Guides

Streamline your online collaborations
> KAFE > Guides

Technical Guides

ID 연합(ID Federation)은 ID 제공자, 서비스제공자, 연합운영자로 구성된 연합체입니다. KAFE(Korean Access Federation, 연구교육인증연합)는 국내 최초의 ID 연합으로 국내 교육기관과 연구기관 및 국내외 서비스제공자에게 열려있습니다.

KAFE는 한국과학기술정보연구원(KISTI)의 국가과학기술연구망( KREONET)에서  운영하며 국제 ID 연합인 eduGAIN의 정회원으로써 2천여 국외 학연 기관과 1천여 국외 서비스제공자를 연계하고 있습니다. ID 연합에 포함된 ID 제공자 기관의 구성원들은 사용자 계정을 별도로 생성하지 않아도 소속기관의 포털계정을 이용해 연계된 서비스제공자에 로그인할 수 있습니다. KAFE를 통해 기관 외부의 서비스제공자까지 안전하게 통합인증 하십시요.

KAFE의 가입자격과 가입방법은 여기를 참조하십시오.

Terminology

  • ID 제공자: 로그인기능을 제공하는 국내 교육기관과 연구기관을 의미합니다. ID 제공자 서버(인증서버)를 설치해야 합니다.
  • 서비스제공자: 연구협업 응용서비스나 연구자원을 제공하는 기관과 조직을 의미합니다. 웹 응용서비스에 SAML(Security Assertion Markup Language) 기능을 구현해야 합니다.

Authentication and Authorization Flow


위 그림은 연합인증을 통한 사용자 인증(Authentication)과 인가(Authorization) 절차를 간략히 보여줍니다. 그림에는 표시되지 않았지만 모든 메시지는 암호화되고 사용자 웹 브라우저를 통해 교환됩니다.

※ 일반적으로 인증서버는 기관 내에 기 구축된 통합인증 솔루션과 별개로 동작합니다.


연합인증의 가장 큰 특징은 인증과 인가 지점이 물리적으로 분리되어 있다는 점입니다. 사용자는 자신의 소속기관(Identity provider) 내부에 구축된 인증서버를 이용해 웹 응용서비스에 로그인하게 됩니다. 로그인에 성공한 사용자의 인증정보와 속성정보는 웹 응용서비스(Service provider)에게 전달되며 웹 응용서비스는 전달받은 정보를 활용해 이용권한을 부여할 수 있습니다.


웹 응용서비스가 자체 로그인 기능을 가지고 있다면 KAFE를 통한 연합인증 서비스과 함께 사용할 수 있습니다.

Attributes We Use

ID 연합에서 사용자 로그인과 인증은 ID 제공자가 담당합니다. 서비스제공자는 로그인에 성공한 사용자의 인증정보와 속성정보(예, 이름, 이메일 등)를 ID 제공자로부터 전달받아 해당 사용자를 인가(권한부여)하게 됩니다. KAFE는 개인정보의 이용을 최소화시키기 위해서 서비스제공자가 이용할 수 있는 속성정보를 다음과 같이 지정해 이용을 권고하고 있습니다. 하지만, 기관의 필요에 따라 이용하는 속성정보는 확장될 수 있습니다.

  • KAFE는 다음과 같은 핵심속성과 부가속성의 이용을 권장합니다. 핵심속성 및 부가속성은 기관의 서비스사정에 따라 추가되거나 삭제될 수 있습니다.
  • KAFE는 연구기관과 교육기관에 대해 다음과 같은 사용자 속성의 제공 및 소비를 권장합니다.
  • KAFE는 다음과 같은 서비스 카테고리를 이용하거나 이용을 권장하고 있습니다.

User Consents

ID 제공자는 전자적 방법(팝업 등)을 이용해 정보제공에 대한 사용자 동의를 받으며 동의 기록을 저장합니다. ID 제공자는 사용자가 서비스제공자에 로그인할 때마다 사용자 동의를 요구합니다. 사용자가 자동 동의(Remember)를 선택하면 일정 기간동안 특정 서비스제공자에 대해 추가적인 사용자 동의를 요구하지 않습니다.

Federation Tools and Services

제3신뢰기관인 KREONET/KISTI는 KAFE 참여기관의 관리운영 부담을 줄이고 일반 사용자들의 KAFE 응용서비스 활용을 돕기 위해 다음과 같은 페더레이션 도구들을 제공하고 있습니다. 일부 페더레이션 도구들은 오픈소스 소프트웨어 패키지를 이용해 개발되었습니다. 

  • KAFE 메타데이터 관리시스템을 통해 ID 제공자와 서비스제공자의 메타데이터를 직접 관리할 수 있습니다. 허가된 IP 주소에서만 접속가능합니다.
  • KAFE는 중앙형 탐색서비스(Discovery Service)를 제공하고 있습니다. ID 제공자 탐색서비스를 통해 로그인 시, 보다 쉽게 소속기관을 찾을 수 있습니다. 탐색서비스의 주소는 아래와 같습니다.
    https://ds.kafe.or.kr/live 또는 https://ds.kreonet.net/kafe 
  • KAFE 비가입 기관 구성원들도 VHO 서비스를 통해 KAFE 응용서비스를 이용하실 수 있습니다. VHO 서비스를 통해 사용자가 등록한 계정 정보는 KAFE 운영관리자에 의해 관리(갱신 및 추가)됩니다. 서비스제공자는 다음 정보를 이용해 VHO 서비스를 이용하는 사용자를 제어할 수 있습니다.
  • TestIDPTestSP를 이용해 서비스제공자와 ID 제공자의 기능을 검증할 수 있습니다. KAFE에 참여 중인 기관에서 서비스제공자 또는 ID 제공자를 구현할 때 이용하실 수 있습니다.
  • Attribute Authority를 이용해 서비스제공자가 필요로하는 사용자 속성을 관리할 수 있습니다. 사용자의 서비스 이용자격, 그룹권한, SSH Key 등이 관리되고 있습니다.
  • KAFE Entity Monitoring 서비스를 제공하고 있습니다. 가용성, SSL 상태, 시간동기화 상태 등을 확인할 수 있습니다. 일반 사용자는 제한된 정보만 접근할 수 있습니다. 기관 담당자는 상태별 조치방법을 참조하시기 바랍니다.
  • trustHub가 KAFE 프리미엄 서비스를 제공하고 있습니다. Google과 Naver 등 소셜 로그인, IP 및 속성 등에 기반한 강력한 접근제어, 사용자 그룹관리, OTP/MFA Profile, OIDC 인증규약 지원 등의 기능을 갖추고 있습니다.

Contact

도움이 필요하시면 Q&A 게시판을 이용하거나 support@kafe.or.kr로 연락하십시오.

위로