10Identity BrokerIdentity Broker

Identity Broker 는 PDP Gateway 사이의 신원 공유 방법 입니다. 분산 환경에서 한 PDP가 받은 신원을 다른 PDP로 전파 해, 더 확장성 있고 견고한 계층·토폴로지를 만듭니다. PDP 인스턴스의 Web-API 기반 기능 으로, PDP 사이에 새 통신 채널을 더합니다.

동작은 이렇습니다 — 한 PDP가 신원 소스에서 신원을 배우고, 그룹 멤버십을 조회해 Access Role을 계산한 뒤, 다른 PDP들에 공유 합니다. 그러면 받는 PDP·신원 소스·User Directory의 부하가 줄 어듭니다. 무엇보다 서로 다른 Security Management Server(또는 Domain Management Server)가 관리하는 PDP 사이에서도 공유할 수 있다는 점이 핵심입니다.

Identity Broker의 두 역할은 Publisher(신원을 공유하는 게이트웨이) 와 Subscriber(신원을 받는 게이트웨이) 입니다.

기본적으로 받은 모든 신원을 공유 하지만, 필터 로 필요 없는 신원의 공유를 막 을 수 있습니다. 네트워크, 사용자/컴퓨터 이름, 도메인, 신원 소스, Access Role, distinguished name 으로 필터링 하거나, 로컬 세션만 공유(자기가 직접 취득한 세션만 전달하고, 다른 PDP에서 배운 세션은 전달하지 않음) 하도록 설정합니다.

정리하면, PDP→PEP 공유가 한 도메인 안의 기본 공유라면, Identity Broker는 PDP↔PDP·도메인 간 공유 로 규모를 키우는 메커니즘이며, 필터로 꼭 필요한 신원만 흐르게 다듬습니다. 모니터링·제어에는 pdp broker 명령을 씁니다.