SingleID SAML 인증을 활용한 SDA 캠퍼스 연계 구현

SingleID SAML 인증을 활용한 SDA 캠퍼스 연계 구현

개요

최근 들어, 임직원들이 사무실 뿐 아니라 재택근무, 외근, 모바일 오피스 등 다양한 장소에서 업무를 처리하면서, 기업 네트워크 환경도 빠르게 변화하고 있습니다. 이에 따라 네트워크 인프라도 SDN(Software-Defined Networking) 기반으로 유연하게 전환되는 추세입니다.

이런 변화 속에서 기업은 네트워크 인증과 업무 시스템 계정 관리를 통합하면서도, 동시에 보안성을 강화해야 하는 과제를 안고 있습니다. 단순한 아이디·패스워드 인증만으로는 부족하고, 네트워크 접근과 애플리케이션 접근이 자연스럽게 연결되는 통합 인증 환경이 필요해졌습니다.

이러한 문제를 해결하기 위해, 본 문서에서는 SingleID의 SAML 인증을 활용하여 하나의 계정으로 네트워크 인증과 업무 시스템 계정 관리를 통합하는 방안을 설명합니다. 이를 통해 보안성을 강화하면서도 사용자 편의성을 높이는 방법을 소개합니다.


SAML 인증이란?

서로 다른 시스템 간에 인증과 권한부여 정보를 안전하게 교환하기 위한 표준 프로토콜입니다. 이는 사용자가 한 번 로그인 하면 다른 애플리케이션에서도 별도의 로그인 없이 동일한 인증 결과를 활용할 수 있게 해주는 SSO(Single Sign-On) 기술입니다.

아키텍처 다이어그램

SingleID SAML 인증
그림. SingleID SAML 인증을 활용한 SDA(Software-Defined Access) 캠퍼스 연계 아키텍처

  1. 사용자가 회사망에 접속하기 위해 무선 네트워크에 연결합니다. 네트워크 인증 서버는 사용자의 요청을 수신하고, 사전에 정의된 웹 인증 리디렉션 정책을 사용자 단말에게 전달합니다.

  2. 사용자 단말은 SCP SingleID에서 제공하는 웹인증을 실행합니다. 사용자는 아이디, 비밀번호를 입력하고, 다중 인증(MFA, Multi-Factor Authentication)을 통해 추가적인 보안을 완료합니다.

  3. 모든 인증 절차가 완료되면, SingleID는 사용자 인증 결과를 사용자 PC를 통해 네트워크 인증 서버로 전달합니다. 이때, 사용자의 그룹 정보(예: 회사, 부서 등)도 함께 전송됩니다.

  4. 네트워크 인증 서버는 전달받은 그룹 정보를 기반으로 사용자에게 적합한 VLAN을 할당합니다. 이를 통해 사용자는 자신의 역할과 권한에 맞는 네트워크에 접속할 수 있습니다.

  5. 네트워크 연결이 완료된 후, 사용자는 별도의 인증 요청 없이 SingleID 인증 정보를 활용하여 업무 시스템에 접근할 수 있습니다.

사용 사례

사용자 그룹 기반 네트워크 접근 제어

사용자 그룹에 따라 네트워크 접근 권한을 세밀하게 설정할 수 있습니다. 예를 들어, 사용자를 임직원, 협력사, 내방객으로 분류하여 각 그룹에 맞는 리소스에만 접근할 수 있도록 제한할 수 있습니다.

이를 통해 조직의 보안 정책을 준수하고, 데이터 보호 및 접근제어를 강화 할 수 있습니다. 또한, 그룹 정책을 중앙에서 관리 및 적용할 수 있어 효율적인 정책 관리가 가능합니다.

근무지 간 이동 시 동일 VLAN 지원

사용자는 사내 여러 근무지를 이동할 경우에도 동일한 VLAN을 할당 받아 일관된 네트워크 환경을 유지할 수 있습니다. 이를 통해 사용자는 별도의 설정 없이도 모든 근무지에서 동일한 네트워크 서비스와 리소스에 접근 할 수 있습니다.

위치 변경에 따른 추가 설정이 필요하지 않아 사용자 편의성이 크게 향상되며, 관리자의 네트워크 관리 효율성도 높아집니다.

SSO 기반 네트워크 및 사내 시스템 통합 인증

사용자는 웹인증을 통해 네트워크 인증부터 사내 시스템 접근까지 SSO로 통합된 환경을 제공 받습니다. 한 번의 인증으로 관련 서비스에 대한 접근 권한이 부여되며, 사용자는 추가적인 로그인 절차 없이 편리하게 리소스를 활용할 수 있습니다.

이를 통해 사용자 편의성을 높이고, 보안성을 유지하면서도 업무 효율성을 극대화할 수 있습니다.

선결 사항

사용자 PC와 SingleID 간 네트워크 통신이 정상적으로 이루어져야 합니다. 이는 인증 및 VLAN 할당 프로세스의 원활한 진행을 위한 필수 조건 입니다.

이 통신 경로가 확보되지 않으면 네트워크 접근 및 인증 프로세스가 정상적으로 동작하지 않을 수 있습니다.

제약 사항

SDN(Software-Defined Networking) 장비는 Cisco ISE(Identity Services Engine)로 사용 가능합니다.

그 외 SDN 장비로 연계가 필요한 경우 사전 협의가 필요합니다.

고려 사항

웹인증을 위해서는 임시 VLAN을 할당받아 네트워크에 연결된 상태에서 웹인증을 먼저 진행하고, 인증 완료 후 사용자에 맞는 VLAN으로 재할당되는 로직이 적용됩니다.

이 과정에서 VLAN 재할당에 소요되는 시간(네트워크 연결 지연 시간)이 발생 할 수 있습니다. 지연 시간은 네트워크 환경에 따라 다르며, 사용자 경험에 영향을 미칠 수 있습니다.

이를 고려하여, IP 재할당 시간 동안 사용자 안내 페이지를 표시하여 진행 상황을 알려주는 방안을 고려하는 것이 좋습니다. 이는 사용자 혼란을 방지하고, 원활한 경험을 제공하는 데 큰 도움이 됩니다.

관련 서비스

본 가이드에서 설명하는 기능 또는 구성과 연결되는 Samsung Cloud Platform의 서비스 목록입니다. 서비스 선택 및 설계 시에 참고하세요.

서비스군서비스상세 설명
SecuritySingleID통합인증(AM), 계정관리(IM), 복합인증(MFA), 이상행위 탐지(ADM), 클라우드 접근 관리(CAM) 제공하는 보안서비스
NetworkingVPN고객 네트워크와 Samsung Cloud Platform을 암호화된 가상 전용망을 통해 연결하는 서비스
표. 관련 서비스 목록