03Identity Source 종류와 비교Identity Source 종류와 비교

게이트웨이는 일부 소스에서는 직접 신원을 얻고, 다른 소스에서는 엔드포인트나 Windows 서버에 설치된 Identity Client가 신원을 얻어 게이트웨이에 공유 합니다. Identity Client는 게이트웨이와 버전이 다를 수 있습니다.

신원 소스는 게이트웨이 객체의 Identity Awareness 페이지 에서 켜고 정책을 설치해야 동작합니다.

Browser-Based Authentication 은 웹 포털(Captive Portal)이나 Transparent Kerberos로 신원을 취득 합니다. 비-AD 사용자(비-Windows·게스트)의 신원 집행 에 좋고(로깅 목적은 아님), Kerberos SSO는 AD에 이미 로그인한 알려진 사용자 를 투명하게 인증합니다(설정).

AD Query 는 Active Directory에서 클라이언트 없이 신원을 매끄럽게 취득 합니다. 신원 기반 감사·로깅, 인터넷 애플리케이션 제어 에 좋고 데스크톱 사용자에게 권장 되나, AD 사용자·컴퓨터만 탐지 합니다(설정).

Identity Agent 는 엔드포인트에 설치한 경량 에이전트로 SSO 인증 합니다. 데이터센터·민감 서버 보호, 신원 탐지 정확도가 중요할 때 적합합니다. Terminal Servers Identity Agent 는 한 IP에서 접속하는 여러 사용자(터미널/Citrix 환경)를 식별 합니다(상세는 Identity Awareness Clients 관리자 가이드).

RADIUS Accounting 은 RADIUS 회계 클라이언트가 보내는 회계 요청에서 신원을 취득 하고 LDAP에서 그룹 정보를 얻어 권한을 적용합니다(인증을 RADIUS 서버가 처리하는 환경). Identity Collector 는 AD 도메인 컨트롤러·Cisco ISE·NetIQ eDirectory에서 신원을 수집 하는 Windows 앱입니다. Identity Web API 는 HTTPS로 JSON 요청을 받아 유연하게 신원을 생성 하며, add-identity·delete-identity·show-identity 명령을 지원합니다(사전 공유 비밀 필요). Remote Access 는 Office Mode로 동작하는 Mobile Access·IPsec VPN 클라이언트가 접속할 때 신원을 취득 합니다(같은 게이트웨이에 IA·IPsec VPN 블레이드를 함께 켜야 함). 이 둘의 상세는 RADIUS·API·Remote Access에서 다룹니다.

핵심은 환경과 목적에 맞춰 하나 이상을 조합 하는 것입니다. 감사·로깅이 목적이면 AD Query, 비-AD·게스트의 집행이면 Captive Portal, 정확도가 중요한 민감 서버면 Identity Agent, RADIUS 인증 환경이면 RADIUS Accounting, 터미널/Citrix면 Terminal Servers Agent 가 잘 맞습니다. 여러 소스를 함께 쓸 때 신원이 겹치면 PDP의 Identity Conciliation이 이를 조정합니다.