.. _sso-pentasecurity-isign:

펜타시큐리티 ISign+
===============================================
본 가이드는 통합인증 보안플랫폼(SSO)인 Penta Security ISign+와 네트워크 접근제어 시스템인 Genian NAC의 연동 기능을 수행하기 위한 설정 방법을 안내합니다.


개요
-----------------------------------------------
Genian NAC와 ISign+ 제품 간 연동 전, 사용자는 제품별로 각각 사용자인증을 수행하는 불편함이 있지만, 연동 후 두 제품간의 SSO가 구현되어 사용자는 ISign+의 사용자인증 수행 시 Genian NAC에는 사용자인증이 자동으로 처리됩니다. 

Genian NAC 에이전트에서 ISign+의 인증을 대체하여 적용하도록 구성되어, 사용자의 인증을 위해 Genian NAC 에이전트가 ISign+ 에이전트를 경유하여, ISign+ 서버의 사용자 인증여부를 확인하며, 정상적인 인증상태에서 네트워크를 활용할 수 있도록 합니다.

이 과정을 통하여, 사용자의 인증정보를 사용자의 PC에 보관하지 않은 상태에서 인증을 수행하여 사용자 계정의 안전을 보장하면서 사용자에게는 단 한번의 로그인 과정으로 두 제품의 로그인 과정을 수행하는 편의성을 제공합니다. 

**권장 버전**

.. csv-table::
     :header: "제품명 (구성요소)", "버전", "비고"
     :widths: 30 30 40

     "Genian NAC (정책서버)", "V5.0 이상", "2019.03 이후 Release 버전"
     "Genian NAC (에이전트)", "V5.0.32 이상", "2020.06 이후 Release 버전"
     "ISign+", "3.0 이상", "2020.06 이후 Release 버전"


연동의 목적
-----------------------------------------------
Genian NAC와 Penta Security ISign+의 연동은 다음의 효과를 제공합니다.

**SSO 환경 제공**
 - Genian NAC 에이전트가 ISign+의 인증 정보를 활용하는 형태로 구성되어, 사용자 인증여부를 ISign+ 서버에 확인하여 정상 인증된 사용자에 대해서 Genian NAC의 추가적인 인증없이 네트워크를 활용하도록 구성합니다

**ISign+ 미인증 사용자에게 네트워크 차단 사유 및 안내페이지 자동 연결**
 - Genian NAC는 KSignAccess 미인증 사용자에게 네트워크 차단 사유를 안내하여 정상적인 네트워크 사용을 위한 조치 방법에 대한 안내페이지를 제공합니다.


사전준비 사항
-----------------------------------------------
**연동을 위한 Genian NAC 에이전트 플러그인 준비**
 Genian NAC 는 ISign+와 SSO 구현을 위해 사용자인증 연동 구현에 별도 제작된 Genian NAC 에이전트용 플러그인이 활용되며, 플러그인 정보는 다음과 같습니다

 .. csv-table::
     :header: "Genian NAC 에이전트 플러그인 파일명", "비고"
     :widths: 50 50

     "NAC-C_Penta2SSO-B-89852-2.1.8.gpf (세부버전은 상이할 수 있음)", "Genian NAC 에이전트 V5.0 이상 (2020.08 이후 Release 버전)"

**ISign+의 인증정보를 확인하기 위한 SSO 모듈경로, 서버접속 정보의 준비**

 ISign+의 인증 정보와 인증 여부를 확인하기 위한 아래의 정보를 확인합니다.

     1) SSO 모듈 경로: 사용자 PC 의 ISign+의 SSO 모듈경로를 확인합니다.
     2) Check Server URL: ISign+서버의 도메인주소 또는 IP 정보
     3) Validate Server URL: ISign+서버의 도메인주소 또는 IP 정보
     4) Server Port: 기본포트 9080
     5) Agent ID: 각 연동대상 제품 별로 ID 가 존재함 (예. PSI_nac_CS_Prod / Genian NAC 의 ISign+ 연동 ID)


연동을 위한 Genian NAC 설정
-----------------------------------------------
본 과정에서 다루는 Genian NAC 의 설정 부분은 ISign+와 연동을 위해 최소한의 부분만을 소개합니다. 최초 1 회만 작업해주시면 이후엔 자동으로 적용됩니다.

**Step 1: 연동을 위한 에이전트 플러그인 업로드**
 1) Genian NAC Web콘솔에서 **시스템 > 업데이트 관리 > 소프트웨어 > 에이전트 플러그인** 메뉴로 이동
 2) **작업선택 > 플러그인 업로드 > 파일선택** 버튼을 클릭하여 업로드할 **NAC-C_Penta2SSO-B-89852-2.1.8.gpf** 플러그인 선택
 3) **업로드** 버튼 클릭

**Step 2: 에이전트 플러그인 설정**
 1) Genian NAC Web콘솔에서 **정책 > 노드정책 > 노드액션** 메뉴로 이동
 2) **Penta SSO 대체 인증 2** 플러그인 클릭
 3) **액션 수행설정** 에서 다음과 같이 설정 값 입력

  .. csv-table::
      :header: "설정 항목", "설정 값", "참고"
      :widths: 15 35 50

      "SSO 모듈경로", "*ISign* 의 설치경로 + */SA_CSI.dll*", "ISign+ 에이전트 경로"
      "Check Server URL", "*http://'ISign+서버'/api/v1/sso/checkserver*", "인증서버와 통신확인" 
      "Validate Server URL", "*http://'ISign+서버'/api/v1/sso/_validate*", "인증여부 확인"
      "Server Port", "*9080*", "기본값"
      "Agent ID", "*PSI_nac_CS_Prod*", "Genian NAC 의 ISign+ 연동 ID"
      "재시도 주기", "*10* 초", "연동 실패시 재시도 주기"
      "재시도 횟수", "*3* 회", "초과시 인증실패 처리"
      "수행 계정", "``에이전트 기본 수행 계정`` 선택", "해당 플러그인을 수행할 계정의 선택. SSO 모듈의 설치경로, 구동권한에 따라 선택함"


**Step 3: 연동기능 적용을 위한 노드정책 설정**
 다음의 과정을 통하여, Genian NAC 의 에이전트 플러그인을 이용하여, 사용자 PC 와 서버간 인증을 위한 정상적인 통신확인과 사용자인증의 여부를 확인한 후, 네트워크 접속을 허가할 수 있도록 정책을 생성합니다.

 1) Genian NAC Web 콘솔에서 **정책 > 노드정책** 메뉴로 이동
 2) 사용자인증 연동을 적용할 **노드그룹** 이 포함된 **노드정책** 클릭 (ex. 노드그룹: 모든노드(특정그룹에만 적용시, 별도로 노드그룹을 생성하여 활용))
 3) **세부설정 > 인증정책 > 인증대체정보** 항목으로 이동 후, 셀렉트박스에서 **연동 API** 선택
 4) 하단 **노드액션 설정** 항목으로 이동 후 **할당** 버튼 클릭
 5) **Penta SSO 대체 인증 2** 노드액션을 우측으로 이동 후 **추가** 버튼 클릭
 6) 하단 부 **수정** 버튼 클릭
 7) 우측 상단 **변경정책적용** 버튼 클릭하여 정책 적용