active directory 기반의 im 구축 방안
DESCRIPTION
Active Directory 기반의 IM 구축 방안. 2007. 11. 27. Quest Software Korea. 목차. IM Service Management IM 도입 배경 IM 추진 목적 IM 기술 동향 Position of Directory Service Service Management Issues Requirements of Service View Point of Functionality 기대 효과 The Quest Solutions for IM - PowerPoint PPT PresentationTRANSCRIPT
2
목차I. IM Service Management
IM 도입 배경 IM 추진 목적 IM 기술 동향 Position of Directory Service Service Management Issues Requirements of Service View Point of Functionality 기대 효과
II. The Quest Solutions for IM Provisioning & Admin User Interface Advance Backup & Recovery Monitoring *nix integrate with VAS
III. The Quest Solution for Exchange
사용자 정보가 각각 시스템 별로 분산되어 관리빈번한 변경 ( 조직변경 및 입사 , 퇴사 , 변경 등 ) 으로 인한 중복관리 및 이의
정합성을 위한 관련 유지보수 프로세스가 지속적으로 증가
IM 도입 배경
계정 통합 및 Single Sign-On 으로 사용자 편의성 제공통합 시스템 접근권한관리 체제 수립으로 관리효율 향상사용자 계정관리를 위한 Helpdesk 업무 경감어플리케이션 신규 /추가 개발 시 중복투자 방지
DirectoryDirectory
Access ControlAccess Control
Meta-DirectoryMeta-Directory
S.S.OS.S.O
ProvisioningProvisioningIdentity Identity
Management Management
IM 추진 목적
7
Position of Directory Service
•사용자 /PC Lockdown•사용자 /PC 인증 강화( 스마트카드 /생체인증 )
통합 디렉터리 서비스
통합 계정 관리 시스템
•인증제어•SSO•Legacy IAM
기존 시스템 (HR…)
인사연동
PC 및 사용자 환경 표준화
•AD 를 통한 통합 계정관리•GPO 제어
UNIX
•네트워크 차단•VPN 접속
네트워크자원
Kerberos 연동모듈
Unix 제어 모듈
•App Access Management
ApplicationAccessRepository
EAM
WhitePagesWhitePages
정책기반자원 관리
고도화된 Directory 서비스 인프라는 강화된 인증을 기반으로 역할 기반의 권한관리 , 네트워크 보안 , 자원관리 , 이기종 디렉터리 통합 등을 통해 비즈니스 지향적인 서비스 제공을 가능하게 함
MS 플랫폼
변경 이력 관리배포 ( 버전 ) 관리장애 대응 관리다중 시스템 연동글로벌 환경 지원( 다국어 인터페이스 )Role Base 권한관리암호 관리모니터링
Service Management Issues
8
통합 계정 관리 시스템 및 프로세스 구축 기존 시스템 (HR…)
계정관리 workflow인사연동
Master Directory
Service Issue
Directory Service 에 대한 Management 관점에서 Issue 를 도출
가용성 확보변화 요구에 대한 유연성쉬운 인터페이스안전한 서비스저렴한 서비스 비용
Identity Management
Requirements of Directory Service
9
IM 서비스의 운영상 이슈를 요구사항으로 재 정의 함
계정 변경 이력 추적 필요
( 누가 , 언제 , 무엇을 , 어떻게 , 왜 / 생성 , 수정 , 삭제를
했는가 ?)신속한 장애 복구 및 각 객체에 대한 세부 단위 속성별 및
온라인 복구
Role Base 관리 위임을 위한 템플릿이 제공 되어야 함
Global Site 를 위한 다국어 지원이 가능 하여야 함
사용자 수준에서의 암호 관리 인터페이스 필요
수시로 변하는 비즈니스 환경 변화에 서비스는 유연하게
대응할 수 있는 구조여야 함
Reporting 및 Multi Format 보고서 필요
Viewpoint of Functionality
10
정책 변화에 대한 유연성 Rule Base Control
Provisioning & Admin
Global Site 를 위한 다국어 지원
개인정보 및 암호관리를 위한 Self Service Interface
User Interface
온라인 복원 지원 세부 속성별 복원
Advanced Backup & Recovery
감사 및 개체 정보 변경에 대한 History
Reporting
IM 서비스의 비즈니스적 요구 사항을 기능적으로 재 정의 함
10
11
IT Staff•조직 변경 및 프로비져닝 변경 사항에 대해 관리자 수준에서 유연하게 대응 가능 •정책 기반의 운영 프로세스 적용
CIO
User•허용된 개인 정보에 대해 Self Service 페이지를 통해 스스로 업데이트 처리 (Workflow 연동 )•불필요한 Help Desk 요청 감소 ( 암호 관리 )
IT Staff
User
CIO•리포팅 (Status), Change History Monitoring•Audit 을 위한 인프라 확보
Quest
Identity Management Infrastructure 의 고도화는 CIO, IT Staff, User 모두에게 모니터링 , 운영 , 정보 관리의 편의성 측면에서 다양한 이점을 제공 합니다
기대 효과
Provisioning & Admin
13
ARS Server
Active Directory
(HR…)
AD 를 통한 통합 계정관리GPO 제어
UNIX
네트워크 차단VPN 접속
네트워크자원
App Access Management
ApplicationAccessRepository
EAM
MS 플랫폼 서버군 지원(Exchange, LCS, SMS, SQL, MOM…)
정책기반자원 관리
Legacy Application
Directory Provisioning 정책 변화에 유연한 GUI 기반의 인터페이스Microsoft ILM(MIIS) 서버와 연동하여 이기종 및 3rd Application 에 대한 양방향 Sync 제공
ILM 2007
MS 플랫폼
14
AD Architect
Sr. Administrator
OU Administrators
Help Desk
End userSelf-Service
Administrator Role• Full Control on All Objects
Associate Administrator Role• Create Accounts and Groups• Reset Passwords, Unlock Accounts
Self-Service Role• Update personal Information• Request Changes
Templates
org.com
Builtin
Central
Computers
Domain Controllers
임직원
Users
파트너
지원센터
운영본부
임시직
Administrative Rights Roles Access
사전 정의된 Template 기반의 관리 권한 위임 및 결과에 대한 직관적 View 제공
Provisioning & Admin
15
Provisioning & Admin
Object Class = OUTitle = “ 부장”
Membership RuleObject Class = OUTitle = “ 이사”
Membership RuleObject Class = OUTitle = “ 상무”
Membership Rule ( 직급별 )
Object Class = UserOfficeLocation“ 거제”
Membership RuleObject Class = UserOfficeLocation“ 서울”
Membership Rule ( 근무지별 )
MU(Managed Unit)MU(Managed Unit)MU(Managed Unit)MU(Managed Unit)Organizational UnitsOrganizational UnitsOrganizational UnitsOrganizational Units
본사
거제
영업부
직속기관
신사업부
생산부
영업 1 팀
영업 2 팀
영업 3 팀
비서실
기획처
홍보실
에너지 사업부
환경 사업부
생산 1 팀
생산 2 팀
물리적인 OU 구조에서 다중 관점을 반영한 논리적 View(MU) 제공MU 는 관리적 , 비즈니스적 관점 등 물리적 구조와 무관하게 구성 가능
16
ARS Server
Global 기업을 위한 다중 Forest, 다중 도메인 환경을 단일 콘솔에서 제어 가능다중 도메인 리소스에 대한 가상 조직화가 가능하고 관리 위임 및 권한 부여가 가능 함다중 Forest, 다중 도메인 환경에서 관리의 일관성 유지 제공
Single View
Active Director
y
서울서울천안천안
부산부산
Provisioning & Admin
17
User Interface
Global Site 고객을 위한 다국어 인터페이스 제공 (Admin, Self Service, Help Desk Web Site)
전세계 13 개 국어에 대한 다중 인터페이스 제공 ( 소개 제품 공통 사항 )
1818
User
승인권자
13 개국어로 제공되는 Self Service Web Page
User Interface
허가된 사용자 수준의 정보 수정은 필요 시 내장된 Workflow 프로세스와 연동 가능모든 사용자 행위에 대한 상세 로그 관리 및 View 제공
19
• Client Side 지원은 Password Manager 의 GINA Extension 과 Web Interface 형태로 제공
• Windows Vista 까지 지원 가능
OU 별 별도 암호 정책 적용 가능 ( 도메인 전체 정책과 별도 )
암호 분실 시 질의 / 응답을 통해 개인 암호 초기화 가능 (Help Desk 개입 불필요 )
한글 및 최신 OS 지원
User Interface
Recovery Manager 는 Active Directory 를 복구 시 중단 시간을 최소화할 수 있도록 세부 항목별 (User, Group, Computer, Group Policy 등 ), 속성별 온라인 복원 방법을 제공
Advance Backup & Recovery
20
21
Intrust 는 다중 시스템의 기본적인 이벤트 및 로그와 함께 AD 객체 , Exchange Server, File Access 에 대한 상세 정보를 중앙으로 취합하고 모니터 하며 리포팅 합니다
Intrust Server
Plugin for AD
Plugin for File access
Plugin for Exchange
Reporting (Audit)
22
Active Directory 내 개체의 Activity 에 대한 리포팅 가능작성된 리포트는 다양한 형태로 Export 가능 (HTML, XLS, XML, PDF 등 )
Reporting
23
Active Directory 영역을 VAS 를 통해 이기종 시스템 환경으로 확장이기종 시스템은 Active Directory Kerberos 인증 영역에 완벽하게 통합 됨으로써 AD 관리 콘솔상에서 통합 제어 가능 ( 사용자 계정 , 시스템 계정 , 관리 정책 (GPO) 등… )
*nix Integrate with VAS
Vintela Authentication Service
*nix Integrate with VAS
통합된 Unix 계열 서버는 Windows 서버와 함께 AD 관리 콘솔상에서 통합 관리AD 의 GPO 를 Unix 계열 시스템까지 확장 적용 가능 (VAS Function)
Quest
*nix Integrate with VAS
workgroup
MIS 공정관리
Master Directory
기 운영중인 기간계 시스템 중 Unix 계열 120 여대와 Workgroup Windows 서버 70 여대를 VAS 를 통해 Active Directory Kerberos 인증 및 관리 영역으로 통합 각 시스템별 계정 ( 시스템별 약 400 여개 ) 디렉터리를 Active Directory 로 단일 화
Vintela Authentication Service
26
Products Summary
ARS(ActiveRoles Server)
AD Auto Provisioning & Management
Reporting
Password Manager Password Self
Control Reporting
RMAD(Recovery Manager for AD)
Online Recovery Attribute level
Recovery
VAS(Vintela Authentication Service)
*nix Directory Integration with AD
Exchange Server 운영에 대한 다양한 통계 데이터 제공현황 분석 , 추이 분석을 통해 시스템 Planning 을 위한 정보등을 제공
조직별 DB 사용 현황1 위 : 설비 기술팀2 위 : 연구소 3 위 : 시운전 1 팀 4 위 : 시운전 2 팀 …
MessageStats
.
Exchange Server 2007Exchange Server 2007 보고서 생성보고서 생성 자동 배포자동 배포
추출된 정보를 다양한 형태로 이해 관계자에게 제공Exchange 2007 까지 지원
MessageStats
RecoveryRecovery ManagerManager forfor ExchangeExchange
“ 개별 Exchange 항목 복구 요청 ( 연락처 , 일정 , 메시지 , 등 )”
ChallengeChallengeCompliance:Compliance:
Internal HR and other internal investigationsRegulatory compliance investigationsLegal compliance investigations (lawsuits)
Message-Level Message-Level RecoveryRecovery
mistakenly deleted mail items
RecoveryRecovery ManagementManagement
QuestQuest RecoveryRecovery ManagerManager forfor ExchangeExchange
easily find and retrieve Exchange items from years-old archives.enables discovery & recovery
from backups or offline Exchange databases.
Accelerated Item RecoveryAccelerated Item RecoveryQuest Recovery Manager for Exchange allows individual, message-level items.
LoweredLowered RecoveryRecoverySimplify recover all Exchange content.
SolutionSolution
BenefitsBenefits
Discover and recover message-level data for legal, legal, compliance compliance (SEC, HIPAA, Sarbanes-Oxley) or HR investigationsRetrieve deleted Exchange data from any version of Exchange without need for recovery storage groups, recovery servers, or brick-level backupsSophisticated search to enable discoveryExtensive Automation for large-scale projects
Recovery Manager for Exchange
E- E- 메일검색메일검색Keyword Keyword 검색검색
Message Message 복구복구
첨부 파일 검색 첨부 파일 검색 첨부 파일 복구첨부 파일 복구
사서함 단위 복구사서함 단위 복구 공용 폴더 복구공용 폴더 복구
Exchange Exchange 백업백업 Offline DBOffline DB PST filePST file
.edb
.stm
Backup media
다양한 포맷의 데이터로부터 온라인으로 조건별 신속한 메시지 복원 ( 본문 , 첨부파일 문자열 검색 지원 )
복원 서버 준비 없이 복구 메시지 추출 가능 (PST, EML)
Recovery Manager for Exchange
QMM 은 크게 아래의 두가지 제품으로 구성되어 있습니다 Quest Migration Manager for Active Directory Quest Migration Manager for Exchange
QMM for AD 단일 Forest 내 또는 Forest 사이에서 AD 개체에 대해 도메인
사이의 마이그레이션을 지원 ( 사용자 ( 암호 ), 그룹 , 컴퓨터 , 사이트 )
Windows 2003 Native Mode 까지 지원클라이언트 프로파일 마이그레이션 지원
QMM for Exchange Exchange ORG 사이에서 메일박스와 공용폴더에 대한
마이그레이션을 지원 Exchange 2007 까지 지원
QMM (Quest Migration Manager) 소개
34
Quest Migration for AD 는 사용자 , 그룹 , 컴퓨터를 대상 도메인으로 마이그레이션도메인에 조인된 시스템은 도메인 변경 및 프로파일 마이그레이션 지원
QMM for AD Architecture
35
Source Domain
QMM Server
DomainController
Exchange Server 2003 or 2007
Internet
DomainController
Exchange Server 2000 or 2003
Target Domain
Real time Sync
도메인 마이그레이션이 완료된 사용자는 동기화 된 정보를 사용
QMM for Exchange Architecture
Quest Migration Manager for AD 는 신규 구축 후 정보 이전 ,
도메인 분할 , AD 구조 변경 등 다양한 경우에 활용 할 수
있습니다
Quest Migration Manager for AD 는 클라이언트 환경까지
사용자 개입없이 마이그레이션을 진행 할 수 있습니다 . ( 사용자
개인 프로파일 포함 )
Quest Migration Manager for Exchange 는 기존 시스템을
유지 하면서 새로운 시스템으로 메일박스 이행을 지원 합니다 .
사용자는 아웃룩 프로파일 변경에 따른 변화를 전혀 인지하지
못하게 진행 할 수 있습니다 .
아웃룩 프로파일 이전은 AD 의 GPO 등을 통해 사용자 개입 없이
진행이 가능 합니다 .
36
Benefit
Product 주요 기능 비고
ActiveRoles Server (With Quick Connect)
AD 관리 자동화 및 HR 연동 IDM Core Product
Password Manager Password 관리 기능 위임 및 복수 정책 지원
HelpDesk Support
Group Policy Manager Group Policy 버전 컨트롤 및 Roll-back 지원
Operation
Recovery Manager for Exchange Exchange 세부 항목 별 온라인 복구 (검색 복구 )
Operation
Recovery Manager for AD AD 상세 항목별 온라인 복구 Operation
Migration Manager for AD AD 재구성 , AD 객체 이전 , 클라이언트 이전 (Inter Domain)
Migration
Migration Manager for Exchange Exchange 서버 이전 및 데이터 이전 (Inter Domain)
Migration
Intrust 객체 변경 및 접근에 대한 이기종 통합 감사
Audit
37
Quest Product Lists