Guides

Streamline your online collaborations
> KAFE > Guides

Technical Guides

ID 연합(ID Federation)은 ID 제공자, 서비스제공자, 제3신뢰기관으로 구성된 연합체입니다. KAFE는 국내 최초의 ID 연합이며 KREONET/KISTI는 KAFE의 제3신뢰기관입니다. ID 연합에 포함된 ID 제공자 기관의 구성원들은 별도의 사용자 계정을 생성하지 않아도 소속기관의 포털계정을 이용해 동일한 연합에 속한 서비스제공자에 로그인할 수 있습니다. KAFE에 가입하는 방법은 여기를 참조하십시오.

Terminology

  • ID 제공자: 로그인기능을 제공하는 국내 교육기관과 연구기관을 의미합니다. 로그인 게이트웨이를 설치해야 합니다.
  • 서비스제공자: 연구협업 응용서비스나 연구자원을 제공하는 기관과 조직을 의미합니다. 웹 응용서비스에 SAML(Security Assertion Markup Language) 기능을 구현해야 합니다.

Authentication and Authorization Flow


위 그림은 연합인증을 통한 사용자 인증(Authentication)과 인가(Authorization) 절차를 간략히 보여줍니다. 그림에는 표시되지 않았지만 모든 메시지는 암호화되고 사용자 웹 브라우저를 통해 교환됩니다.


연합인증의 가장 큰 특징은 인증과 인가 지점이 물리적으로 분리되어 있다는 점입니다. 사용자는 자신의 소속기관(Identity provider)에서 로그인 게이트웨이(AuthN Gateway)를 통해 로그인하게 됩니다. 인증된 사용자의 인증정보와 속성정보는 응용서비스(Service provider)에게 전달되며 응용서비스에서 이용권한을 부여하는데 활용될 수 있습니다.


응용서비스가 로컬인증 기능을 가지고 있다면 연합인증과 함께 사용할 수 있습니다.

Attributes We Use

ID 연합에서 사용자 로그인과 인증은 ID 제공자가 담당합니다. 서비스제공자는 로그인에 성공한 사용자의 인증정보와 속성정보(예, 이름, 이메일 등)를 ID 제공자로부터 전달받아 해당 사용자를 인가(권한부여)하게 됩니다. KAFE는 개인정보의 이용을 최소화시키기 위해서 서비스제공자가 이용할 수 있는 속성정보를 다음과 같이 지정해 이용을 권고하고 있습니다. 하지만, 기관의 필요에 따라 이용하는 속성정보는 확장될 수 있습니다.

  • KAFE는 다음과 같은 핵심속성과 부가속성의 이용을 권장합니다. 핵심속성 및 부가속성은 기관의 서비스사정에 따라 추가되거나 삭제될 수 있습니다.
  • KAFE는 연구기관과 교육기관에 대해 다음과 같은 사용자 속성의 제공 및 소비를 권장합니다.
  • KAFE는 다음과 같은 서비스 카테고리를 이용하거나 이용을 권장하고 있습니다.

Federation Tools and Services

제3신뢰기관인 KREONET/KISTI는 KAFE 참여기관의 관리운영 부담을 줄이고 일반 사용자들의 KAFE 응용서비스 활용을 돕기 위해 다음과 같은 페더레이션 도구들을 제공하고 있습니다. 일부 페더레이션 도구들은 오픈소스 소프트웨어 패키지를 이용해 개발되었습니다. 

  • KAFE 메타데이터 관리시스템을 통해 ID 제공자와 서비스제공자의 메타데이터를 직접 관리할 수 있습니다. 허가된 IP 주소에서만 접속가능합니다.
  • KAFE는 중앙형 탐색서비스(Discovery Service)를 제공하고 있습니다. ID 제공자 탐색서비스를 통해 로그인 시, 보다 쉽게 소속기관을 찾을 수 있습니다. 탐색서비스의 주소는 아래와 같습니다.
    https://kafe.kreonet.net/ds
  • KAFE 비가입 기관 구성원들도 VHO 서비스를 통해 KAFE 응용서비스를 이용하실 수 있습니다. VHO 서비스를 통해 사용자가 등록한 계정 정보는 KAFE 운영관리자에 의해 관리(갱신 및 추가)됩니다. 서비스제공자는 다음 정보를 이용해 VHO 서비스를 이용하는 사용자를 제어할 수 있습니다.
  • TestIDPTestSP를 이용해 서비스제공자와 ID 제공자의 기능을 검증할 수 있습니다. KAFE에 참여 중인 기관에서 서비스제공자 또는 ID 제공자를 구현할 때 이용하실 수 있습니다.
  • Attribute Authority를 이용해 서비스제공자가 필요로하는 사용자 속성을 관리할 수 있습니다. 사용자의 서비스 이용자격, 그룹권한, SSH Key 등이 관리되고 있습니다.
  • KAFE Entity Monitoring 서비스를 제공하고 있습니다. 가용성, SSL 상태, 시간동기화 상태 등을 확인할 수 있습니다. 일반 사용자는 제한된 정보만 접근할 수 있습니다. 기관 담당자는 상태별 조치방법을 참조하시기 바랍니다.
  • Research Collaboration Zone에서 KAFE add-on 서비스가 제공됩니다. 소셜 로그인, 서비스 이용자격 제어, OIDC 규약 지원 등의 기능을 갖추고 있습니다. 이용 방법은 향후 본 페이지를 통해 제공될 예정입니다.

Materials

[발표자료] KAFE 2018 Update
[발표자료] KAFE 2017 Update
[발표자료] ID 페더레이션 및 KAFE 소개
[Technical]KAFE IAM Architecture
[Technical Support]Enabling SAML for Service Provider
[발표자료] Federated Identity Management
ID 연계관련 보안 및 개인정보보호 사항
[발표자료]Federating ID for R&D Services
[기술문서]simpleSAMLphp를 이용한 SP 환경의 구축 메뉴얼
[기술문서]simpleSAMLphp를 이용한 IdP 환경의 구축 메뉴얼
[발표자료]ID Federation 개요 및 KREONET/KISTI 현황
[발표자료]ID Federation과 협업연구환경 플랫폼 활용
[발표자료]KREONET 기반의 ID 연계를 통한 협업응용서비스의 공유


[논문] 조진용 et.al., "KAFE 계정연합의 연합인증 서비스," 한국통신학회논문지, 2018.
[논문] 장희진 et.al., "R&D 협업 촉진을 위한 통합협업 인프라의 개발," 한국정보통신학회논문지, 2015.

Contact

도움이 필요하시면 Q&A 게시판을 이용하거나 support@kafe.or.kr로 연락하십시오.
위로