active directory 기반의 im 구축 방안

Copyright © 2006 Quest Software

Active Directory 기반의 IM 구축 방안

Quest Software Korea

2007. 11. 27

2

목차I. IM Service Management

IM 도입 배경 IM 추진 목적 IM 기술 동향 Position of Directory Service Service Management Issues Requirements of Service View Point of Functionality 기대 효과

II. The Quest Solutions for IM Provisioning & Admin User Interface Advance Backup & Recovery Monitoring *nix integrate with VAS

III. The Quest Solution for Exchange


IM Service Management

3

사용자 정보가 각각 시스템 별로 분산되어 관리빈번한 변경 ( 조직변경 및 입사 , 퇴사 , 변경 등 ) 으로 인한 중복관리 및 이의

정합성을 위한 관련 유지보수 프로세스가 지속적으로 증가

IM 도입 배경

계정 통합 및 Single Sign-On 으로 사용자 편의성 제공통합 시스템 접근권한관리 체제 수립으로 관리효율 향상사용자 계정관리를 위한 Helpdesk 업무 경감어플리케이션 신규 /추가 개발 시 중복투자 방지

DirectoryDirectory

Access ControlAccess Control

Meta-DirectoryMeta-Directory

S.S.OS.S.O

ProvisioningProvisioningIdentity Identity

Management Management

IM 추진 목적

체계화된 정보 시스템의 운용 및 인프라 고도화를 위해 사용자 계정 및 권한체계를 사용자 및 디바이스 중심으로 통합하는 방향으로 진화

IM 기술 동향

7

Position of Directory Service

•사용자 /PC Lockdown•사용자 /PC 인증 강화( 스마트카드 /생체인증 )

통합 디렉터리 서비스

통합 계정 관리 시스템

•인증제어•SSO•Legacy IAM

기존 시스템 (HR…)

인사연동

PC 및 사용자 환경 표준화

•AD 를 통한 통합 계정관리•GPO 제어

UNIX

•네트워크 차단•VPN 접속

네트워크자원

Kerberos 연동모듈

Unix 제어 모듈

•App Access Management

ApplicationAccessRepository

EAM

WhitePagesWhitePages

정책기반자원 관리

고도화된 Directory 서비스 인프라는 강화된 인증을 기반으로 역할 기반의 권한관리 , 네트워크 보안 , 자원관리 , 이기종 디렉터리 통합 등을 통해 비즈니스 지향적인 서비스 제공을 가능하게 함

MS 플랫폼

변경 이력 관리배포 ( 버전 ) 관리장애 대응 관리다중 시스템 연동글로벌 환경 지원( 다국어 인터페이스 )Role Base 권한관리암호 관리모니터링

Service Management Issues

8

통합 계정 관리 시스템 및 프로세스 구축 기존 시스템 (HR…)

계정관리 workflow인사연동

Master Directory

Service Issue

Directory Service 에 대한 Management 관점에서 Issue 를 도출

가용성 확보변화 요구에 대한 유연성쉬운 인터페이스안전한 서비스저렴한 서비스 비용

Identity Management

Requirements of Directory Service

9

IM 서비스의 운영상 이슈를 요구사항으로 재 정의 함

계정 변경 이력 추적 필요

( 누가 , 언제 , 무엇을 , 어떻게 , 왜 / 생성 , 수정 , 삭제를

했는가 ?)신속한 장애 복구 및 각 객체에 대한 세부 단위 속성별 및

온라인 복구

Role Base 관리 위임을 위한 템플릿이 제공 되어야 함

Global Site 를 위한 다국어 지원이 가능 하여야 함

사용자 수준에서의 암호 관리 인터페이스 필요

수시로 변하는 비즈니스 환경 변화에 서비스는 유연하게

대응할 수 있는 구조여야 함

Reporting 및 Multi Format 보고서 필요

Viewpoint of Functionality

10

정책 변화에 대한 유연성 Rule Base Control

Provisioning & Admin

Global Site 를 위한 다국어 지원

개인정보 및 암호관리를 위한 Self Service Interface

User Interface

온라인 복원 지원 세부 속성별 복원

Advanced Backup & Recovery

감사 및 개체 정보 변경에 대한 History

Reporting

IM 서비스의 비즈니스적 요구 사항을 기능적으로 재 정의 함

10

11

IT Staff•조직 변경 및 프로비져닝 변경 사항에 대해 관리자 수준에서 유연하게 대응 가능 •정책 기반의 운영 프로세스 적용

CIO

User•허용된 개인 정보에 대해 Self Service 페이지를 통해 스스로 업데이트 처리 (Workflow 연동 )•불필요한 Help Desk 요청 감소 ( 암호 관리 )

IT Staff

User

CIO•리포팅 (Status), Change History Monitoring•Audit 을 위한 인프라 확보

Quest

Identity Management Infrastructure 의 고도화는 CIO, IT Staff, User 모두에게 모니터링 , 운영 , 정보 관리의 편의성 측면에서 다양한 이점을 제공 합니다

기대 효과


The Quest solution for IM

12


13

ARS Server

Active Directory

(HR…)

AD 를 통한 통합 계정관리GPO 제어

UNIX

네트워크 차단VPN 접속

네트워크자원

App Access Management

ApplicationAccessRepository

EAM

MS 플랫폼 서버군 지원(Exchange, LCS, SMS, SQL, MOM…)

정책기반자원 관리

Legacy Application

Directory Provisioning 정책 변화에 유연한 GUI 기반의 인터페이스Microsoft ILM(MIIS) 서버와 연동하여 이기종 및 3rd Application 에 대한 양방향 Sync 제공

ILM 2007

MS 플랫폼

14

AD Architect

Sr. Administrator

OU Administrators

Help Desk

End userSelf-Service

Administrator Role• Full Control on All Objects

Associate Administrator Role• Create Accounts and Groups• Reset Passwords, Unlock Accounts

Self-Service Role• Update personal Information• Request Changes

Templates

org.com

Builtin

Central

Computers

Domain Controllers

임직원

Users

파트너

지원센터

운영본부

임시직

Administrative Rights Roles Access

사전 정의된 Template 기반의 관리 권한 위임 및 결과에 대한 직관적 View 제공


15


Object Class = OUTitle = “ 부장”

Membership RuleObject Class = OUTitle = “ 이사”

Membership RuleObject Class = OUTitle = “ 상무”

Membership Rule ( 직급별 )

Object Class = UserOfficeLocation“ 거제”

Membership RuleObject Class = UserOfficeLocation“ 서울”

Membership Rule ( 근무지별 )

MU(Managed Unit)MU(Managed Unit)MU(Managed Unit)MU(Managed Unit)Organizational UnitsOrganizational UnitsOrganizational UnitsOrganizational Units

본사

거제

영업부

직속기관

신사업부

생산부

영업 1 팀

영업 2 팀

영업 3 팀

비서실

기획처

홍보실

에너지 사업부

환경 사업부

생산 1 팀

생산 2 팀

물리적인 OU 구조에서 다중 관점을 반영한 논리적 View(MU) 제공MU 는 관리적 , 비즈니스적 관점 등 물리적 구조와 무관하게 구성 가능

16

ARS Server

Global 기업을 위한 다중 Forest, 다중 도메인 환경을 단일 콘솔에서 제어 가능다중 도메인 리소스에 대한 가상 조직화가 가능하고 관리 위임 및 권한 부여가 가능 함다중 Forest, 다중 도메인 환경에서 관리의 일관성 유지 제공

Single View

Active Director

y

서울서울천안천안

부산부산


17

User Interface

Global Site 고객을 위한 다국어 인터페이스 제공 (Admin, Self Service, Help Desk Web Site)

전세계 13 개 국어에 대한 다중 인터페이스 제공 ( 소개 제품 공통 사항 )

1818

User

승인권자

13 개국어로 제공되는 Self Service Web Page

User Interface

허가된 사용자 수준의 정보 수정은 필요 시 내장된 Workflow 프로세스와 연동 가능모든 사용자 행위에 대한 상세 로그 관리 및 View 제공

19

• Client Side 지원은 Password Manager 의 GINA Extension 과 Web Interface 형태로 제공

• Windows Vista 까지 지원 가능

OU 별 별도 암호 정책 적용 가능 ( 도메인 전체 정책과 별도 )

암호 분실 시 질의 / 응답을 통해 개인 암호 초기화 가능 (Help Desk 개입 불필요 )

한글 및 최신 OS 지원

User Interface

Recovery Manager 는 Active Directory 를 복구 시 중단 시간을 최소화할 수 있도록 세부 항목별 (User, Group, Computer, Group Policy 등 ), 속성별 온라인 복원 방법을 제공

Advance Backup & Recovery

20

21

Intrust 는 다중 시스템의 기본적인 이벤트 및 로그와 함께 AD 객체 , Exchange Server, File Access 에 대한 상세 정보를 중앙으로 취합하고 모니터 하며 리포팅 합니다

Intrust Server

Plugin for AD

Plugin for File access

Plugin for Exchange

Reporting (Audit)

22

Active Directory 내 개체의 Activity 에 대한 리포팅 가능작성된 리포트는 다양한 형태로 Export 가능 (HTML, XLS, XML, PDF 등 )

Reporting

23

Active Directory 영역을 VAS 를 통해 이기종 시스템 환경으로 확장이기종 시스템은 Active Directory Kerberos 인증 영역에 완벽하게 통합 됨으로써 AD 관리 콘솔상에서 통합 제어 가능 ( 사용자 계정 , 시스템 계정 , 관리 정책 (GPO) 등… )

*nix Integrate with VAS

Vintela Authentication Service


통합된 Unix 계열 서버는 Windows 서버와 함께 AD 관리 콘솔상에서 통합 관리AD 의 GPO 를 Unix 계열 시스템까지 확장 적용 가능 (VAS Function)

Quest


workgroup

MIS 공정관리

Master Directory

기 운영중인 기간계 시스템 중 Unix 계열 120 여대와 Workgroup Windows 서버 70 여대를 VAS 를 통해 Active Directory Kerberos 인증 및 관리 영역으로 통합 각 시스템별 계정 ( 시스템별 약 400 여개 ) 디렉터리를 Active Directory 로 단일 화

Vintela Authentication Service

26

Products Summary

ARS(ActiveRoles Server)

AD Auto Provisioning & Management

Reporting

Password Manager Password Self

Control Reporting

RMAD(Recovery Manager for AD)

Online Recovery Attribute level

Recovery

VAS(Vintela Authentication Service)

*nix Directory Integration with AD


The Quest solution for Exchange

27

Exchange Server 운영에 대한 다양한 통계 데이터 제공현황 분석 , 추이 분석을 통해 시스템 Planning 을 위한 정보등을 제공

조직별 DB 사용 현황1 위 : 설비 기술팀2 위 : 연구소 3 위 : 시운전 1 팀 4 위 : 시운전 2 팀 …

MessageStats

.

Exchange Server 2007Exchange Server 2007 보고서 생성보고서 생성 자동 배포자동 배포

추출된 정보를 다양한 형태로 이해 관계자에게 제공Exchange 2007 까지 지원

MessageStats

RecoveryRecovery ManagerManager forfor ExchangeExchange

“ 개별 Exchange 항목 복구 요청 ( 연락처 , 일정 , 메시지 , 등 )”

ChallengeChallengeCompliance:Compliance:

Internal HR and other internal investigationsRegulatory compliance investigationsLegal compliance investigations (lawsuits)

Message-Level Message-Level RecoveryRecovery

mistakenly deleted mail items

RecoveryRecovery ManagementManagement

QuestQuest RecoveryRecovery ManagerManager forfor ExchangeExchange

easily find and retrieve Exchange items from years-old archives.enables discovery & recovery

from backups or offline Exchange databases.

Accelerated Item RecoveryAccelerated Item RecoveryQuest Recovery Manager for Exchange allows individual, message-level items.

LoweredLowered RecoveryRecoverySimplify recover all Exchange content.

SolutionSolution

BenefitsBenefits

Discover and recover message-level data for legal, legal, compliance compliance (SEC, HIPAA, Sarbanes-Oxley) or HR investigationsRetrieve deleted Exchange data from any version of Exchange without need for recovery storage groups, recovery servers, or brick-level backupsSophisticated search to enable discoveryExtensive Automation for large-scale projects

Recovery Manager for Exchange

E- E- 메일검색메일검색Keyword Keyword 검색검색

Message Message 복구복구

첨부 파일 검색 첨부 파일 검색 첨부 파일 복구첨부 파일 복구

사서함 단위 복구사서함 단위 복구 공용 폴더 복구공용 폴더 복구

Exchange Exchange 백업백업 Offline DBOffline DB PST filePST file

.edb

.stm

Backup media

다양한 포맷의 데이터로부터 온라인으로 조건별 신속한 메시지 복원 ( 본문 , 첨부파일 문자열 검색 지원 )

복원 서버 준비 없이 복구 메시지 추출 가능 (PST, EML)

Recovery Manager for Exchange


Quest Migration Manager

QMM 은 크게 아래의 두가지 제품으로 구성되어 있습니다 Quest Migration Manager for Active Directory Quest Migration Manager for Exchange

QMM for AD 단일 Forest 내 또는 Forest 사이에서 AD 개체에 대해 도메인

사이의 마이그레이션을 지원 ( 사용자 ( 암호 ), 그룹 , 컴퓨터 , 사이트 )

Windows 2003 Native Mode 까지 지원클라이언트 프로파일 마이그레이션 지원

QMM for Exchange Exchange ORG 사이에서 메일박스와 공용폴더에 대한

마이그레이션을 지원 Exchange 2007 까지 지원

QMM (Quest Migration Manager) 소개

34

Quest Migration for AD 는 사용자 , 그룹 , 컴퓨터를 대상 도메인으로 마이그레이션도메인에 조인된 시스템은 도메인 변경 및 프로파일 마이그레이션 지원

QMM for AD Architecture

35

Source Domain

QMM Server

DomainController

Exchange Server 2003 or 2007

Internet

DomainController

Exchange Server 2000 or 2003

Target Domain

Real time Sync

도메인 마이그레이션이 완료된 사용자는 동기화 된 정보를 사용

QMM for Exchange Architecture

Quest Migration Manager for AD 는 신규 구축 후 정보 이전 ,

도메인 분할 , AD 구조 변경 등 다양한 경우에 활용 할 수

있습니다

Quest Migration Manager for AD 는 클라이언트 환경까지

사용자 개입없이 마이그레이션을 진행 할 수 있습니다 . ( 사용자

개인 프로파일 포함 )

Quest Migration Manager for Exchange 는 기존 시스템을

유지 하면서 새로운 시스템으로 메일박스 이행을 지원 합니다 .

사용자는 아웃룩 프로파일 변경에 따른 변화를 전혀 인지하지

못하게 진행 할 수 있습니다 .

아웃룩 프로파일 이전은 AD 의 GPO 등을 통해 사용자 개입 없이

진행이 가능 합니다 .

36

Benefit

Product 주요 기능 비고

ActiveRoles Server (With Quick Connect)

AD 관리 자동화 및 HR 연동 IDM Core Product

Password Manager Password 관리 기능 위임 및 복수 정책 지원

HelpDesk Support

Group Policy Manager Group Policy 버전 컨트롤 및 Roll-back 지원

Operation

Recovery Manager for Exchange Exchange 세부 항목 별 온라인 복구 (검색 복구 )

Operation

Recovery Manager for AD AD 상세 항목별 온라인 복구 Operation

Migration Manager for AD AD 재구성 , AD 객체 이전 , 클라이언트 이전 (Inter Domain)

Migration

Migration Manager for Exchange Exchange 서버 이전 및 데이터 이전 (Inter Domain)

Migration

Intrust 객체 변경 및 접근에 대한 이기종 통합 감사

Audit

37

Quest Product Lists


Q & A

감사 합니다

active directory 기반의 im 구축 방안

Documents