390 likes | 869 Views
Active Directory 기반의 IM 구축 방안. 2007. 11. 27. Quest Software Korea. 목차. IM Service Management IM 도입 배경 IM 추진 목적 IM 기술 동향 Position of Directory Service Service Management Issues Requirements of Service View Point of Functionality 기대 효과 The Quest Solutions for IM
E N D
Active Directory 기반의 IM 구축 방안 2007. 11. 27 Quest Software Korea
목차 • IM Service Management • IM 도입 배경 • IM 추진 목적 • IM기술 동향 • Position of Directory Service • Service Management Issues • Requirements of Service • View Point of Functionality • 기대 효과 • The Quest Solutions for IM • Provisioning & Admin • User Interface • Advance Backup & Recovery • Monitoring • *nix integrate with VAS • III. The Quest Solution for Exchange
IM 도입 배경 사용자 정보가 각각 시스템 별로 분산되어 관리 빈번한 변경 (조직변경 및 입사,퇴사,변경 등)으로 인한 중복관리 및 이의 정합성을 위한 관련 유지보수 프로세스가 지속적으로 증가
Access Control Directory Meta-Directory S.S.O Identity Management Provisioning IM 추진 목적 계정 통합 및 Single Sign-On으로 사용자 편의성 제공 통합 시스템 접근권한관리 체제 수립으로 관리효율 향상 사용자 계정관리를 위한 Helpdesk 업무 경감 어플리케이션 신규/추가 개발 시 중복투자 방지
IM 기술 동향 체계화된 정보 시스템의 운용 및 인프라 고도화를 위해 사용자 계정 및 권한체계를 사용자 및 디바이스 중심으로 통합하는 방향으로 진화
MS 플랫폼 서버군 지원 • (Exchange, LCS, SMS, SQL, MOM…) Position of Directory Service 고도화된 Directory 서비스 인프라는 강화된 인증을 기반으로 역할 기반의 권한관리, 네트워크 보안, 자원관리, 이기종 디렉터리 통합 등을 통해 비즈니스 지향적인 서비스 제공을 가능하게 함 기존 시스템(HR…) • 인증제어 • SSO • Legacy IAM 인사연동 통합 계정 관리 시스템 PC 및 사용자 환경 표준화 통합 디렉터리 서비스 • 사용자/PC Lockdown • 사용자/PC 인증 강화(스마트카드/생체인증) Kerberos 연동모듈 Unix 제어 모듈 White Pages MS 플랫폼 자원 네트워크 UNIX EAM Application Access Repository • App Access Management 정책기반자원 관리 • 네트워크 차단 • VPN 접속 • AD를 통한 통합 계정관리 • GPO 제어
Service Management Issues Directory Service에 대한 Management 관점에서 Issue를 도출 기존 시스템(HR…) Service Issue • 변경 이력 관리 • 배포(버전) 관리 • 장애 대응 관리 • 다중 시스템 연동 • 글로벌 환경 지원(다국어 인터페이스) • Role Base 권한관리 • 암호 관리 • 모니터링 • 가용성 확보 • 변화 요구에 대한 유연성 • 쉬운 인터페이스 • 안전한 서비스 • 저렴한 서비스 비용 Identity Management 통합 계정 관리 시스템 및 프로세스 구축 인사연동 계정관리 workflow Master Directory
Requirements of Directory Service IM 서비스의 운영상 이슈를 요구사항으로 재 정의 함 • 계정 변경 이력 추적 필요(누가, 언제, 무엇을, 어떻게, 왜 / 생성, 수정, 삭제를 했는가?) • 신속한 장애 복구 및 각 객체에 대한 세부 단위 속성별 및 온라인 복구 • Role Base 관리 위임을 위한 템플릿이 제공 되어야 함 • Global Site를 위한 다국어 지원이 가능 하여야 함 • 수시로 변하는 비즈니스 환경 변화에 서비스는 유연하게 대응할 수 있는 구조여야 함 • 사용자 수준에서의 암호 관리 인터페이스 필요 • Reporting 및 Multi Format 보고서 필요
Viewpoint of Functionality IM 서비스의 비즈니스적 요구 사항을 기능적으로 재 정의 함 • 정책 변화에 대한 유연성 • Rule Base Control Provisioning & Admin • Global Site를 위한 다국어 지원 • 개인정보 및 암호관리를 위한 Self Service Interface User Interface Advanced Backup & Recovery • 온라인 복원 지원 • 세부 속성별 복원 • 감사 및 개체 정보 변경에 대한 History Reporting 9
기대 효과 • Identity Management Infrastructure의 고도화는 CIO, IT Staff, User 모두에게 모니터링, 운영, 정보 관리의 편의성 측면에서 다양한 이점을 제공 합니다 CIO • CIO • 리포팅(Status), Change History Monitoring • Audit을 위한 인프라 확보 Quest • User • 허용된 개인 정보에 대해 Self Service 페이지를 통해 스스로 업데이트 처리 (Workflow 연동) • 불필요한 Help Desk 요청 감소 (암호 관리) IT Staff User • IT Staff • 조직 변경 및 프로비져닝 변경 사항에 대해 관리자 수준에서 유연하게 대응 가능 • 정책 기반의 운영 프로세스 적용
MS 플랫폼 서버군 지원 (Exchange, LCS, SMS, SQL, MOM…) Provisioning & Admin • Directory Provisioning 정책 변화에 유연한 GUI 기반의 인터페이스 • Microsoft ILM(MIIS) 서버와 연동하여 이기종 및 3rd Application에 대한 양방향 Sync 제공 ARS Server (HR…) ILM 2007 Active Directory Legacy Application MS 플랫폼 자원 네트워크 UNIX EAM Application Access Repository App Access Management AD를 통한 통합 계정관리 GPO 제어 정책기반자원 관리 네트워크 차단 VPN 접속
Provisioning & Admin • 사전 정의된 Template 기반의 관리 권한 위임 및 결과에 대한 직관적 View 제공 org.com AD Architect Templates Builtin Sr. Administrator Central • Administrator Role • Full Control on All Objects Computers Domain Controllers OU Administrators 임직원 • Associate Administrator Role • Create Accounts and Groups • Reset Passwords, Unlock Accounts 임시직 Users Help Desk 파트너 지원센터 • Self-Service Role • Update personal Information • Request Changes End user Self-Service 운영본부 Administrative Rights Roles Access
Provisioning & Admin • 물리적인 OU 구조에서 다중 관점을 반영한 논리적 View(MU) 제공 • MU는 관리적, 비즈니스적 관점 등 물리적 구조와 무관하게 구성 가능 Organizational Units MU(Managed Unit) Membership Rule (직급별) Membership Rule Membership Rule 본사 Object Class = OU Title = “이사” Object Class = OU Title = “상무” Object Class = OU Title = “부장” 영업부 영업1팀 영업2팀 영업3팀 신사업부 에너지 사업부 환경 사업부 거제 직속기관 비서실 기획처 Membership Rule (근무지별) Membership Rule 홍보실 Object Class = User OfficeLocation“거제” Object Class = User OfficeLocation“서울” 생산부 생산1팀 생산2팀
Provisioning & Admin • Global 기업을 위한 다중 Forest, 다중 도메인 환경을 단일 콘솔에서 제어 가능 • 다중 도메인 리소스에 대한 가상 조직화가 가능하고 관리 위임 및 권한 부여가 가능 함 • 다중 Forest, 다중 도메인 환경에서 관리의 일관성 유지 제공 ARS Server 천안 Single View 서울 부산 Active Directory
User Interface • Global Site 고객을 위한 다국어 인터페이스 제공 (Admin, Self Service, Help Desk Web Site) • 전세계 13개 국어에 대한 다중 인터페이스 제공 (소개 제품 공통 사항)
User Interface • 허가된 사용자 수준의 정보 수정은 필요 시 내장된 Workflow 프로세스와 연동 가능 • 모든 사용자 행위에 대한 상세 로그 관리 및 View 제공 User 승인권자 13개국어로 제공되는 Self Service Web Page 17
User Interface • OU별 별도 암호 정책 적용 가능 (도메인 전체 정책과 별도) • 암호 분실 시 질의 / 응답을 통해 개인 암호 초기화 가능 (Help Desk 개입 불필요) • 한글 및 최신 OS 지원 • Client Side 지원은 Password Manager의 GINA Extension 과 Web Interface 형태로 제공 • Windows Vista 까지 지원 가능
Advance Backup & Recovery • Recovery Manager는 Active Directory를 복구 시 중단 시간을 최소화할 수 있도록 세부 항목별 (User, Group, Computer, Group Policy 등), 속성별온라인 복원 방법을 제공
Reporting (Audit) Intrust는 다중 시스템의 기본적인 이벤트 및 로그와 함께 AD 객체, Exchange Server, File Access에 대한 상세 정보를 중앙으로 취합하고 모니터 하며 리포팅 합니다 Intrust Server Plugin for AD Plugin for Exchange Plugin for File access
Reporting • Active Directory 내 개체의 Activity에 대한 리포팅 가능 • 작성된 리포트는 다양한 형태로 Export 가능 (HTML, XLS, XML, PDF 등)
*nix Integrate with VAS • Active Directory 영역을 VAS를 통해 이기종 시스템 환경으로 확장 • 이기종 시스템은 Active Directory Kerberos 인증 영역에 완벽하게 통합 됨으로써 AD 관리 콘솔상에서 통합 제어 가능 ( 사용자 계정, 시스템 계정, 관리 정책(GPO) 등… ) Vintela Authentication Service
*nix Integrate with VAS • 통합된 Unix 계열 서버는 Windows 서버와 함께 AD 관리 콘솔상에서 통합 관리 • AD의 GPO를 Unix 계열 시스템까지 확장 적용 가능 (VAS Function) Quest
*nix Integrate with VAS • 기 운영중인 기간계 시스템 중 Unix 계열 120여대와 Workgroup Windows서버 70여대를 VAS 를 통해 Active Directory Kerberos 인증 및 관리 영역으로 통합 • 각 시스템별 계정 (시스템별 약 400 여개) 디렉터리를 Active Directory로 단일 화 Master Directory Windows workgroup Vintela Authentication Service UNIX MIS 공정관리
Products Summary • AD Auto Provisioning & Management • Reporting ARS (ActiveRoles Server) Password Manager RMAD (Recovery Manager for AD) VAS (Vintela Authentication Service) • Password Self Control • Reporting • Online Recovery • Attribute level Recovery • *nix Directory Integration with AD
MessageStats • Exchange Server 운영에 대한 다양한 통계 데이터 제공 • 현황 분석, 추이 분석을 통해 시스템 Planning 을 위한 정보등을 제공 조직별 DB 사용 현황1위: 설비 기술팀 2위: 연구소3위: 시운전 1팀4위: 시운전 2팀 …
. MessageStats • 추출된 정보를 다양한 형태로 이해 관계자에게 제공 • Exchange 2007까지 지원 보고서 생성 자동 배포 Exchange Server 2007
Recovery Manager for Exchange Challenge Solution Benefits • Compliance: • Internal HR and other internal investigations • Regulatory compliance investigations • Legal compliance investigations (lawsuits) • Message-Level Recovery • mistakenly deleted mail items • RecoveryManagement “E-메일 자료제출 불응 땐 법적책임/ 美 플로리다 주법원, 모건스탠리社에 거액 과징금”모간 스탠리는… E-메일 제출 요구 불응.. 배심원들은 원고 승소의 평결…” “2001년 삼성전자와 인피니온은 반도체 업체인 이스라엘 모사이드에 특허 침해 혐의로 소송에 결렸다. 삼성전자는 사건의 중요한 열쇠였던 E-메일 확보에 실패, 불리한 판결을 감수해야 했다. ““최근에는 램버스가하이닉스와마이크론이 가격 담합을 위해 주고 받았다는 E-메일을 공개법정에서 유리한 고지를 확보하기도 했다.” • QuestRecoveryManagerforExchange • easily find and retrieve Exchange items from years-old archives. • enables discovery & recovery frombackupsorofflineExchangedatabases. • Accelerated Item Recovery • Quest Recovery Manager for Exchange allows individual, message-level items. • LoweredRecovery • Simplify recover all Exchange content. • Discover and recover message-level data for legal, compliance (SEC, HIPAA, Sarbanes-Oxley) or HR investigations • Retrieve deleted Exchange data from any version of Exchange without need for recovery storage groups, recovery servers, or brick-level backups • Sophisticated search to enable discovery • Extensive Automation for large-scale projects “ 개별 Exchange 항목 복구 요청(연락처, 일정, 메시지, 등)” “백업 테이프에서 메일을 복원하려고 꼬박 하루를 보내고서야 데이터가 제대로 백업되지 않았다는 것을 알았습니다. 이런 문제에 대해 생각해 본 적도 데이터 복원이 적절하게 작동되는지를 테스트해 본 적도 없었습니다. “ “AD가 없기 때문에 Exchange 복구 테스트를 해볼 수 없었습니다.“ RecoveryManagerforExchange
Recovery Manager for Exchange • 다양한 포맷의 데이터로부터 온라인으로 조건별 신속한 메시지 복원 (본문, 첨부파일 문자열 검색 지원) • 복원 서버 준비 없이 복구 메시지 추출 가능 (PST, EML) Exchange 환경 신뢰성 증가 및 기업 경쟁력 향상 .edb.stm Backup media • Exchange 백업 • Offline DB • PST file • E- 메일검색 • Keyword 검색 • Message 복구 • 첨부 파일 검색 • 첨부 파일 복구 • 사서함 단위 복구 • 공용 폴더 복구
QMM (Quest Migration Manager) 소개 • QMM은 크게 아래의 두가지 제품으로 구성되어 있습니다 • Quest Migration Manager for Active Directory • Quest Migration Manager for Exchange • QMM for AD • 단일 Forest 내 또는 Forest 사이에서 AD 개체에 대해 도메인 사이의 마이그레이션을 지원 (사용자(암호), 그룹, 컴퓨터, 사이트) • Windows 2003 Native Mode 까지 지원 • 클라이언트 프로파일 마이그레이션 지원 • QMM for Exchange • Exchange ORG 사이에서 메일박스와 공용폴더에 대한 마이그레이션을 지원 • Exchange 2007 까지 지원
QMM for AD Architecture • Quest Migration for AD는 사용자, 그룹, 컴퓨터를 대상 도메인으로 마이그레이션 • 도메인에 조인된 시스템은 도메인 변경 및 프로파일 마이그레이션 지원
QMM for Exchange Architecture • 도메인 마이그레이션이 완료된 사용자는 동기화 된 정보를 사용 Internet QMM Server Source Domain Target Domain DomainController DomainController Real time Sync Exchange Server 2000 or 2003 Exchange Server 2003 or 2007
Benefit Quest Migration Manager for AD는 신규 구축 후 정보 이전, 도메인 분할, AD 구조 변경 등 다양한 경우에 활용 할 수 있습니다 Quest Migration Manager for AD는 클라이언트 환경까지 사용자 개입없이 마이그레이션을 진행 할 수 있습니다. (사용자 개인 프로파일 포함) Quest Migration Manager for Exchange는 기존 시스템을 유지 하면서 새로운 시스템으로 메일박스 이행을 지원 합니다. 사용자는 아웃룩 프로파일 변경에 따른 변화를 전혀 인지하지 못하게 진행 할 수 있습니다. 아웃룩 프로파일 이전은 AD의 GPO 등을 통해 사용자 개입 없이 진행이 가능 합니다.
Q & A 감사 합니다