어떠한 실제 회사, 기관, 제품, 도메인 이름, 전자 메일 주소, 로고, 사람, 장소 또는 이벤트와도 연관시킬 의도가 없으며 그렇게 유추해서도 안 됩니다.

본 문서 및 본 문서에 포함된 정보는 "AS IS" 기준 및 관련 법률에서 허용하는 최대 범위까지 제공되며, Microsoft는 IS 및 ALL FAULTS와 함께 문서를 제공하며, 이에 따라 명시적, 묵시적 또는 법적 조건(예: 묵시적 보증 포함)을 포함하되 이에 국한되지 않는 기타 모든 보증 및 조건을 부인합니다( 있는 경우). 업무 또는 상품성, 특정 목적에 대한 적합성, 응답의 정확성 또는 완전성, 결과, 장인 같은 노력, 바이러스 부족 및 과실 부족의 조건, 문서와 관련된 모든 것. 또한, 제목, 조용한 즐거움, 조용한 소유, 설명에 대한 서신 또는 문서와 관련된 지적 재산권의 비침해에 대한 보증이나 조건은 없습니다.

어떠한 경우에도 MICROSOFT는 본 문서와 관련된 계약, 불법 행위, 보증 또는 기타 어떤 방식으로든 발생하는 대체 상품 또는 서비스 조달 비용, 이익 손실, 사용 손실, 데이터 손실 또는 부수적, 결과적, 직접적, 간접적 또는 특별 손해에 대해 다른 당사자에게 책임을 지지 않습니다. 그러한 당사자가 그러한 손해의 가능성을 사전에 통보했는지 여부.

Microsoft 및 Microsoft Web Services는 미국 및/또는 기타 국가에서 Microsoft Corporation의 등록 상표 또는 상표입니다.

여기에 언급된 실제 회사와 제품의 이름은 각각 해당 소유자의 상표일 수 있습니다.