보안 용어 정리! (IAM, PAM, Federated SSO)

IAM(Identity and Access Mangement)

디지털 ID를 소유한 유저 혹은 application에게 리소스에 접근할 수 있는 적절한 권한을 제공하는 방식

암호/MFA/지문 등의 인증 절차를 거치면 리소스 권한을 부여

 

IAM 솔루션마다 조금씩 기능은 다르지만 대부분 아래 기능을 제공

  - MFA : 사용자 ID/PWD 외에도 SMS, 통화, 이메일 등의 방법으로 추가 인증

  - SSO : 한 번의 시스템 인증을 통해 다른 서비스에 재인증 절차 X 접근할 수 있게

  - Federated SSO :  신뢰 관계인 다른 IdP에 인증

  - RABC : 조직 내 역할과 업무에 따라 리소스에 대한 액세스를 제한

 

PAM (Privileged Access Management)

IAM은 단순히 계정의 권한 제어

-> 권한있는 사용자의 접근 통제 불가

예를 들어 권한 있는 사용자의 계정이 탈취당하거나 그 사람이 나쁜 마음을 품었을 경우 속수무책으로 당하는 것

 

PAM의 계정 접근관리

- 세션 모니터링

- 액세스 권한 승격 및 위임

- 주기적인 암호 변경 (password rotation)

- 자격증명 잠금(credential vaulting) : 계정의 모든 암호는 PAM에서 관리(사용자가 진짜 암호를 모름.)

 

특권 계정의 액세스 오남용을 차단하고 자산을 안전하게 관리하는 것이 목표

 

 

Federated Identity Management (Federated SSO)

신뢰 관계에 있는 다른 조직이나 3rd party 업체에 인증을 맡기는 것

SSO = 하나의 도메인 하에서 서비스 간 인증을 간편하게 하는 절차 (ex. 구글 로그인 -> 구글 캘린더 접속)

Federated SSO = 여러 도메인 사이에서 SSO를 가능하게 하는 기술

 

유저는 복잡하게 여러 사이트에 회원가입하지 않아도 됨. 

Service Provider들은 유저의 정보를 보관할 책임을 지지 않아도 됨.

 

* 로그인 자체는 3rd party IdP를 통해서 인증하더라도, Service Provide (sp)에서의 리소스를 접근할 수 있는 권한 (IAM)은 또 다른 얘기.

IdP에서 전달하는 값 외에는 유저의 다른 정보들을 SP에서는 알 방법이 없기 때문에 필요하다면 추가적인 정보 입력이 필요하다. 

 

ex) 쇼핑몰 사이트를 Federated SSO로 인증 시, 유저의 주소 정보가 추가로 필요하므로 최초 로그인 시 따로 입력하게 함. 

https://gruuuuu.github.io/security/security-terms/