목차/07. 사용자 인증과 세션 관리

07사용자 인증과 세션 관리사용자 인증과 세션 관리

포털에 들어와 응용을 쓰려면 먼저 사용자가 본인임을 증명 해야 합니다. 이 장은 Mobile Access가 지원하는 인증 방식, 한 게이트웨이에 여러 로그인 옵션을 두는 Multiple Login Options, 클라우드 ID 공급자와 잇는 SAML, 일회용 비밀번호 DynamicID로 더하는 다중 인증, 그리고 로그인 이후의 세션 관리 까지를 정리합니다.

어떤 방식으로 인증하나

인증(Authentication)은 사용자가 자신이 주장하는 그 사람인지 확인 하는 단계입니다. SmartDashboard에 정의된 사용자는 다음 중 하나 이상으로 게이트웨이에 인증합니다 — 사용자 이름·비밀번호, 클라이언트 인증서(ICA 또는 제3자 OPSEC CA 발급), RADIUS 서버, SecurID(RSA의 토큰 기반), 그리고 1차 인증 뒤에 더하는 DynamicID 일회용 비밀번호(OTP) 입니다. 이 밖에 사용자 레코드에 인증 방식을 박아 두는 Legacy Authentication도 있습니다. 게이트웨이에 설정되지 않은 방식으로 인증을 시도한 사용자는 접근이 거부 됩니다.

Multiple Login Options — 여러 로그인 옵션

한 게이트웨이에 여러 로그인 옵션을 두어, 사용자가 그중 하나를 골라 로그인 하게 할 수 있습니다(Mobile Access·IPsec VPN 모두, 게이트웨이·블레이드·클라이언트별로 다르게). 각 옵션은 여러 게이트웨이에서 재사용하는 전역 객체 라, 한 번 만들면 여러 곳에 적용됩니다. 기본 옵션으로 Personal_Certificate(인증서), Username_Password(이름·비밀번호), Cert_Username_Password(둘 다)가 있습니다.

옵션 하나는 하나 이상의 인증 요소(Factor)와 그 설정의 묶음 입니다 — 예컨대 SecurID를 고르면 SecurID 서버와 토큰 카드 유형을, Personal Certificate를 고르면 어느 인증서 필드에서 사용자명을 뽑을지(Certificate Parsing, 기본 DN, 이메일·일련번호도 가능)를 정합니다. 옵션의 순서도 정하는데, Personal Certificate를 포함하면 반드시 첫 번째여야 하고, DynamicID는 첫 번째일 수 없 습니다. 각 옵션은 Mobile Access Portal·Capsule Workspace 중 어디서 보일지도 지정하며, Customize Display 로 로그인 화면의 제목·입력란 설명을 사용자가 이해하기 쉬운 말(예: "AD 사용자명", "이메일 주소")로 바꿀 수 있습니다.

구버전 클라이언트와의 호환도 고려해야 합니다. 기본적으로 구버전 클라이언트의 접속이 허용 되지만, 대부분을 다중 로그인 옵션 지원 버전으로 올렸다면 구버전을 차단해 더 안전하게 운영할 수 있고, 반대로 신버전 클라이언트가 구버전용 설정으로 접속하게 할지도 선택할 수 있습니다.

SAML — 클라우드 ID 공급자와 잇기

SAML 을 쓰면 제3자 Identity Provider(예: Okta)를 인증 수단으로 삼아, Mobile Access 게이트웨이·포털이 Service Provider 역할 을 합니다. Identity Provider는 신원을 만들고 관리하며 인증 서비스를 제공하고, Service Provider는 그렇게 인증된 사용자에게 서비스를 제공 합니다.

흐름은 이렇습니다 — 사용자가 게이트웨이 URL로 접속(①)하면 게이트웨이가 로그인 페이지를 열고(②), 사용자 브라우저를 Identity Provider 포털로 보내(③) 거기서 인증하게 합니다(④). Identity Provider는 디지털 서명된 SAML assertion을 만들어 브라우저로 돌려보내고(④), 브라우저는 이를 게이트웨이로 전달(⑤)하며, 게이트웨이가 assertion을 검증한 뒤 사용자를 포털로 보내 사내 자원에 접근하게 합니다(⑥).

① 게이트웨이 접속 ② 로그인 페이지 ③ Identity Provider(Okta)로 리디렉트 ④ 사용자 인증·SAML assertion 발급 ⑤ assertion을 게이트웨이로 전달 ⑥ 검증 후 포털 접근 — Mobile Access를 Service Provider로, Okta를 Identity Provider로 두는 SAML 인증 흐름
① 게이트웨이 접속 ② 로그인 페이지 ③ Identity Provider(Okta)로 리디렉트 ④ 사용자 인증·SAML assertion 발급 ⑤ assertion을 게이트웨이로 전달 ⑥ 검증 후 포털 접근 — Mobile Access를 Service Provider로, Okta를 Identity Provider로 두는 SAML 인증 흐름

구성은 크게 블레이드·포털 설정 → Legacy SmartDashboard에 모든 IdP 인증 사용자를 대표하는 generic External User Profile 만들기 → SmartConsole에서 Identity Provider 객체 생성 순으로 진행합니다.

SmartConsole에서 New > More > User/Identity > Identity Provider로 새 IdP 객체를 만드는 화면
SmartConsole에서 New > More > User/Identity > Identity Provider로 새 IdP 객체를 만드는 화면
게이트웨이를 고르고 SAML Identity Provider가 요구하는 데이터를 채우는 New Identity Provider 창
게이트웨이를 고르고 SAML Identity Provider가 요구하는 데이터를 채우는 New Identity Provider 창

다중 인증과 그 변형들 — DynamicID 등

DynamicID1차 인증을 통과한 사용자에게 이메일·문자로 보낸 일회용 비밀번호(OTP)를 추가로 요구 하는 다중 인증입니다. 이 밖에도 게이트웨이마다 다른 인증을 쓰는 구성, Image-Based RADIUS 인증, MS-CHAPv2와 UPN을 쓰는 RADIUS 인증, 그리고 자동화 봇을 거르는 Google reCAPTCHA Challenge 같은 변형이 지원됩니다. 인증 과정에서 게이트웨이가 디렉터리 서버에서 사용자를 어떻게 찾는지(검색 순서) 도 구성할 수 있으며, 이런 시나리오별 세부 절차는 원문 해당 절을 참고합니다.

로그인 이후 — 세션 관리

인증을 마치면 사용자에게 세션 이 부여되며, 로그아웃하거나 연결이 타임아웃될 때까지 이어지는 통신 기간 입니다. Session Settings 에서 세션 타임아웃·동시 세션 같은 정책을 정하고, Advanced Password Management 로 비밀번호 만료·변경 흐름을 다룹니다. 운영 중에는 Session Visibility and Management Utility 로 현재 활성 세션을 보고 필요하면 강제 종료 할 수 있습니다. 한 게이트웨이의 모든 인증 설정을 한눈에 보려면 SmartDashboard의 Mobile Access 탭 > Gateways에서 각 게이트웨이를 펼쳐 확인합니다. 세부 설정값은 원문 Session Settings·Advanced Password Management 절을 참고하세요.