Ⅰ. 서 론
협업은 데이터 공유 및 정보 교환을 통해 업무의 효율성을 배가시키고 다양한 분야 및 기관 간의 경계를 허물어 조직의 유연성을 향상시킴으로써 시너지를 극대화한다[1,2]. 특히 지식기반의 연구개발을 수행하는 R&D 사업에 있어 협업이 미치는 영향은 크다. 다양한 연구 분야 및 교육·연구기관과의 협업을 통해 연구자는 폐쇄적인 연구 환경의 제약을 극복하고 창의적이고 혁신적인 연구 주제를 발굴함으로써 연구 성과를 양적·질적으로 향상시킬 수 있다. 이와 같이 R&D 협업의 필요성이 재조명되고 유연하고 효율적으로 협업을 진행하려는 수요 또한 증가하면서 유럽, 미국, 일본 등 세계 각국은 자국 내 연구·교육 분야의 협업 생태계를 조성하고 협업을 활성화하기 위한 협업 인프라 구축에 힘쓰고 있다[3-10].
효율적인 협업을 위해서는 협업 참여 기관 간 연구자원의 원활한 공유가 필수적이다. 본 논문에서 연구자원이란 연구·개발에 필요한 모든 유형·무형의 자원을 의미하는 것으로 지식정보, 원천 데이터 등의 정보자원, 각종 연구 장비, 스토리지, CPU 등의 하드웨어 및 연구·개발을 지원하는 다양한 소프트웨어를 통칭한다. 연구자원의 공유를 위해서는 외부 협업 연구자들이 접근권한에 따라 허용된 범위 내에서 연구자원에 접근할 수 있어야 한다. 즉 연구자원을 제공하는 기관의 입장에서는 연구자원에 대한 연구자원 접근제어, 차별적 권한 부여 등의 기술적인 문제가 해결되어야 하고, 연구자 입장에서는 각종 연구자원을 보다 편리하고 신속하게 활용하기 위한 기반 협업 인프라가 마련되어야 한다.
이에 본 논문은 국내 연구·교육기관들의 협업 생태계 구축 및 협업 활성화를 위한 통합협업 인프라를 소개한다. 제안된 통합협업 인프라는 연구자원을 공급하는 서비스 제공자(Service Provider, SP), 사용자 정보 수집·관리 및 인증서비스를 제공하는 ID 제공자(Identity Provider, IdP), 서비스 제공자와 ID 제공자 를 중개하는 협업 플랫폼(collaboration platform, CP)으로 구성되며, 사용자 인증 및 연구자원에 대한 접근제어를 위해 ID 페더레이션 기술을 활용한다.
ID 페더레이션(Identity Federation[11-13])이란 ID 제공자에서 수행된 사용자 인증 결과 및 사용자 속성정보들(e.g., 소속기관, 직급 등)을 서비스 제공자들이 활용하는 기술이다. 통합협업 인프라는 ID 페더레이션 기술을 기반으로 서비스 제공자로부터 사용자 인증 기능을 분리하여 ID 제공자에게 위임한다. 연구자가 서비스 제공자의 연구자원에 접근할 때 서비스 제공자는 협업 플랫폼의 중개를 통해 연구자의 소속기관인 ID 제공자에게 사용자 인증을 요청한다. ID 제공자는 사용자 인증을 수행하고, 서비스 제공자는 ID 제공자로부터 전송된 인증 결과와 사용자 속성 정보를 바탕으로 자신이 제공하는 연구자원에 대한 접근 허용여부를 결정한다.
제안된 통합협업 인프라에서 연구자들은 별도의 서비스 가입 없이 자신이 속한 소속기관의 인증 정보만으로 타 연구기관의 연구자원을 활용할 수 있으므로 협업의 효율이 향상된다. 또한 각 연구기관이 개별적으로 확보하기 어려운 고가의 연구 장비, 원천데이터 등을 통합협업 인프라를 통해 공유함으로써 연구자원의 활용률을 극대화하고 연구 생산성을 향상 시킬 수 있다. 이와 같이 통합협업 인프라는 연구기관들이 개별적으로 보유하고 있는 연구자원을 국가적으로 공유하기 위한 국내 최초의 협업 인프라라는 점에서 의의를 가진다.
본 논문의 구성은 다음과 같다. 제 2장에서는 대표적인 협업 인프라들의 구축 사례를 살펴본다. 제 3장 및 제 4장에서는 통합협업 인프라의 개요와 개발에 대해 각각 기술한다. 제 5장에서는 통합협업 인프라에서의 활용 시나리오를 설명하고 마지막으로 제 6장에서 맺음말을 통해 본 논문을 마무리한다.
Ⅱ. 해외 협업 인프라 구축 사례
세계 각국은 2000년대 중반부터 연구·교육 분야의 협업 활성화를 위해 협업 인프라 구축을 추진하고 있다. 본 절에서는 미국, 네덜란드, 일본, 호주의 협업 인프라 사례를 살펴본다.
2.1. InCommon
InCommon[3]은 미국 내 다수의 대학, 연구소, 상용 서비스 업체들이 참여한 국가적 협업 인프라이다. InCommon은 ID 페더레이션 기술을 기반으로 각 연구·교육기관들이 보유한 사용자 인증 시스템을 클라우드 서비스 등과 상호 연계함으로써 전국적 규모의 통합인증 환경을 제공하고 있다. 2015년 현재 466개의 교육기관, 33개 비영리 연구기관, 204개의 클라우드 서비스 업체 등 총 700개 이상의 단체가 InCommon에 참여하고 있으며 750만 명 이상의 연구자들이 InCommon과 연계된 클라우드 서비스를 이용 중이다.
2.2. SURFconext
SURFconext[4]는 네덜란드의 SURFnet이 서비스 중인 협업 플랫폼으로써 ID 페더레이션을 통해 전국적 규모의 통합인증 환경을 제공한다. 또한 다양한 소속기관 및 연구 분야의 연구자들로 구성된 가상 연구 그룹을 조직할 수 있도록 그룹 관리 서비스도 함께 제공하고 있다. 2015년 현재 150개 이상의 클라우드 서비스 업체와 112개의 ID 제공자가 SURFconext에 의해 상호 연동되고 있으며 해당 수치는 자국 내 교육 및 연구기관 소속자의 90% 이상을 차지하는 규모이다.
SURFnet은 오픈소스 협업 플랫폼인 OpenConext [14]를 개발하여 공개하였다. OpenConext는 협업 지원을 위한 다양한 공개 소프트웨어들로 구성되어 각국의 협업 인프라 구축 시 참조·활용되며 ID 페더레이션을 위한 SAML2.0 기반의 SAML 중개 기능과 그룹조직을 위한 그룹 중개 기능이 주요 기능이다. GUI(Graphic User Interface) 기반의 관리자 도구들을 포함하며 개별 사용자가 자신의 프로파일 정보를 조회·관리할 수 있도록 웹기반의 사용자 인터페이스도 포함한다. 또한 사용자 인증서비스를 제공하는 ID 제공자들을 관리하고 목록을 제공하는 ID 제공자 탐색 서비스(Identity Provider Discovery Service)를 제공한다.
2.3. GakuNin
일본의 국립정보학연구소(National Institute of Informatics, NII)는 일본 내 80% 이상의 국공립 대학이 가입된 과학기술정보망(Science Information Network, SINET)을 운영하며 R&D 협력 네트워크 구축, 협업 서비스 및 디지털 컨텐츠 개발 등 다양한 방법으로 R&D 협업을 지원하고 있다. 또한 대학, 연구소, 상용 서비스 업체들이 참여하는 연구자원에 대한 공동 활용 체계를 만들기 위해 ID 페더레이션 기술을 기반으로 GakuNin (學認)[5]을 구축 후 서비스 중이다. GakuNin은 전자저널 및 학술정보서비스를 주 서비스로 제공하고 있으며 현재 90% 이상의 일본 내 국립대학과 총 100여개의 서비스 업체가 참여하고 있다.
2.4. AAF
AAF(Australian Access Federation[6])는 2009년부터 호주 정부의 지원 아래 ID 페더레이션 기반의 협업 인프라를 개발해왔으며 2012년부터는 ID 페더레이션 및 협업 지원 서비스를 상용으로 제공하고 있다. 현재 전자저널, 스토리지 서비스, 의학·언론학 등 전문분야의 서비스를 포함해 총 100여개의 서비스를 제공하고 있으며, 자국 내 대학 위주로 구성된 50여개의 교육·연구기관들이 AAF에 참여 중이다.
Ⅲ. 통합협업 인프라의 개요
본 절에서는 제안된 통합협업 인프라의 개요에 대해 기술한다. 제시된 협업 인프라는 소속기관이 다른 구성원들의 협업 지원 기능에서 나아가, 개별 기관이 보유한 연구자원을 통합협업 인프라를 통해 논리적으로 중앙 집중화함으로써 연구자원들에 대한 국가적 공동 활용을 위한 통합환경 구축을 목표함으로써 통합협업 인프라라 명명한다.
3.1. 통합협업 인프라의 구조 및 기대효과
제안된 통합협업 인프라는 개별 교육·연구 기관 간 협력 증진 및 연구자 간 협업의 효율성 제고를 위해 다양한 협업 서비스와 연구자원들을 모두 포함하는 협업환경이다.
그림 1은 통합협업 인프라의 구성요소를 보여준다. 제안한 통합협업 인프라는 서비스 제공자, ID 제공자, 협업 플랫폼으로 구성된다. 서비스 제공자는 각종 연구자원 및 협업 서비스를 제공하는 기능을 담당하며 연구자원을 제공하는 대학, 연구소 등 비영리 제공기관 및 상용 서비스 업체가 포함된다. ID 제공자는 사용자 인증 정보 등을 관리하고 인증 수행 후 인증 결과와 사용자 속성정보를 제공하며 일반적으로 연구·교육기관들이 구성원에 대해 ID 제공자로 기능한다. 협업 플랫폼은 ID 제공자와 서비스 제공자 간 사용자 인증 요청 및 결과 등의 메시지를 중개한다.
그림 1.통합협업 인프라의 구성요소 Fig. 1 Components of collaboration infrastructure
ID 제공자와 서비스 제공자 간에는 사용자 정보 및 연구자원 공유, 접근권한, 과금 등에 대한 합의된 정책 및 상호 신뢰 관계가 존재해야 한다. 협업 플랫폼은 사용자 인증을 위해 서비스 제공자와 ID 제공자를 중개하며 ID 제공자의 인증 결과 및 사용자 속성 정보를 서비스 제공자에게 전달한다. 서비스 제공자는 전달받은 인증 결과와 사용자 속성 정보를 기반으로 사용자에게 연구자원에 대한 접근권한을 부여할 수 있다. 제안한 통합협업 인프라는 아래와 같은 기대효과를 가진다.
• 연구자는 소속기관에 등록된 자신의 인증 정보를 이용해 통합협업 인프라 내 다양한 연구자원을 손쉽게 활용할 수 있으므로 협업의 효율성을 향상시킨다. 또한 사용자 정보가 소속기관에서만 유지되므로 개인정보 유출의 위험이 감소하고, 소속기관의 사용자 정보만 유지하면 되므로 사용자 ID 및 암호의 관리가 용이하다.
• 서비스 제공자는 사용자의 정보 수집 및 관리, 인증 기능을 ID 제공자에게 위임할 수 있으므로 인증시스템 구축 및 사용자 정보 관리 등에 필요한 인증 관리 비용을 낮추고 서비스 개발 기간을 단축할 수 있다.
• ID 제공자 기능을 담당하는 연구·교육기관은 협업에 필요한 고가의 연구자원이나 필수적이지만 활용률이 낮은 R&D 응용서비스를 외부 서비스 제공자에게 위탁(outsourcing)함으로써 서비스 환경 구축 및 운영에 요구되는 인적, 공간적, 시간적 비용을 절감할 수 있다.
3.2. SAML 2.0 기반의 사용자 통합인증 절차
ID 페더레이션 환경을 구축하기 위해 SAML(Security Assertion Markup Language[15])을 활용한다. SAML은 통합인증(Single-Sign On)을 위해 제정된 국제표준으로 서비스 제공자와 ID 제공자 간 사용자 인증을 요청하고 인증 결과 및 사용자 속성 정보를 전달하기 위한 XML 기반의 프로토콜이다. SAML에 따른 사용자 인증을 위해 서비스 제공자와 ID 제공자는 메타데이터를 교환해야 한다.
메타데이터에는 서비스 제공자 및 ID 제공자의 고유 식별자인 엔티티 ID, 통합인증서비스 URL (ID 제공자의 경우) 또는 인증회신 URL(서비스 제공자의 경우), 인증서 정보 등을 포함한다.
그림 2는 SAML에 따른 통합인증 절차를 보여준다. 서비스 제공자의 웹 페이지는 자원에 대한 사용자 인증을 위해 ID 제공자의 웹 페이지로 자동 이동된다. ID 제공자에서 사용자 인증을 완료하면 ID 제공자는 인증 결과와 사용자 속성 정보가 포함된 응답 메시지를 사용자 웹 브라우저를 통해 서비스 제공자에 전달한다. 서비스 제공자는 인증 결과와 사용자 속성 정보를 바탕으로 자원에 대한 사용자의 접근여부를 결정한다.
그림 2.SAML 2.0 표준에 따른 통합인증 절차 Fig. 2 SAML 2.0 authentication
3.3. 협업 플랫폼
실제 다수의 서비스 제공자와 ID 제공자가 참여 시 ID 페더레이션은 SAML 연결 구조에 따라 Full mesh 방식 또는 Hub & spoke 방식으로 이루어질 수 있다.
그림 3은 서비스 제공자와 ID 제공자가 1:1 SAML 연결 관계를 맺는 Full mesh 방식을 보여준다. 서비스 제공자와 ID 제공자는 메타데이터를 1:1로 상호 교환해야 하므로 새롭게 참여한 서비스 제공자는 ID 제공자들과 메타데이터를 직접 교환해야 한다. ID 제공자 입장에서도 새로운 서비스 제공자가 추가될 때마다 메타데이터를 교환해야하는 문제가 있다.
그림 3.Full mesh ID 페더레이션 Fig. 3 Full mesh ID federation
그림 4는 Hub & spoke 방식을 보여준다. 서비스 제공자와 ID 제공자 간 SAML 메시지는 SAML 중개 서버(SAML proxy server)에 의해 전달된다. 서비스 제공자와 ID 제공자는 SAML 중개 서버와 1:1 연결 관계를 맺는다. SAML 중개 서버는 외부 ID 제공자 및 서비스 제공자와 대응되는 내부 서비스 제공자와 ID 제공자를 포함한다. Hub & spoke 방식에서 서비스 제공자와 ID 제공자는 SAML 중개 서버와 1:1 연동되며 추가적인 메타데이터 교환 없이 SAML 중개 서버에 기 연동된 모든 ID 제공자 및 서비스 제공자와 ID 연계된다. 결과적으로 Hub & spoke 방식은 full mesh 방식에 비해 SAML 엔티티(서비스 제공자와 ID 제공자)의 메타데이터 관리 비용을 크게 절감시키는 효과가 있다.
그림 4.Hub & spoke ID 페더레이션 Fig. 4 Hub & spoke ID federation
통합협업 인프라는 SAML 엔티티의 메타데이터 관리비용을 낮추기 위해 Hub & spoke 구조를 갖는다.
그림 5는 협업 플랫폼의 주요 기능을 도시화한 것이다. 협업 플랫폼은 크게 서비스 등록기, 데이터베이스, 중개 엔진으로 구성된다. 서비스 등록기는 서비스 제공자와 ID 제공자의 메타데이터 등록, 서비스 제공자와 ID 제공자 간 접근제어, 사용자 속성 정보 관리 등을 위한 웹 기반의 사용자 인터페이스를 제공한다. 데이터베이스는 서비스 제공자와 ID 제공자의 메타데이터 및 관리 정보를 저장한다. 중개 엔진은 SAML 중개를 위해 아래의 기능을 제공한다.
그림 5.협업 플랫폼의 주요 기능 요소 Fig. 5 Functional block of collaboration platform
• WAYF
WAYF(Where Are You From)는 ID 제공자 탐색 서비스(Identity Provider Discovery Service)이다. 사용자 인증서비스를 제공하는 ID 제공자의 목록을 사용자에게 보여주고, 사용자가 선택한 ID 제공자로 웹 페이지를 자동 이동시키는 기능을 수행한다.
• SAML 중개
SAML 중개 모듈은 ID 페더레이션을 위한 핵심모듈로써 SAML 메시지의 처리를 담당하며, 외부 ID 제공자와 서비스 제공자에 대응되는 내부 서비스 제공자와 ID 제공자 기능을 제공한다. 서비스 제공자로부터 인증요청 메시지를 수신하면 WAYF를 통해 결정된 ID 제공자에게 인증 요청 메시지를 전달하고 ID 제공자가 보내온 인증 결과와 사용자 속성 정보를 서비스 제공자에게 전달한다.
• 사용자 동의 및 속성 관리(Attribute Management)
사용자 인증 후 ID 제공자가 제공한 사용자 속성을 유지·관리하며, 서비스 제공에 필수적인 속성을 관리하기 위해 사용자 속성을 변경·추가하는 기능을 담당한다. 또한 서비스 제공자에게 사용자 속성 정보를 전달할 때 정보 제공 범위에 대한 사용자 동의를 얻는 역할을 수행한다.
• 접근제어 리스트(Access Control List) 관리
ID 제공자와 서비스 제공자 간 접근제어 기능을 담당한다. ID 제공자는 사용자 속성 정보 등 개인정보보호의 의무가 있기 때문에 협약에 의해 신뢰 관계가 형성된 서비스 제공자에게만 사용자 정보를 제공한다. ID 제공자와 서비스 제공자는 각각 서비스 제공자와 ID 제공자에 대해 선택적으로 접근을 허용하거나 모두 허용할 수 있다.
Ⅳ. 통합협업 인프라 개발
본 절에서는 서비스 제공자, 협업 플랫폼, ID 제공자로 구성되는 통합협업 인프라의 구축에 관해 기술한다. 그림 6은 서비스 제공자, 협업 플랫폼, ID 제공자로 구성된 통합협업 인프라의 구축 환경을 보여준다. 환경구축을 위해 이용된 소프트웨어 목록은 아래 표 1과 같다.
그림 6.통합협업 인프라의 구축 환경 Fig. 6 Development of collaboration infrastructur
표 1.통합협업 인프라의 구축에 이용된 소프트웨어 목록 Table. 1 Software packages for implementing collaboration infrastructure
4.1. SAML 2.0 소프트웨어
ID 페더레이션을 위한 SAML 2.0 소프트웨어는 JAVA 기반의 Shibboleth[16]와 PHP(Hypertext Preprocessor) 기반의 simpleSAMLphp[17]가 사용되고 있다.
표 2는 simpleSAMLphp와 Shibboleth를 비교한 것이다. simpleSAMLphp는 설치가 용이한 반면 Shibboleth는 확장성이 높은 것으로 알려져 있다.
표 2.simpleSAMLphp와 Shibboleth 비교 Table. 2 simpleSAMLphp vs. Shibboleth
통합협업 인프라는 설치와 관리가 용이한 simple SAMLphp를 SAML 2.0 소프트웨어로 활용한다. Shibboleth 소프트웨어를 이용하는 SAML 엔티티들도 협업 플랫폼을 통해 ID 페더레이션 환경에 참여할 수 있다.
4.2. 서비스 제공자
서비스 제공자는 협업 플랫폼을 통해 ID 제공자에게 사용자 인증을 요청하고 웹 응용은 회신 받은 인증 결과 및 사용자 속성 정보를 바탕으로 연구자원에 대한 사용 권한을 결정한다.
SAML 소프트웨어인 simpleSAMLphp는 서비스 제공자 기능을 수행하며 HTTP 프로토콜을 이용해 웹 응용과 연동된다.
표 3은 웹 응용에서 simpleSAMLphp API (Application Programming Interface)를 이용해 사용자를 인증하는 예제 코드이다. 웹 응용은 사용자 인증을 요청 할 인증소스(cp, 협업 플랫폼)를 지정한 후 연구자원을 요청한 사용자 인증을 요청한다. 인증에 성공하고 인가된 사용자에 대해 웹 응용이 보유 중인 연구자원을 제공한다.
표 3.simpleSAMLphp API를 이용한 사용자 인증 Table. 3 User authentication using simpleSAMLphp API
그림 7은 표 3의 API를 이용해 로그인을 시도할 때 웹 응용과 simpleSAMLphp 간 인증 요청의 처리 과정을 보여준다. 웹 응용은 인증을 수행할 인증소스, 즉 협업 플랫폼을 지정한 후 simpleSAMLphp API를 호출한다. simpleSAMLphp는 표 4의 인증소스와 표 5에 기록 된 ID 제공자의 메타데이터 정보를 참조해 사용자 인증을 시도한다.
그림 7.웹 응용과 simpleSAMLphp 간 사용자 인증 과정 Fig. 7 User authentication flow between Web application and simpleSAMLphp
표 4.서비스 제공자의 인증소스 설정 Table. 4 Configuration of authentication source at SP
표 5.서비스 제공자에 등록된 CP의 메타데이터 정보 Table. 5 CP metadata registered at SP
표 4는 인증소스의 설정내용으로써 인증소스의 이름, 서비스 제공자의 엔티티 ID 및 협업 플랫폼의 엔티티 ID, 인증서 정보 등이 포함된다. 인증서 정보는 서비스 제공자의 메타데이터에 포함되며 메타데이터 교환시 협업 플랫폼에 등록된다.
표 5는 서비스 제공자에 등록된 협업 플랫폼의 메타데이터 정보이다. SAML 중개 기능을 수행하는 협업 플랫폼은 서비스 제공자에 대해 ID 제공자처럼 동작한다. 메타데이터 정보에는 협업 플랫폼의 엔티티 ID, 인증요청 메시지를 전송할 통합인증 URL 주소(SingleSignOn Service), 인증서 정보 등이 포함된다. 서비스 제공자는 인증소스와 ID 제공자의 메타데이터 정보를 참조한 후, 인증요청을 위해 사용자 웹 페이지를 협업 플랫폼의 통합인증 URL주소로 이동시킨다. 이후 ID 제공자로부터 얻은 인증 결과 및 사용자 속성 정보를 협업 플랫폼의 중개를 통해 전달 받는다. 최종적으로 웹 응용은 인증에 성공하고 사용자 속성 정보를 통해 접근 권한이 부여된 사용자에 대해 연구자원을 제공한다.
4.3. ID 제공자
ID 제공자는 사용자 인증기능과 사용자 속성 정보를 제공하는 SAML 엔티티이며 simpleSAMLphp 소프트웨어를 이용하여 구축한다. ID 제공자는 사용자 데이터베이스에 접근해 사용자 인증을 수행하고 인증 결과와 사용자 속성 정보를 협업 플랫폼에 전달한다.
그림 8은 ID 제공자의 사용자 인증 과정을 도식화한다. 인증소스는 SQL, LDAP(Lightweight Directory Access Protocol), X.509, Radius 등 다양한 사용자 데이터베이스와 연동된다. ID 제공자는 인증소스를 이용해 사용자 ID와 패스워드를 기반으로 사용자 인증을 수행하며 인증에 성공한 사용자의 속성 정보를 연동된 사용자 데이터베이스에서 얻는다.
그림 8.ID 제공자 측 사용자 인증 과정 Fig. 8 User authentication flow at IdP
표 6은 ID 제공자의 메타데이터 설정파일을 보여준다. 설정파일은 ID 제공자의 엔티티 ID, 인증소스의 이름, 인증서 정보를 포함한다. 통합협업 인프라는 개인정보보호를 위해 보다 다양한 암·복호화 알고리즘을 이용할 수 있도록 보안성 및 확장성이 강화된 독자적 인증소스를 제공한다(secure-auth).
표 6.ID 제공자의 메타데이터 설정 Table. 6 Configuration of metadata at IdP
표 7은 인증소스의 설정내용을 보여준다. 인증소스는 SQL 기반의 사용자 데이터베이스를 가지며 sec_authentication:sec_credential_check는 독자적으로 개발 된 후 simpleSAMLphp에 등록된 소프트웨어 모듈의 이름이다.
표 7.사용자 인증소스의 설정 Table. 7 Configuration of authentication source
4.4. 협업 플랫폼
협업 플랫폼은 네덜란드의 SURFnet에서 오픈 소스로 공개한 OpenConext를 활용해 구축하였다. Open Conext는 리눅스 운영체제에서 구동되며 소프트웨어 패키지들은 PHP 또는 JAVA로 구현되어 있다.
ID 제공자 또는 서비스 제공자가 협업 플랫폼과 연동되려면 각 제공자의 메타데이터 정보가 협업 플랫폼에 등록되어야 한다. 서비스 등록기는 서비스 제공자와 ID 제공자의 URL로부터 메타데이터 정보를 자동으로 읽어 들여 협업 플랫폼에 등록하기 때문에 메타데이터 등록 및 관리의 편의성을 높일 수 있다.
아래의 그림 9는 협업 플랫폼에 등록된 ID 제공자의 메타데이터 정보를 보여준다. ID 제공자의 메타데이터에는 사용자 인증서비스를 제공하는 통합인증 URL이 포함된 바인딩 (SingleSignOn binding) 정보가, 서비스 제공자의 메타데이터에는 인증 결과를 수신·처리하는 곳의 바인딩(AssertionConsumerService binding) 정보가 필수적으로 존재해야 한다. 또한 안전한 SAML 메시지 교환을 위해 인증서 정보가 등록되어야 한다.
그림 9.협업 플랫폼에 등록된 ID 제공자의 메타데이터 정보 Fig. 9 IdP metadata registered in collaboration platform
협업 플랫폼은 그림 10과 같이 메타데이터 정보 외에 서비스 제공자와 ID 제공자 간 접근제어, 사용자 속성 변경 등을 추가적으로 설정 할 수 있다.
그림 10.서비스 제공자의 접근제어 설정 Fig. 10 IdP Access control for an SP
접근 제어 기능을 통해 서비스 제공자(또는 ID 제공자)는 모든 ID 제공자(또는 서비스 제공자)를 허용하거나 지정된 ID 제공자(또는 서비스 제공자)만 선택적으로 허용할 수 있다.
서비스 제공자가 필요로 하는 사용자의 속성정보를 ID 제공자가 제공하지 않을 경우 협업 플랫폼에서 수동으로 추가할 수 있다. 표 8은 누락된 두 개의 속성을 ID 제공자의 속성 관리(Manipulation) 메뉴를 이용해 수동으로 추가하기 위한 코드를 보여준다. 사용자 ID와 소속기관의 최상위 도메인 정보를 추가하는 방법을 예시한다.
표 8.속성 관리(Manipulation) 메뉴를 이용해 수동으로 속성을 추가하기 위한 코드 Table. 8 Code in order to add the required user attributes by using attribute manipulation menu
4.5. 사용자 속성 정보 관리
서비스 제공자와 연동된 웹 응용은 연구자원에 대한 접근권한을 부여하기 위해 다양한 사용자 속성을 필요로 한다. 반면 ID 제공자는 개인정보의 보호를 위해 제공되는 사용자 속성들을 제한한다.
통합협업 인프라는 서비스 제공자의 과도한 개인정보 요구를 방지하고 ID 제공자에게 최소한의 사용자 속성들을 제공하도록 하기 위해 핵심 속성을 규정한다. 현재 통합협업 인프라의 핵심 속성은 표 9와 같이 정의 되어 있으며 추후 서비스의 확장과 더불어 핵심 속성도 추가될 수 있다. ID 제공자 및 서비스 제공자는 개인정보 수집 및 활용 시 개인정보보호법[18]을 반드시 준수해야 한다.
표 9.통합협업 인프라의 핵심 속성 Table. 9 Core attributes for KREONET collaboration infrastructure
Ⅴ. 활용 시나리오
본 절에서는 구축된 통합협업 인프라의 사용자 인증 시나리오에 대해 기술한다.
사용자가 웹 응용에 접속하면 서비스 제공자는 웹 페이지를 협업 플랫폼으로 자동 이동시키고, 협업 플랫폼은 사용자에게 서비스와 연계된 ID 제공자 목록을 보여준다(그림 11 참조). 사용자 정보가 등록된 ID 제공자를 선택하면 웹 페이지는 ID 제공자의 사용자 인증 페이지로 이동된다.
그림 11.협업 플랫폼에서 제공되는 ID 제공자 목록 Fig. 11 IdP list provided by collaboration platform
그림 12와 같이 ID 제공자의 사용자 인증 페이지로 이동하면 사용자 ID와 암호를 입력한다. 인증이 성공할 경우 ID 제공자는 협업 플랫폼을 통해 서비스 제공자에게 인증 결과와 사용자 속성 정보를 전달한다.
그림 12.ID 제공자에서 사용자 인증 화면 Fig. 12 User authentication at IdP
ID 제공자는 사용자 속성 정보를 제공하기 전에 그림 13과 같이 개인정보 제공에 대한 사용자 동의를 요청한다.
그림 13.사용자 동의 요청 화면 Fig. 13 Request for user consent
사용자 동의 요청은 서비스 제공자 및 ID 제공자의 개인정보보호 정책에 따라 정보 제공 시 매번 수행되거나 필요 시 수행된다.
서비스 제공자는 ID 제공자가 전송한 인증 결과 및 사용자 속성 정보를 바탕으로 연구자원에 대한 접근 권한을 확인한다. 웹 응용은 사용자의 권한에 따라 연구자원을 차등 제공한다. 그림 14는 서비스 제공자의 웹 응용이 ID 제공자로부터 인증 받은 사용자 속성을 출력하는 그림이다.
그림 14.인증 후 서비스 제공자가 제공한 사용자 속성 정보 Fig. 14 User attributes provided by SP after user
Ⅵ. 결 론
본 논문은 국내 연구·교육기관들의 온라인 연구협업을 촉진하기 위한 통합협업 인프라를 소개했다. 제안 된 통합협업 인프라는 ID 페더레이션 기술을 이용해 연구자원을 국가적으로 공유할 수 있는 사용자 인증 프레임워크를 제시하였다. 제시된 인프라의 성능 및 안정성 검증을 위해 현재 국내 대학들과 ID 연계 구축이 진행중이다.
ID 연계 참여 기관이 증가해 다수의 사용자가 확보되면 이를 기반으로 향후 통합협업 인프라의 기능 개선 및 성능 향상을 위한 연구개발을 수행해 자국의 독창적인 협업 인프라 확보와 R&D 협업 생태계 육성에 기여 할 계획이다.
References
- K. M. Sung and T. J. Hahn, “Current status of collaboration among R&D organizations in Korea,” STEPI Insight, vol. 153, Sept. 2014.
- M. Badger, F. Vercoulen, L. Monaco, and L. Farinetti, "Virtual Campus Hub: A single sign-on system for crossborder collaboration," in Proceeding of 5th International Conference on Education and New Learning Technologies (EDULEARN), Barcelona, pp. 5759-5759, 2013.
- Internet2. InCommon project. [Internet] Available: http://www.incommon.org/.
- SURFnet. SURFconext project. [Internet] Available: https://www.surf.nl/en/services-and-products/surfconext/index.html.
- National Institute of Informatics. GakuNin. [Internet] Available: https://www.gakunin.jp/En-fed/.
- Australian Access Federation. Australian Access Federation. [Internet] Available: http://aaf.edu.au/.
- Jisc. UK Federation. [Internet] Available: http://www.ukfederation.org.uk/.
- Canarie. Canadian Access Federation. [Internet] Available: http://www.canarie.ca/identity/caf/.
- Where Are You From(WAYF). [Internet] Available: http://www.wayf.dk/.
- SWITCH. SWITCH Authentication and Authorization Infrastructure(SWITCHaai). [Internet] Available: https://www.switch.ch/aai/.
- T. Barton et al, "Identity federation and attribute-based authorization through the globus toolkit, shibboleth, gridshib, and myproxy," In 5th Annual PKI R&D Workshop, vol. 4, Apr. 2006.
- T. Wason and L. Alliance, (2004). Liberty ID-FF Architecture Overview Version 1.2, Liberty Alliance Project.
- S. S. Shim, G. Bhalla, and V. Pendyala, “Federated identity management,” Computer, vol. 38, no. 12, pp. 120-122, 2005. https://doi.org/10.1109/MC.2005.408
- SURFnet. OpenConext project. [Internet] Available: https://www.openconext.org/.
- OASIS Std. SAML V2.0, Assertions and Protocols for the OASIS Security Assertion Markup Language(SAML) V2.0, OASIS Standard, Mar. 2005.
- Shibboleth Consortium. Shibboleth project. [Internet] Available: https://shibboleth.net/.
- UNINETT. simpleSAMLphp project. [Internet] Available: https://simplesamlphp.org/.
- Ministry of Government Administration and Home Affairs. Personal Information Protection Act. Mar. 2011.
Cited by
- 위치정보 기반 식별정보제공자 탐색시스템의 개발 vol.21, pp.9, 2015, https://doi.org/10.6109/jkiice.2017.21.9.1777