요즘은 많은 회사에서 Google Workspace, Office 365, AWS, GitHub 등 다양한 Saas앱을 사용을 하고 있습니다. 회사의 IT관리자는 신규입사자를 온보딩 할 때 이러한 SaaS앱을 사용할 수 있도록 사용자의 계정을 생성하고 사용자의 이름, 이메일, 아이디 등의 프로필 정보를 등록하죠. 그렇다면 이 수많은 사용자들의 각기 다른 정보들은 어디에 저장될까요?
AD, LDAP, 그리고 Universal Directory(UD)
이 질문에 대한 답을 하기위해 디렉터리의 개념을 알아볼 필요가 있겠습니다.
만약 여러분의 회사에 디렉터리가 없다면 어떤 일이 생길까요? - 사용자들은 모든 어플리케이션에 액세스 할 때마다 새롭게 로그인을 해야합니다. - IT관리자는 사용자에게 각각의 권한을 매번 부여해야 합니다. - 사용자의 프로필 수정이나 비밀번호를 변경할 때 마다 각각의 어플리케이션 마다 수정하는 번거로움을 거쳐야 합니다. 이렇게 디렉터리가 없다면 비효율적으로 사용자 정보를 관리하게 될 것입니다. 이 비효율적인 리소스를 절약하기 위해 많은 기업에서 디렉터리를 이용하고 있고 사용자의 속성값들을 한 곳에 통합하여 보관하고 관리하고 있습니다. 즉 디렉터리는 중앙 집중화된 자원 관리를 가능하게 하는 것이죠.
Active Directory (AD)
첫번째로 Active Directory 서비스는 다양한 서버의 단계별 분류 및 쿼리, 관리, 등록 및 해석 서비스를 제공합니다. 그리고 우리가 설명할 Active Directory의 주요기능은 도메인 컨트롤러 기능 입니다. 이때 도메인이란 Active Directory를 설치한 각각의 유저 또는 디바이스를 의미합니다. *도메인의 개념은 하단 사진 참조
도메인 / 트리 / 포레스트란?
다만, Active Directory는 Microsoft의 제품이므로 주로 Windows 서버와 연결된다는 점을 살펴봐야 합니다. 기업은 확장과 성장을 계속 해나아가고 Salesforce, Zoom 등 이전과는 다른 새롭고 다양한 클라우드 어플리케이션을 도입하는 회사가 많아지고 있습니다. 이러한 사용자들의 IT 환경 변화는 일부 서비스의 호환성에만 집중할 것이 아니라 보다 나는 엑세스 관리가 필요할 것 입니다. 또 재택근무의 시대로 돌입하게 되면서 네트워크 전환이 용이한 디바이스를 사용하고 기업 내 인터넷(Wifi)만을 사용하지는 않는 사용자들이 점차 늘어나고 있습니다. 하지만 Active Directory는 Windows 서버들이 기업 내부 네트워크를 통해 연결된 환경에서만 아주 보수적으로 운영하도록 설계되어 있습니다.
LDAP (Lightweight Directory Access Protocol)
LDAP은 Active Directory와 같은 '서비스'가 아닌 다양한 유형의 디렉터리와 통신 및 쿼리하는데 사용되는 '프로토콜'입니다. 또 LDAP는 Active Directory와 달리 Windows 서버뿐 아니라 다른 운영체제를 실행하는 거의 모든 서버에서 사용할 수 있습니다. 디렉터리 정보의 등록, 갱신, 삭제와 검색 등을 실행할 수 있고 운영 체계(OS)나 그룹웨어 제품들을 지원해 주고 있습니다. 통신망을 이용한 사용자 메일 주소나 사용자의 프로필을 검색하는 데 주로 사용되죠. 그리고 이러한 Active Directory와 LDAP의 정보를 모두 통합 할 수 있는 것이 바로 Universal Directory 입니다.
Universal Directory (UD)
1. 무제한 디렉터리 통합 및 무제한 맞춤형 사용자 속성 위에서 잠깐 설명했던 것과 같이 시대가 변화함에 따라 기업은 다양한 유형의 어플리케이션을 사용하여 더 효율적으로 업무하길 원하고 있습니다. 이렇게 사용하는 어플리케이션의 수가 많아질 수록, 또 기업에 성장에 따라 직원 수 즉, 사용자가 많아질 수록 IT관리자가 앱에서 사용자의 프로필 정보를 입력하고 수정하는데 많은 리소스가 필요하게 됩니다. 그러나 Okta의 Universal Directory는 다른 어플리케이션들과 무제한으로 통합 할 수 있고 사용자 프로필 속성을 무제한으로 저장하여 이러한 불편함을 해소하는 데에 도움을 줄 수 있습니다.
2. 맞춤형 매핑 및 변환 실제 사용자들이 어플리케이션에 로그인을 하는 것을 보면 어플리케이션 별로 사용자의 프로필 속성이 전부 같지는 않습니다. 예를 들어 A애플리케이션에서는 사용자의 프로필 속성 중 email 주소를 @daon.com을 입력해야하고 B애플리케이션에서는 @daont.co.kr을 입력해야할 수도 있습니다. 이런 경우 사용하는 어플리케이션의 수가 적거나 사용자가 적다면 관리자는 업무에 큰 부담을 느끼지 않겠지만 기업이 성장함에 따라 사용하는 어플리케이션의 수가 많고 사용자도(직원 수) 많아 진다면 관리자는 하루종일 사용자 프로필을 수정하는 데에 시간을 할애해야 할 것입니다. 그러나 Okta의 Universal Directory는 Okta에 등록된 사용자 프로필을 해당 어플리케이션의 속성에 맞게 데이터를 입력할 수 있도록 데이터 변환을 하여 관리자의 작업량을 줄여 줄 수 있습니다.
Universal Directory + Lifecycle Management를 사용하면 Okta의 사용자 정보를 Sasa앱 과 AD 또는 LDAP에 사용자의 정보에 넣을 수 있고 반대로 받아와서 Okta에 무제한으로 저장할 수 도 있습니다. 필요하면 각 앱, AD 또는 LDAP 별로 형식에 맞게 수정하여 사용자 정보를 넣을 수도 있습니다.
3. 비용 절감의 효과
많은 기업에서 온프레미스 형태의 AD서버와 LDAP 서버를 모두 가지고 있고 사용자 프로필을 보관해 둡니다.
그렇다 보니 온프레미스 서버를 설치해야하는 물리적 공간과 서버를 설치하고 관리하기 위한 실제 비용이 발생합니다. 하지만 Okta Universal Directory는 클라우드 서비스로 운영되고 있어 인터넷만 연결되어 있다면 따로 물리적인 공간이 필요하지 않고 장애에 대한 위험도 현저히 줄며 설치와 관리를 위한 비용이 발생하지 않습니다.
다온기술에서는 OKTA를 사용하는데 있어 필요한 교육들을 적극 지원하고 있습니다.
궁금한 부분은 하단에 문의하기를 참고해주세요 :)
글. 권명석 엔지니어 _ 다온기술
