KR102184928B1 - 토큰 기반의 통합계정 관리 시스템 및 그 방법 - Google Patents

토큰 기반의 통합계정 관리 시스템 및 그 방법 Download PDF

Info

Publication number
KR102184928B1
KR102184928B1 KR1020190091718A KR20190091718A KR102184928B1 KR 102184928 B1 KR102184928 B1 KR 102184928B1 KR 1020190091718 A KR1020190091718 A KR 1020190091718A KR 20190091718 A KR20190091718 A KR 20190091718A KR 102184928 B1 KR102184928 B1 KR 102184928B1
Authority
KR
South Korea
Prior art keywords
account
integrated
cloud
access
integrated account
Prior art date
Application number
KR1020190091718A
Other languages
English (en)
Inventor
홍성호
박위철
이혜린
조정태
Original Assignee
베스핀글로벌 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 베스핀글로벌 주식회사 filed Critical 베스핀글로벌 주식회사
Priority to KR1020190091718A priority Critical patent/KR102184928B1/ko
Application granted granted Critical
Publication of KR102184928B1 publication Critical patent/KR102184928B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • H04L67/16
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에 따른 토큰 기반의 통합계정 관리 시스템 및 그 방법은, 사용자의 업무 일정 또는 이동 위치에 대한 정보를 바탕으로 사용자의 계정에 사용자의 위치와 작업 환경을 매칭하여 권한을 자동으로 설정하고 변경함으로써, 효과적으로 복수의 계정을 관리할 수 있고, 계정에서 수행된 조작에 대해 실행 대상을 명확하게 하고, 그 조작의 이유가 명확하도록 하여 관리의 편의성이 크게 향상되며, 지정된 업무 일정 혹은 접속하는 위치에 따라 권한을 제한함으로써, 보안을 강화할 수 있다.

Description

토큰 기반의 통합계정 관리 시스템 및 그 방법{Total Account management System based on Token and Method}
본 발명은 토큰 기반의 통합계정 관리 시스템 및 그 방법에 관한 것으로, 복수의 클라우드 간에 계정을 통합하여 관리하고 계정에 대한 권한을 자동으로 부여하는 토큰 기반의 통합계정 관리 시스템 및 그 방법에 관한 것이다.
클라우드(Cloud) 시스템은, 가상의 서버를 단말을 통해 접속하여 자유롭게 원하는 서비스를 구현하도록 하는 환경을 제공한다.
클라우드 시스템은, 일부 저장공간을 개인에게 임대하여, 개인 사용자가 단말을 통해 접속하여 할당된 공간에 데이터를 저장하는 서비스부터, 기본적인 컴퓨팅 환경이나 네트워크 서비스 등의 인프라를 제공하는 서비스, 컴퓨터 사용을 위한 플랫폼이나 솔루션을 제공하는 플랫폼 서비스를 포함하고, 또한, 응용 소프트웨어를 네트워크를 통해 사용할 수 있도록 하는 소프트웨어 서비스를 포함한다.
클라우드 시스템은 모바일 어플리케이션, 게임, 쇼핑몰, 소셜 네트워크 서비스 등의 다양한 분야에서 사용되고 있다.
이러한 클라우드 시스템은, 서비스를 사용하는 또는 제공하는 사용자가 시간적, 공간적 제약 없이, 자원을 사용할 수 있고, 또한, 사용 현황을 실시간으로 확인할 수 있다.
그에 따라 최근 다수의 기업들이 기업 내, IT 자산을 클라우드 환경으로 이전하여, 기업의 대고객 서비스는 물론 일련의 작업들을 클라우드 환경에서 운영하고 있다.
클라우드 환경에서 다양한 데이터를 취급함에 따라 클라우드에 대한 접근 권한을 제어하는 등의 보안에 대한 관심이 증가하고 있다.
클라우드의 특성 상, 접근 권한에 대한 물리적인 제어는 불가능하기 때문에 AWS, MS 와 같은 클라우드 서비스 제공 업체가 제공하는 클라우드 서비스에 대한 IAM(Identity and Access Management) 서비스에 보안의 상당수를 의존하고 있다. IAM(Identity and Access Management) 으로 대표되는 이 기술은 클라우드 서비스에 접근 가능한 권한에 대해 상세한 편집이 가능하며, 접근한 사용자의 활동에 대한 로그를 제공한다.
또한 MFA(Multi Factor Authentication) 등의 추가 보안 장치를 통해 잘못된 사용자의 접근을 통제할 수 있다.
그러나 현재 클라우드 서비스 제공 업체들이 제공하는 IAM 기능은 여전히 많은 보안상의 문제가 있으며, 특히나 사용성에서 다수의 문제점이 있다.
클라우드 서비스에 관련하여 글로벌 시장 점유율을 상당수를 차지하고 있는 대표적인 클라우드 서비스인 AWS(Amazon Web Services)의 경우, 계정 단위 별로 분리된 IAM 서비스를 제공한다. AWS 사용자들은 필요에 따라 여러 개의 계정을 생성할 수 있으며, 주로 운영할 작업 혹은 부서 별 자원의 분리 및 관리를 위해 하나의 회사가 여러 개의 계정을 생성해야 하는 문제점이 있다.
AWS의 IAM 서비스는, 각각의 계정에 종속되므로, 특정 사용자가 복수의 AWS 계정에 접근할 권한이 필요한 경우, 접근이 필요한 AWS 계정 각각의 IAM 서비스를 통해 접근 권한을 설정해 주어야 하는 문제점이 있다.
따라서 한 명의 사용자를 위해 복수개의 IAM 계정을 생성해야 하므로, 기업 내 AWS 환경의 접근 환경을 통제해야 하는 관리자는 실제 사용자의 수 보다 많은 IAM 계정을 관리해야 한다.
그에 따라 작업 효율이 저하되고, 각 계정의 실 사용자를 정확히 파악하기 어려운 문제점이 있으며 이러한 방식은 중대한 보안 사고를 불러일으킬 수 있는 원인이 될 수 있다.
또한, 기업의 클라우드를 관리하는 관리자는 클라우드 환경에서, 허용되지 않은 장소 및 사용자의 접속을 제한하고 사용자의 로그인 이력을 지속적으로 모니터링하며 보안 정책에 반하는 로그인 이력이 있는지 확인하여 보안을 유지하도록 한다.
기업이 복수의 클라우드 서비스를 운영하고 있고, 작업에 따라 또는 부서에 따라 각각 별개의 계정을 운영하고 있는 경우, 관리자는 각각의 클라우드 서비스에 대한 복수의 계정을 모두 모니터링해야 하므로, 모니터링해야 하는 계정의 수가 크게 증가하는 문제점이 있다.
관리해야 하는 계정이 증가할 수록, 보안을 유지하기 위해서는 많은 인력이 투입되어야 하므로, 관리 비용 증가에 큰 요인이 된다.
한편, 사용자는 기업의 강력한 보안 정책으로 인해 인프라(Infra) 관리 업무를, 허용된 IP를 이용하거나 또는 지정된 장소에서만 수행해야 하므로, 많은 불편함을 가지고 있다.
특히 기업의 외부에서, 예를 들어 퇴근 후에 발생하는 문제를 처리하기 위해서는 간단한 작업이라 할지라도 지정된 장소로 이동해야 하므로, 사무실 등으로 출근해야만 한다.
한편, 접속 IP 또는 지정된 위치를 통해 계정으로의 접근을 제한하더라도, 실제 해당 접속자가 정당한 사용자 인지 여부, 예를 들어 해킹 등에 의해 접속인지 여부를 확인할 수 있는 방법이 없으므로 여전히 보안 이슈가 발생할 수 있다.
이와 같이, 클라우드 서비스는, 클라우드 환경에서 서비스를 제공하는 제공자(기업)가 보안을 강화하면, 서비스를 이용하는 사용자의 편의성이 저하되는 문제가 있다. 따라서, 사용자의 편의성을 개선하면서 보안을 강화할 수 있는 방안이 필요하다.
대한민국 공개특허 10-2018-0068514호 (2018.06.22. 공개)
본 발명이 해결하고자 하는 과제는, 사용자의 업무 일정 또는 이동 위치에 대한 정보를 바탕으로 사용자의 계정에 사용자의 위치와 작업 환경을 매칭하여 권한을 자동으로 설정하고 변경하는 토큰 기반의 통합계정 관리 시스템 및 그 방법을 제공하는 것이다.
본 발명은 복수의 클라우드 서비스에 대한 계정을 통합하여 관리하는 토큰 기반의 통합계정 관리 시스템 및 그 방법을 제공하는 것이다.
본 발명은 사용자위 위치와 작업환경의 변화에 대응하여 권한을 변경함으로써 사용자의 편의성을 향상시키면서 보안을 강화하는 토큰 기반의 통합계정 관리 시스템 및 그 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들 로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기의 목적을 달성하기 위한 본 발명의 일 실시예에 따른 토큰 기반의 통합계정 관리 시스템은, 클라우드 서비스를 제공하는 복수의 클라우드 시스템; 권한이 부여된 통합계정을 통해 상기 복수의 클라우드 시스템에 접속하여 리소스를 제공받는 단말; 및 상기 단말이 상기 통합계정을 통해 상기 복수의 클라우드 시스템에 접속하도록 복수의 통합계정을 관리하는 관리서버;를 포함하고, 상기 관리서버는, 상기 복수의 클라우드 시스템에 접속하기 위한 상기 통합계정을 등록하고, 기 설정된 위치정보 및 일정정보에 따라 상기 통합계정에 권한을 부여하는 관리부; 및 상기 통합계정의 상기 복수의 클라우드 시스템에 대한 접속을 인증하는 접속부;를 포함하고, 상기 접속부는 멀티 토큰 기반으로 상기 클라우드 서비스에 대한 상기 통합계정의 접속을 관리하여 인증체계 간소화를 수행하며, 상기 관리부는 상기 통합계정과, 상기 클라우드 시스템의 접속을 위한 권한을 연결하고, 상기 위치정보 또는 상기 일정정보에 대응하여 접속 가능한 클라우드 서비스에 대한 정보를 출력하는 것을 특징으로 한다.
상기 관리부는 상기 위치정보 및 일정에 대응하여 상기 통합계정에 대한 권한을 자동으로 변경하는 것을 특징으로 한다.
상기 관리부는 상기 단말이 상기 통합계정을 이용하여 상기 클라우드 서비스를 제공하는 상기 클라우스 시스템에 접속하면, 상기 통합계정에서 사용한 서비스, 리소스, 작업내역에 대한 이력데이터를 저장하는 것을 특징으로 한다.
상기 관리부는 상기 복수의 클라우드 서비스에 대하여 개별 계정을 등록하지 않고, 상기 통합계정을 상기 복수의 클라우드 시스템 중 요청된 클라우드 서비스에 대한 접근 권한을 연결하여 상기 통합계정을 통해 상기 복수의 클라우드 시스템에 접속하도록 하는 것을 특징으로 한다.
상기 접속부는 상기 단말이 상기 통합계정을 이용하여 상기 클라우드 시스템에 접속하는 동안, 상기 통합계정의 IP변경 여부 또는 일정에 따른 접속허용 시간인지 여부를 판단하여 허용되지 않은 IP 또는 일정에 대하여 접속을 해제하도록 하는 것을 특징으로 한다.
상기 관리부는 상기 통합계정의 1차 인증만으로 접속하고자 하는 클라우드 시스템에 대한 다수 계정을 관리하는 것을 특징으로 한다.
본 발명은, 클라우드 서비스를 제공하는 복수의 클라우드 에 연결된 통합계정을 생성하는 단계; 상기 통합계정과, 상기 클라우드 시스템의 접속을 위한 권한을 연결하는 단계; 상기 통합계정에 설정된 위치정보 또는 일정정보에 따라 상기 통합계정에 대한 권한이 부여되는 단계; 상기 통합계정을 사용하여, 단말이 상기 복수의 클라우드 시스템 중 어느 하나의 클라우드 시스템에 접속을 시도하는 단계; 멀티 토큰 기반으로 상기 통합계정에 대한 인증을 수행하여, 상기 통합계정에 부여된 권한을 바탕으로 상기 클라우드 시스템의 접속허용 여부를 판단하는 단계; 상기 위치정보 또는 상기 일정정보에 대응하여 접속 가능한 클라우드 서비스에 대한 정보를 출력하는 단계;및 상기 단말이 접속이 허용된 클라우드 시스템에 접속하여 클라우드 서비스를 제공받는 단계를 포함한다.
상기 통합계정의 위치정보를 바탕으로 상기 통합계정에 할당된 IP의 허용여부를 판단하는 단계; 및 상기 통합계정의 일정을 바탕으로 접속이 허용된 시간인지 여부를 판단하는 단계를 더 포함한다.
본 발명의 토큰 기반의 통합계정 관리 시스템 및 그 방법은 클라우드 환경에서 사용자에게 하나의 계정이 발급되도록 계정생성을 제한함으로써, 불필요한 계정의 생성을 억제하고, 계정 모니터링에 대한 인력과, 비용을 절감할 수 있다.
또한, 본 발명은 제한된 계정 생성 정책과 사용자 식별 정보의 결합을 통해 접속 이력을 용이하게 관리하고, 접속된 계정에서 수행된 조작에 대해 실행 대상을 명확하게 하고, 그 조작의 이유가 명확하도록 하여 관리의 편의성이 크게 향상된다.
본 발명은 계정에 권한을 부여하여, 사용자 또는 관리자의 부주의로 인한 보안 사고를 사전에 예방할 수 있다. 본 발명은 특정 계정에 대하여, 지정된 업무 일정 혹은 접속하는 위치에 따라 읽기권한과 쓰기권한이 상이하도록 설정하여 권한을 제한함으로써, 보안을 강화할 수 있다.
또한, 본 발명은, 사용자의 업무 일정(Schedule) 혹은 접속 위치와 같은 사용자의 행동에 대한 데이터를 기반으로 계정에 대한 권한을 자동으로 부여함으로써, 보안을 강화함은 물론, 자동으로 권한이 변경됨에 따라 권한을 재설정할 필요가 없으므로 사용자의 편의성이 크게 향상되는 효과가 있다.
도 1 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 구성이 도시된 도이다.
도 2 는 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 관리서버의 구성이 간략하게 도시된 도이다.
도 3 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 관리서버의 연결에 따른 실시예가 도시된 도이다.
도 4 는 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 위치에 따른 계정의 권한변경을 설명하는데 참조되는 도이다.
도 5 는 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 업무 일정에 따른 계정의 권한설정을 설명하는데 참조되는 도이다.
도 6 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템에서 토큰 기반의 연결을 설명하는데 참조되는 도이다.
도 7 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 위치 또는 일정 기반의 접속제한 방법이 도시된 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다. 본 발명의 제어구성은 적어도 하나의 프로세서로 구성될 수 있다.
도 1 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 구성이 도시된 도이다.
도 1에 도시된 바와 같이, 본 발명에 따른 토큰 기반의 통합계정 관리 시스템은 복수의 클라우드(CLOUD) 서비스(300)를 제공하는 복수의 클라우드 시스템과, 사용자(1)의 단말(10)을 통한 클라우드 서비스 접속을 제어하고 사용자(1)의 계정(90)을 관리하는 관리서버(50)를 포함한다. 사용자는 단말(10)을 통해 클라우드 서비스에 접속한다.
토큰 기반의 통합계정 관리 시스템은 복수의 네트워크가 상호 연결되는 인터넷 서비스 환경에서 운영되며, 복수의 클라우드 시스템과 연결되어 사용자에게 클라우드 서비스를 제공하는 동시에 복수의 클라우드 서비스의 계정을 통합하여 관리하고, 사용자의 계정에 대한 접속권한을 관리하여 클라우드 서비스에 대한 접속을 제한한다.
클라우드 시스템으로부터 제공되는, 클라우드 서비스(300)는 저장공간을 제공하는 서비스부터, 인프라, 플랫폼, 소프트웨어를 제공하는 등의 다양한 서비스를 제공할 수 있다. 예를 들어 클라우드(CLOUD) 서버는 QWS, Azure, Soft-layer 등과 같은 다양한 클라우드 서비스를 제공하는 것은 물론, IDC 서비스를 제공한다.
관리서버(50)는 복수의 클라우드 시스템의 클라우드 서비스(300)(310 내지 330)와 연결되어, 각 클라우드 서비스를 이용하기 위한 계정을 생성하고 관리한다.
또한, 관리서버(50)는 사용자가 클라우드 서비스에 접속하는 위치, 사용자가 이용하는 단말, 그리고 사용자의 업무 일정에 따라 계정에 대한 권한을 변경한다.
관리서버(50)는 복수의 클라우드 서비스에 대하여, 각각의 클라우드 서비스에 대하여 각각의 클라우드 시스템에 개별적으로 계정을 생성하는 것이 아니라, 사용자가 하나의 클라우드 서비스에 대하여 계정을 생성하면, 하나의 계정을 이용하여 복수의 클라우드 서비스를 이용할 수 있도록 한다.
관리서버(50)는 통합관리가 가능한 클라우드 서비스와의 계약을 통해 사용자가 하나의 계정을 통해 복수의 클라우드 서비스를 이용할 수 있도록 지원한다.
또한, 관리서버(50)는 사용자가 관리서버의 통합계정 관리 서비스에 계정을 생성하는 것으로 복수의 클라우드 서비스를 사용할 수 있도록 한다.
관리서버(50)는 사용자(1)가 단말(10)을 통해 클라우드 서비스(300)를 이용하는데 있어서, 하나의 사용자에 하나의 계정을 생성하고, 하나의 계정을 이용하여 복수의 클라우드 서비스(300)를 이용하도록 한다. 관리서버(50)는 하나의 사용자가 복수의 계정을 생성하는 것을 제한할 수 있다.
또한, 관리서버(50)는 복수의 사용자가 각각의 단말(11 내지 13)을 통해 각자의 계정을 이용하여 클라우드 서비스를 이용하는데 있어서, 복수의 사용자의 계정(91 내지 93)을 모니터링하고, 그에 대한 클라우드 서비스의 접속권한을 변경한다.
관리서버(50)는 복수의 클라우드 서비스를 통합하여 관리하고, 사용자의 클라우드 서비스의 이용을 위하여, 사용자의 계정에 대한 접속권한의 위임을 처리하고, 싱글사인온(SSO, Single Sign-On) 시스템에 대한 인증 대행을 수행한다.
또한, 관리서버(50)는 통합인증관리(EAM, Extranet Access Management)와 통합계정 관리(IAM, Identity and Access Management)를 이용한 통합 인증을 실시하고, SAML2.0 기반의 Multiple Sign-in Access 인증 및 관리 서비스를 제공한다.
사용자의 단말(10)은 네트워크 연결을 통한 데이터 송수신이 가능한 기기로, 컴퓨터, 노트북, 랩톱, 스마트폰, PDA, 태블릿 PC, 웨어러블 장치가 사용될 수 있고, 그 외의 클라우드 서비스 접속이 가능한 기기라면 이에 한정되지 않고 적용 가능하다.
도 2 는 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 관리서버의 구성이 간략하게 도시된 도이다.
도 2에 도시된 바와 같이, 관리서버(50)는 복수의 클라우드 서비스(300)에 대한 계정정보를 저장하고 관리하는 관리부(100), 복수의 클라우드 서비스에 대하여 단말(10)을 통한 사용자의 접속을 관리하고 인증하는 접속부(200)를 포함한다.
관리부(100)는, 복수의 클라우드 서비스(300)에 대한 계정 정보를 저장하고 관리하며, 클라우드 계정에 대한 인터페이스 모듈을 제공한다.
또한, 관리부(100)는 자격 증명 공급자(이하 IdP)의 사용자 정보와 그룹에 대하여 클라우드 계정에 대한 권한을 부여하며 사용자 별 접근 이력을 제공한다.
관리부(100)는 통합 계정 관리(IAM, Identity and Access Management)와, 통합인증관리(EAM, Extranet Access Management)을 이용한 통합 중계 모듈로서, 복수의 클라우드 서비스를 하나의 계정으로 이용할 수 있는 싱글사인온(SSO, Single Sign-On)을 실현하기 위한 통합계정 관리를 수행한다.
관리부(100)는 계정관리부(110), 1차 인증부(120), 연결부(130), 스케줄부(140), 및 데이터부(150)를 포함한다.
계정관리부(110)는 통합계정을 설정하고 관리한다.
계정관리부(110)는 복수의 클라우드 서비스를 이용하기 위한 사용자의 계정을 생성하고, 생성된 계정을 관리하며, 계정에 클라우드 서비스에 대한 접근 권한을 부여한다.
계정관리부(110)는 사용자의 계정을 통합하여 관리하는 것으로서 복수의 클라우드 서비스에 대한 통합계정과 권한 정보를 자격 증명 공급자(IdP)에 등록하고, 계정에 연결되어 있는 권한에 대하여 변경되는 정보를 수정할 수 있다.
계정관리부(110)는 클라우드 계정에 대한 인터페이스를 제공하고, 자격 증명 공급자(IdP)의 사용자와 복수의 클라우드 서비스에 대한 권한 그룹을 통합계정에 연결하여, 통합계정에 대한 권한을 부여한다.
또한, 계정관리부(110)는 통합계정에 대한 계정 관리 및 권한 부여에 있어서 발생하는 일련의 이벤트들을 기록하여 저장함으로써, 관련 권한 변경에 대한 이벤트의 기록을 조회할 수 있는 이력 관리 기능을 제공한다.
계정관리부(110)는 사용자에 대한 통합계정을 등록하기 위하여, 자격 증명 공급자(IdP)의 권한 모듈에 연결하기 위한 계정과 권한 정보를 각각의 클라우드에서 생성한다. 계정관리부(110)는 자격 증명 공급자(IdP)를 통해 통합계정을 관리함으로써, 복수의 사용자에 대한 복수의 걔정을 관리하는데 있어서 편의성과 효율성을 향상시킬 수 있다.
계정관리부(110)는 AWS의 경우, 자격 증명 공급자(IdP)에서 제공하는 메타데이터를 이용하여 자격 증명 공급자(IdP) 정보를 생성한 후, 관리 콘솔에서 목적에 맞는 IAM Role을 생성하여 관리부(100)에 등록하고, 클라우드 서비스에 대한 사용 목적에 맞는 콘솔 접속 유효시간을 설정하여 통합계정 정보 등록을 완료한다.
계정관리부(110)는 사용자별로 클라우드 서비스에 대한 접근을 관리하기 위하여, 자격 증명 공급자(IdP)의 사용자 정보와 통합계정 권한을 1:1, 1:N, N:N으로 연결할 수 있다.
또한, 계정관리부(110)는 사용자 단위의 권한 정보 관리의 불편성을 보완하기 위하여, 사용자에 대한 그룹을 생성하여 등록할 수 있다. 등록된 그룹에 클라우드 계정 권한을 연결함으로써, 그룹에 포함되는 복수의 사용자에게 일괄적으로 동일한 권한을 부여할 수 있는 접근 관리 정보를 생성한다.
계정관리부(110)는 복수의 클라우드 서비스에 대하여 각 서비스 제공자(Service Provider)에서 사용되는 계정(Account)과 계정에 대한 권한(Role), 그리고 계정의 그룹을 관리한다.
계정관리부(110)는 사용자의 등록된 계정(Account)에 대한 권한(Role)을 연결(Mapping)하는 연결(Mapping)모듈, 사용자의 접속 통제를 실시하는 일정(Schedule)모듈로 구성된다.
계정관리부(110)는 사용자의 통합계정에 특정 권한이 설정되면, 해당 계정에 권한을 부여하고, 또한, 실제 사용자 접속 시, 권한에 따라 접속을 허락하거나 제한하도록 한다.
또한, 계정관리부(110)는 사용자가 계정을 이용하여 서비스에 접속하는 위치와 업무내용을 저장하고, 접속 이력을 저장하여 관리한다.
1차 인증부(120)는 사용자의 통합계정에 대한 인증을 수행한다.
1차 인증부(120)는 사용자가 클라우스 서비스를 이용하기 위하여, 통합계정으로 시스템에 로그인하면, 로그인한 단말의 접속 IP와 사용자의 업무일정을 바탕으로 접속 가능한 일정(Schedule)인지 여부를 확인한다.
1차 인증부는 사용자의 위치와 기 등록된 업무일정에 따라 접속 가능한 서비스 제공자의 계정(Account) 및 권한(Role)을 표시하도록 한다.
1차 인증부(120)는 복수의 클라우드 서비스 중 특정 클라우드 서비스에 대한 접속이 가능한 경우 해당 클라우드 서비스에 대한 정보를 표시할 수 있다.
이때, 계정관리부(110)는 사용자의 계정을 연동하고, 그룹에 대한 계정을 연동하며, 접근을 통제할 수 있다.
계정관리부(110)는 연동할 서비스 제공자의 계정(Account) 및 권한(Role) 정보를 통합 인증 시스템에 등록하고, 통합계정에 연결(Mapping)한 후, 접속 통제 방법을 설정한다.
계정관리부(110)는 연동할 서비스 제공자의 계정(Account) 및 권한(Role) 정보를 통합 인증 시스템에 등록하고, 통합계정 그룹에 연결(Mapping)한 후, 필요시 일정(Schedule) 등록을 통한 그룹사용자의 접속 통제 방법을 설정한다.
계정관리부(110)는 특정 사용자의 위치를 기반으로 클라우드 서비스에 접속할 수 있도록 권한을 부여할 수 있다.
또한, 계정관리부(110)는 기 등록된 업무일정을 바탕으로, 특정 시간 동안에, 특정 계정의 권한(Role)으로 클라우드 서비스에 접속할 수 있도록 권한을 부여할 수 있다.
계정관리부(110)는 클라우드 서비스의 리소스에 액세스 하기 위하여, 사용자의 계정권한(Account-Role)을 선택하고 접속을 허용하기 위한 시간을 설정할 수 있다. 또한, 계정관리부는 해당 계정권한(Account-Role)에 개별 사용자를 매핑하거나 또는 사용자 그룹을 매핑할 수 있다.
계정관리부(110)는 이러한 설정에 따른 정보를 권한데이터로 저장한다.
계정관리부(110)의 권한 설정을 통해, 사용자는 특정 위치를 기반으로 권한이 부여되거나 또는 특정 시간 동안 권한이 부여됨에 따라, 리소스에 대한 액세스가 가능해진다.
계정관리부(11)는 특정 위치 또는 특정 시간 외에는 리소스에 대한 액세스가 거부되도록 권한을 설정할 수 있다. 특정 위치는 사용자에 의해 등록된 위치 또는 IP주소이고, 특정 시간은 업무 일정에 따른 시간이다.
예를 들어 A지점에서 B시간동안 C서비스의 리소스를 사용할 수 있도록 권한이 설정될 수 있다. 또한, 계정관리부(110)는 A지점에서의 접속에 대하여, 시간에 관계없이 모든 리소스를 사용할 수 있도록 권한을 설정할 수 있고, 한편, B시간에는 위치에 관계없이 접속할 수 있도록 권한을 설정하는 것 또한 가능하다.
연결부(130)는, 통합계정에 각각의 권한(Role)을 연결하며, 각각의 계정을 그룹으로 관리한다.
스케줄부(140)는 사용자의 접속 통제를 실시한다. 스케줄부(140)는, 사용자의 단말을 이용한 접속위치, 즉 IP를 이용하여 위치를 확인하고, 사용자의 업무 일정을 저장 및 관리한다.
스케줄부(140)는 IP제한 또는 일정(Schedule) 등록하여 사용자의 접속 통제 방법을 설정할 수 있다.
스케줄부(140)는 관리부의 요청에 따라 위치와 일정이 변경되는 경우 그에 대한 정보를 제공한다. 또한, 스케줄부(140)는 요청에 따라 단말의 현재위치와 단말의 접속 위치(IP)의 일치 여부를 확인한다.
접속부(200)는 계정에 대한 권환 확인을 통한 서비스 접속을 실시한다.
접속부(200)는 복수의 클라우드 서비스에 대하여, SAML2.0 기반의 멀티플 접속(multiple sign-in access)에 대하여 인증하고, 관리하며, 멀티 토큰을 이용하여 복수의 클라우드 서비스에 대한 인증체계 간소화 서비스를 수행한다.
접속부(200)는 관리부(100)에서 생성한 자격 증명 공급자(IdP)의 사용자 계정과 통합계정의 역할에 의한 권한 연결 정보를 바탕으로, 로그인한 자격 증명 공급자(IdP)의 사용자가 멀티 클라우드의 콘솔에 바로 접근하기 위한 2차 콘솔 접속 인증과 접근계정목록 및 접근에 따른 이력(History) 등을 조회할 수 있도록 한다.
접속부(200)는 관리부에서 관리되는 계정과 연동 될 서비스 제공자(Service Provider, 이하 SP)와의 접속을 목적으로 SAML 연동을 통한 권한 확인(Authorization)을 실시하고 접속하는 2차 인증 접속부로 나뉘어진다.
접속부(200)는 통합계정을 이용한 인증체계 간소화 서비스를 제공한다. 접속부(200)는 접속관리부(210)와 2차 인증부(220)를 포함한다.
접속관리부(210)는 통합계정에 대해 로그인이 허용된 IP, 접속 가능하도록 설정된 일정(Schedule)을 확인하여 통합계정에서의 서비스 제공자로의 로그인을 제한하여 접근을 통제한다.
2차 인증부(220)는 관리부의 1차 인증 후, 사용자에 대한 2차 인증을 수행한다.
2차 인증부(220)는 접속 가능한 계정 및 권한을 선택하여 접속을 시도하는 경우, 서비스 제공자에게 SAML 2.0 방식을 이용하여 접속 요청에 대한 계정 및 권한의 유효성을 확인한다. 2차 인증부(220)는 확인 결과에 따라 올바른 요청일 경우 해당 서비스로 접속하도록 한다.
2차 인증부(220)는 대상 서비스(Service Provider)가 SAML2.0 연동이 가능하다는 전제 하에 동작하며, 대상 서비스에서 제공하는 클라우드 계정(Account) 및 해당 계정에 대한 권한(Role)이 정의되어 있음을 전제로 한다.
도 3 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 관리서버의 연결에 따른 실시예가 도시된 도이다.
도 3에 도시된 바와 같이, 통합계정 관리 시스템의 관리서버는 계정을 관리한다.
관리부(100)는 도 3의(a)와 같이, 계정의 위치를 기반으로, 즉 사용자의 접속 위치, 접속 콘솔 연결을 설정하여 계정을 관리한다.
관리부(100)는 수정키, 계정권한, 사용자, 사용자 그룹, IP 주소를 통해 사용자의 계정을 설정하거나 수정할 수 있다.
관리부(100)는 등록된 사용자 또는 사용자 그룹에 대하여 서비스에 접속하는 위치, 즉 접속 시 사용된 IP를지정된 IP와 비교하여 사용자 계정에 대한 접속을 관리한다.
또한, 관리부(100)는 도 3의 (b)에 도시된 바와 같이, 일정(일/시간)을 기반으로 사용자의 접속 콘솔 연결을 설정하여 계정을 관리한다.
관리부(100)는 수정키, 계정권한, 사용자, 사용자 그룹, 요일과 시간에 대한 일정을 입력하여 사용자의 계정을 설정하거나 수정할 수 있다.
관리부(100)는 등록된 사용자 또는 사용자 그룹, 그리고 지정된 일정에 따라 사용자 계정에 대한 접속을 관리한다.
도 4 는 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 위치에 따른 계정의 권한변경을 설명하는데 참조되는 도이다.
도 4에 도시된 바와 같이, 사용자는 단말(10)을 통해 복수의 위치(P1 내지 P3)에서 클라우드 서비스(300)에 접속할 수 있다.
사용자는 회사(P1)의 사무실에서 통합계정(91)을 이용하여 클라우드 서비스에 접속한다. 또한, 사용자는 집(P2)에서 통합계정(91)을 이용하여 클라우드 서비스에 접속할 수 있다. 또한, 사용자는 이동 중에, 교통수단(P3)에서 통합계정(91)을 이용하여 클라우드 서비스에 접속할 수 있다.
이때, 관리부(100)는 미리 등록된 위치 또는 일정을 바탕으로, 회사(P1)에는 제 1 권한(81)을 부여하고, 집(P2)에는 제 2 권한(82)을 부여하며, 교통수단(P3)에서는 제 3 권한(83)을 부여할 수 있다.
제 1 내지 제 3 권한은 클라우드 서비스에 대하여 허용되는 리소스의 종류 가 상이하게 설정될 수 있다. 또한, 제 1 내지 제 3 권한은 리소스에 대한 읽기, 쓰기에 대한 권한이거나 또는 접속차단일 수 있다.
그에 따라 사용자는 회사(P1)에서 클라우드 서비스에 접속하여 제 1 권한에 따라 리소스를 처리할 수 있고, 교통수단에서는 제 3 권한에 따라 접속이 차단될 수 있다. 또한 사용자는 집에서 클라우드 서비스에 접속하는 경우 제 2 권한에 따라 오후 7시 이후에만 서비스에 접속할 수도 있다.
사용자가 이동하면서 동일한 단말(10)을 통해 동일한 통합계정으로 클라우드 서비스에 접속하더라도, 접속하는 IP 또는 기 등록된 일정에 맞춰, 관리부가 통합계정에 대한 권한을 자동으로 변경한다.
그에 따라 사용자는 위치 또는 일정에 따라 변경된 권한으로 클라우드 서비스에 접속하여 지정된 작업을 처리할 수 있다.
한편, 관리서버는 사용자는 위치 또는 일정에 따라 권한을 변경하여 접속을 제한함으로써, 사용자의 부적절한 접근, 부적절한 서비스의 사용, 해킹 등의 사고를 방지할 수 있다.
관리서버는 통합계정을 이용한 접속 시, 접속 위치와 수행되는 작업내역을 이력데이터로 저장한다. 그에 따라 관리서버의 관리자는 이력데이터를 통해 통합계정을 모니터링할 수 있다.
도 5 는 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 업무 일정에 따른 계정의 권한설정을 설명하는데 참조되는 도이다.
도 5에 도시된 바와 같이, 제 1 내지 제 3 사용자(1, 2, 3)는 제 1 그룹(8) 또는 제 2 그룹(9)을 형성할 수 있다.
또한, 사용자 또는 그룹에 대하여, 복수의 클라우드 서비스를 이용하기 위한 통합계정이 제 1 계정 내지 제 5 계정(91 내지 95) 등록된다.
제 1 계정(91)은 제 1 내지 제 3 권한(A, B, C)이 설정되고, 제 2 계정(92)은 제 4 권한(D)이 설정되며, 제 3 계정(93)은 제 1,5, 6, 7 권한(A, E, F, G)이 설정된다. 또한, 4 계정(94)은 제 8 내지 10권한(H, I, J)이 설정되며, 제 5 계정(95)은 제 11, 12 권한(K. L)이 설정될 수 있다.
계정에 부여되는 권한, 제 1 내지 제 12 권한(A 내지 L)은 각각의 클라우드 서비스 접속 및 사용에 대한 허락(Permission)을 포함한다.
제 1 사용자(1)는 제 1 계정을 통해 제 1, 3 권한으로 클라우드 서비스를 사용할 수 있다. 또한, 제 1사용자(1)는 제 1 그룹(8)에 포함되어, 제 8, 9 권한(H, I)를 갖는 제 4 계정을 이용하여 클라우드 서비스를 사용할 수 있다.
한편, 제 2 사용자(2)는 제 1, 3 계정(91, 93)을 사용하거나 또는 제 1, 2 그룹(8, 9)를 통해 제 4, 5 계정(94, 95)을 사용할 수 있다.
이러한 계정의 사용은, 사용자의 위치(IP)와, 일정에 따라 변경되는 권한에 대응하여 설정된다. 또한 그룹을 통해 해당 그룹에 포함되는 사용자의 계정에 대하여 일괄적으로 권한을 설정하거나 변경할 수 있다.
도 6 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템에서 토큰 기반의 연결을 설명하는데 참조되는 도이다.
도 6에 도시된 바와 같이, 접속부(200)는 멀티 토큰 기반으로 클라우드 서비스에 대한 통합계정의 접속을 관리한다.
사용자는 단말(10)을 이용하여 클라우드 서비스(300)에 접속한다.
단말(10)이 클라우드 서비스 이용을 위한 인터페이스를 기반으로 접속을 시도하면, 자격 증명 공급자(IdP)를 통해 URL을 이용하여 연결된다(S301).
관리서버의 관리부(100)는 단말(10)을 통해 요청되는 통합계정에 대하여 1 차 인증을 수행하고(S302), 접속부(200)는 사용자 계정에 대한 권한을 확인하여 2차 인증(S303)을 수행한다. 인증이 완료되면, 단말은 통합계정을 통해 클라우드 서비스에 접속된다.
접속부(200)는 사용자의 위치, 즉 단말이 연결한 IP 또는 해당 계정의 일정에 따른 권한을 확인하여 사용자를 인증한다.
이때 관리부(100)는 기 설정된 사용자의 위치(IP)또는 일정에 따라 계정에 대한을 자동으로 변경한다. 사용자는 계정의 권한이 변경됨에 따라, 위치 또는 일정의 진행상태에 대응하는 접속 권한을 부여받을 수 있다.
클라우드 서비스(300)는 사용자의 계정에 대한 권한을 확인하고, 일시적으로 보안자격을 부여한다(S304).
클라우드 서비스(300)로부터의 단말의 접속에 대한 응답을 접속부가 확인하고(S305), 해당 데이터가 단말(10)로 전송된다(S306). 단말(10)은 클라우드 서비스의 응답을 확인하여 서비스 접속에 성공하고, 관련 데이터를 관리부(100)로 재전송한다.
관리부(100)는 사용자의 서비스 사용에 대한 데이터를 바탕으로 이력데이터를 저장하고 관리한다.
그에 따라 사용자는 단말(10)을 통해 통합계정으로 클라우드 서비스에 연결되어, 필요한 서비스에 대한 리소스를 제공받을 수 있다.
도 7 은 본 발명에 따른 토큰 기반의 통합계정 관리 시스템의 위치 또는 일정 기반의 접속제한 방법이 도시된 순서도이다.
도 7 에 도시된 바와 같이, 관리부는 사용자의 클라우드 서비스 사용에 따른 통합계정을 등록한다. 관리부는 입력되는 위치정보(IP) 또는 일정에 대응하여 자동으로 통합계정에 대한 권한을 부여하고 또한 변경한다.
단말(10)은 통합계정을 통해 클라우드 서비스의 접속을 시도한다.
접속부(200)는 단말(10)의 통합계정을 이용한 접속 시도에 대하여, 위치 또는 일정을 바탕으로 허용여부를 판단한다(S410).
예를 들어 접속부(200)는 단말(10)의 통합계정에서, 연결에 사용된 IP가 지정된 IP인지 여부를 판단한다. 한, 접속부(200)는 통합계정에 설정된 일정을 바탕으로 접속 허용 시간인지 여부를 판단할 수 있다. 또한, 접속부(200)는 단말의 종류에 따라 접속 권한을 판단할 수도 있다.
접속부(200)는 위치와 일정 중 적어도 하나를 바탕으로 단말(10)의 통합계정을 통한 클라우드 서비스의 접속에 대한 인증을 수행한다.
인증이 실패하면, 단말(10)에 접속을 거부한다(S480).
인증이 완료되면, 접속부(200)는 단말(10)의 클라우드 서비스로 접속을 위한 요청을 클라우드 서비스로 전송한다 (S420).
클라우드 서비스는 사용자의 계정을 확인하고, 부여된 권한을 확인하여 접속허용 여부를 판단한다. 클라우드 서비스는 접속 허용에 대한 응답을 전송하고(S440), 접속부는 응답을 단말로 전송한다.
그에 따라 단말(10)은 통합계정을 통한 클라우드 서비스에 접속되고(S460), 리소스를 요청하여 작업을 진행한다. 이때, 통합계정에 부여되는 권한에 따라 사용 가능한 리소스가 제한될 수 있다.
단말(10)이 클라우드 서비스에 접속된 상태에서, 접속부는 지속적으로 IP의 변동 여부를 확인하고, 또한 일정에 따라 접속이 허용된 시간인지 여부를 확인하여 해당 계정의 접속이 허용된 것인지 판단한다(S470).
클라우드 서비스에 접속된 상태에서 IP가 변경되거나 또는 일정을 벗어나 허용되지 않은 시간에 도달하면, 단말(10)의 접속이 거부되고(S480) 연결이 해제된다.
관리부(100)는 클라우드 서비스 접속 시, 통합계정을 통한 단말의 리소스 사용에 대한 이력데이터를 저장한다.
상기와 같이 동작하는 본 실시예에 따른 이동 로봇은 독립적인 하드웨어 장치 형태로 구현될 수 있으며, 적어도 하나 이상의 프로세서(processor)로서 마이크로 프로세서나 범용 컴퓨터 시스템과 같은 다른 하드웨어 장치에 포함된 형태로 구동될 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.
10: 단말 50: 관리서버
100: 관리부 200: 접속부
300: 클라우드 서비스

Claims (16)

  1. 클라우드 서비스를 제공하는 복수의 클라우드 시스템;
    권한이 부여된 통합계정을 통해 상기 복수의 클라우드 시스템에 접속하여 리소스를 제공받는 단말; 및
    상기 단말이 상기 통합계정을 통해 상기 복수의 클라우드 시스템에 접속하도록 복수의 통합계정을 관리하는 관리서버;를 포함하고,
    상기 관리서버는,
    상기 복수의 클라우드 시스템에 접속하기 위한 상기 통합계정을 등록하고, 기 설정된 위치정보 및 일정정보에 따라 상기 통합계정에 권한을 부여하는 관리부; 및
    상기 통합계정의 상기 복수의 클라우드 시스템에 대한 접속을 인증하는 접속부;를 포함하고
    상기 접속부는 멀티 토큰 기반으로 상기 클라우드 서비스에 대한 상기 통합계정의 접속을 관리하여 인증체계 간소화를 수행하며,
    상기 관리부는 상기 통합계정과, 상기 클라우드 시스템의 접속을 위한 권한을 연결하고, 상기 위치정보 또는 상기 일정정보에 대응하여 접속 가능한 클라우드 서비스에 대한 정보를 출력하는 통합 관리 시스템.
  2. 제 1 항에 있어서,
    상기 관리부는 상기 위치정보 또는 일정에 대응하여 상기 통합계정에 대한 권한을 자동으로 변경하는 것을 특징으로 하는 통합 관리 시스템.
  3. 제 1 항에 있어서,
    상기 관리부는 상기 단말이 상기 통합계정을 이용하여 상기 클라우드 시스템에 접속하면, 상기 통합계정에서 사용한 서비스, 리소스, 작업내역에 대한 이력데이터를 저장하는 것을 특징으로 하는 통합 관리 시스템.
  4. 제 1 항에 있어서,
    상기 접속부는 상기 단말이 상기 통합계정을 이용하여 상기 클라우드 시스템에 접속하는 동안, 상기 통합계정의 IP변경 여부 또는 일정에 따른 접속허용 시간인지 여부를 판단하여 허용되지 않은 IP 또는 일정에 대하여 접속을 해제하도록 하는 것을 특징으로 하는 통합 관리 시스템.
  5. 제 1 항에 있어서,
    상기 관리부는 상기 복수의 클라우드 시스템에 대하여 개별 계정을 등록하지 않고, 상기 통합계정과 요청된 클라우드 서비스에 대한 접근 권한을 연결하여 상기 통합계정을 통해 상기 복수의 클라우드 시스템에 접속하도록 하는 것을 특징으로 하는 통합 관리 시스템.
  6. 제 1 항에 있어서,
    상기 관리부는 상기 통합계정의 1차 인증만으로 접속하고자 하는 클라우드 시스템에 대한 다수 계정을 관리하는 것을 특징으로 하는 통합 관리 시스템.
  7. 제 1 항에 있어서,
    상기 관리부는
    상기 통합계정을 등록하고 권한을 부여하는 계정관리부;
    상기 통합계정과, 상기 클라우드 시스템의 계정에 대하여 1차 인증하는 1차 인증부;
    상기 통합계정과 권한을 연결하는 연결부; 및
    상기 통합계정에 위치정보와 접속허용 시간에 대한 일정정보를 설정하는 스케줄부;를 포함하는 통합 관리 시스템.
  8. 제 7 항에 있어서,
    상기 계정관리부는 한 명의 사용자에 대하여 하나의 통합계정을 할당하여 상기 복수의 클라우드 시스템을 상기 통합계정으로 접속하도록 등록하는 것을 특징으로 하는 통합 관리 시스템.
  9. 제 7 항에 있어서,
    상기 계정관리부는 사용자 또는 사용자 그룹 단위로 상기 통합계정을 생성하여 관리하는 것을 특징으로 하는 통합 관리 시스템.
  10. 제 7 항에 있어서,
    상기 계정관리부는 상기 단말에 대하여 상기 통합계정을 생성하여 관리하는 것을 특징으로 하는 통합 관리 시스템.
  11. 제 1 항에 있어서,
    상기 접속부는 상기 통합계정에 부여된 권한을 바탕으로 상기 클라우드 시스템에 대한 접속 허용여부를 판단하는 접속관리부; 및
    상기 권한을 바탕으로 상기 클라우드 시스템에 대한 상기 통합계정의 접속에 대한 2차 인증을 수행하는 2차 인증부를 포함하는 통합 관리 시스템.
  12. 클라우드 서비스를 제공하는 복수의 클라우드 시스템에 연결된 통합계정을 생성하는 단계;
    상기 통합계정과, 상기 클라우드 시스템의 접속을 위한 권한을 연결하는 단계;
    상기 통합계정에 설정된 위치정보 또는 일정정보에 따라 상기 통합계정에 대한 권한이 부여되는 단계;
    상기 통합계정을 사용하여, 단말이 상기 복수의 클라우드 시스템 중 어느 하나의 클라우드 시스템에 접속을 시도하는 단계;
    멀티 토큰 기반으로 상기 통합계정에 대한 인증을 수행하여, 상기 통합계정에 부여된 권한을 바탕으로 상기 클라우드 시스템의 접속허용 여부를 판단하는 단계;
    상기 위치정보 또는 상기 일정정보에 대응하여 접속 가능한 클라우드 서비스에 대한 정보를 출력하는 단계;및
    상기 단말이 접속이 허용된 클라우드 시스템에 접속하여 클라우드 서비스를 제공받는 단계를 포함하는 통합 관리 시스템의 제어방법.
  13. 제 12 항에 있어서,
    상기 통합계정의 위치정보를 바탕으로 상기 통합계정에 할당된 IP의 허용여부를 판단하는 단계; 및
    상기 통합계정의 일정을 바탕으로 접속이 허용된 시간인지 여부를 판단하는 단계를 더 포함하는 통합 관리 시스템의 제어방법.
  14. 제 12 항에 있어서,
    상기 통합계정에 대하여 1차 인증하는 단계; 및
    상기 접속허용 여부를 판단하기 전, 상기 권한을 바탕으로 상기 통합계정에 대하여 2차 인증하는 단계;를 더 포함하는 통합 관리 시스템의 제어방법.
  15. 제 12 항에 있어서,
    상기 위치정보 및 일정에 대응하여 상기 통합계정에 대한 권한을 자동으로 변경하는 단계를 더 포함하는 통합 관리 시스템의 제어방법.
  16. 제 12 항에 있어서,
    상기 단말이 상기 통합계정을 이용하여 상기 클라우드 시스템의 클라우드 서비스에 접속하는 동안,
    상기 통합계정의 IP가 변경되는지 여부를 판단하는 단계;
    상기 일정정보를 바탕으로 접속허용 시간인지 여부를 판단하는 단계;
    IP 변경 여부 및 접속허용 시간 여부의 판단을 반복하는 단계; 및
    허용되지 않은 IP 또는 일정에 대하여 상기 단말의 접속을 해제하는 단계를 더 포함하는 통합 관리 시스템의 제어방법.
KR1020190091718A 2019-07-29 2019-07-29 토큰 기반의 통합계정 관리 시스템 및 그 방법 KR102184928B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190091718A KR102184928B1 (ko) 2019-07-29 2019-07-29 토큰 기반의 통합계정 관리 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190091718A KR102184928B1 (ko) 2019-07-29 2019-07-29 토큰 기반의 통합계정 관리 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102184928B1 true KR102184928B1 (ko) 2020-12-01

Family

ID=73790930

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190091718A KR102184928B1 (ko) 2019-07-29 2019-07-29 토큰 기반의 통합계정 관리 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102184928B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114422231A (zh) * 2022-01-17 2022-04-29 中国建设银行股份有限公司 一种多云管理平台的资源管理方法及相关设备
WO2023064601A1 (en) * 2014-08-28 2023-04-20 Facetec, Inc. Method and system to autonomously authenticate and validate users using a node server and database
KR102551891B1 (ko) * 2022-08-25 2023-07-05 오창선 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템
KR20240037641A (ko) 2022-09-15 2024-03-22 삼성에스디에스 주식회사 토큰 검증 방법 및 이를 이용한 서비스 서버

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160072391A (ko) * 2014-12-12 2016-06-23 주식회사 에프지아이 스마트워크 환경에서의 통합 접근 보안 관리 및 그 방법
US9749331B1 (en) * 2011-05-03 2017-08-29 Symantec Corporation Context based conditional access for cloud services
KR20180068514A (ko) 2016-12-14 2018-06-22 한국전자통신연구원 클라우드 기반 가상 보안서비스 제공 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9749331B1 (en) * 2011-05-03 2017-08-29 Symantec Corporation Context based conditional access for cloud services
KR20160072391A (ko) * 2014-12-12 2016-06-23 주식회사 에프지아이 스마트워크 환경에서의 통합 접근 보안 관리 및 그 방법
KR20180068514A (ko) 2016-12-14 2018-06-22 한국전자통신연구원 클라우드 기반 가상 보안서비스 제공 장치 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023064601A1 (en) * 2014-08-28 2023-04-20 Facetec, Inc. Method and system to autonomously authenticate and validate users using a node server and database
CN114422231A (zh) * 2022-01-17 2022-04-29 中国建设银行股份有限公司 一种多云管理平台的资源管理方法及相关设备
KR102551891B1 (ko) * 2022-08-25 2023-07-05 오창선 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템
KR20240037641A (ko) 2022-09-15 2024-03-22 삼성에스디에스 주식회사 토큰 검증 방법 및 이를 이용한 서비스 서버

Similar Documents

Publication Publication Date Title
KR102184928B1 (ko) 토큰 기반의 통합계정 관리 시스템 및 그 방법
US11265306B2 (en) Account authentication method for cloud storage, and server
Takabi et al. Security and privacy challenges in cloud computing environments
US8984291B2 (en) Access to a computing environment by computing devices
US20200267090A1 (en) Organization level identity management
US9344432B2 (en) Network layer claims based access control
US6678682B1 (en) Method, system, and software for enterprise access management control
US20080092215A1 (en) System and method for transparent single sign-on
CN104050401A (zh) 用户权限管理方法及系统
CN102523089B (zh) 用于批处理系统的第二凭证
US20130055382A1 (en) Managing Access to Storage Media
US8271785B1 (en) Synthesized root privileges
CN115037743A (zh) 云数据库操作中的租户用户管理
RU2348075C2 (ru) Перемещение сущностей, обладающих учетными записями, через границы безопасности без прерывания обслуживания
CN114969707A (zh) 一种单点登录方法、装置、设备及介质
KR102157743B1 (ko) Sso 인증을 사용하는 시스템에서 사용자의 리소스 접근을 제어하는 방법
KR102214162B1 (ko) 서버 후킹을 통한 사용자 기반 객체 접근 제어 시스템
US20220166763A1 (en) System and method for managing integrated account based on token
CN117195177A (zh) 一种面向大数据平台的统一用户管理系统及方法
Purba et al. Assessing Privileged Access Management (PAM) using ISO 27001: 2013 Control
WO2007090866A1 (en) Collaborative access control in a computer network
CN114553450A (zh) 合并管理系统及合并管理系统的控制方法
EP3455769B1 (en) Virtual smart cards with audit capability
CN110365700A (zh) 一种基于服务的访问控制方法
CN116244717A (zh) 基于vue的前端权限控制方法、系统、装置及介质

Legal Events

Date Code Title Description
GRNT Written decision to grant