.. _twostep-auth-irukeyotp:

코리아엑스퍼트 아이루키 OTP
==========================================
본 가이드는 모바일 OTP 시스템인 코리아엑스퍼트의 아이루키와 네트워크 접근제어 시스템인 
Genian NAC의 연동 기능을 수행하기 위한 설정 방법을 안내합니다.


개요
------------------------------------------
본 연동은 관리자 계정에 대해서 2단계 인증을 위한 연동으로 Genian NAC 관리자 계정에 대해서 보다 안전한 로그인 과정을 수행하기 위해, 
**관리자는 Genian NAC 관리자 페이지에 로그인 시 ID/PW 방식의 Genian NAC 관리자 계정으로 로그인 이후, 추가적으로 아이루키의 인증을 거치도록 연동됩니다.**

연동의 구성은 Genian NAC가 아이루키 전용 연동도구(정책서버 플러그인)를 제공하며, 관리자가 Genian NAC 인증 시, 
아이루키 서버에서 관리자의 모바일 단말로 OTP(One Time Password)를 발행하게 하여, OTP정보를 입력하는 방식의 2-Factor 인증 구성입니다.


**권장 버전**

.. csv-table::
     :header: "제품명 (구성요소)", "버전", "비고"
     :widths: 30 30 40

     "Genian NAC (정책서버)", "V5.0 이상", "2019.03 이후 Release 버전"
     "아이루키", "", "2018.07 이후 Release 버전"


연동의 목적
------------------------------------------
Genian NAC와 아이루키 연동은 다음의 효과를 제공합니다.

**관리자 로그인 보안을 위한 2-Factor 인증환경 제공**
 - 고객사 내부의 주요정보 들이 존재하는 Genian NAC 관리자 페이지에 로그인 시, ID/PW 방식에 비해 보안 수준이 높은 2-factor 인증방식으로 구성하여 고객의 주요정보에 대한 접근시의 보안수준 향상을 통하여 패스워드 도난, 계정 가로채기 등으로 인한 위협에 대비할 수 있도록 합니다.


사전준비 사항
------------------------------------------
**연동을 위한 Genian NAC 정책서버 플러그인 준비**
 Genian NAC는 아이루키와 2-Factor 연동을 위해 별도 제작된 Genian NAC 정책서버 플러그인이 활용되며, 플러그인 정보는 다음과 같습니다.

 .. csv-table::
     :header: "Genian NAC 정책서버 플러그인 파일명", "비고"
     :widths: 50 50

     "GWP100003-5.0.gwp", "2020.11 이후 Release 버전"

**API 호출을 위한 아이루키 서버의 IP 및 어플리케이션ID 확인**
 아래의 항목은 :ref:`연동을 위한 Genian NAC 설정 > Step 2: 정책서버 플러그인 설정 > 3번 <twostep-auth-irukeyotp-plugin-config>` 항목 설정 시 활용됩니다.
 
 Genian NAC에서 아이루키 서버로 인증코드 발급을 위해 API 호출 시 활용되는 **서버IP** 및 **어플리케이션ID  (ex. nac_admin: 관리자 계정 전용)** 를 확인하기 바랍니다.

**모바일 단말에서 인증코드 발급을 위한 아이루키 App 설치**
 관리자는 Genian NAC 관리자 페이지에 2단계 인증 진행 시 인증코드를 발급 받을 아이루키 App을 개인 모바일 단말에 설치하시기 바랍니다.


연동을 위한 Genian NAC 설정
------------------------------------------
본 과정에서 다루는 Genian NAC의 설정 부분은 아이루키와 연동을 위해 최소한의 부분만을 소개합니다. 
최초 1 회만 작업해주시면 이후엔 자동으로 적용됩니다.

**Step 1: 연동을 위한 정책서버 플러그인 업로드**
 1) Genian NAC Web콘솔에서 **시스템 > 업데이트 관리 > 소프트웨어 > 정책서버 플러그인** 메뉴로 이동
 2) **작업선택 > 플러그인 업로드 > 파일선택** 버튼을 클릭하여 업로드할 **GWP100004-5.0.gwp** 플러그인 선택
 3) **업로드** 버튼 클릭
 4) 목록으로 이동하여 **아이루키 OTP 인증 모듈 > 재기동시 설치완료예정** 버튼 클릭 후 팝업창에서 **확인** 버튼 클릭 (관리콘솔 웹 어플리케이션 재기동을 수행해야 최종 설치가 완료됩니다.)

.. _twostep-auth-irukeyotp-plugin-config:

**Step 2: 정책서버 플러그인 설정**
 1) Genian NAC Web콘솔에서 **시스템 > 업데이트 관리 > 소프트웨어 > 정책서버 플러그인** 메뉴로 이동
 2) **아이루키 OTP 인증 모듈** 플러그인 클릭
 3) **설정항목** 에서 다음과 같이 설정 값 입력

  .. csv-table::
      :header: "설정 항목", "설정 값", "참고"
      :widths: 20 35 45

      "아이루키 서버 IP", "XXX.XXX.XXX.XXX", "아이루키 서버의 IP 입력"
      "어플리케이션 ID", "nac_admin", "Genian NAC와 아이루키 제품 간 상호 협의된 어플리케이션 ID 입력"
      "타이틀", "아이루키 OTP인증", "Genian NAC 관리자 페이지에서 2단계 인증 진행 시 인증창에 표시되는 타이틀 문구 입력"
      "URL", "/plugin/gwp100004/otpAuth.xhtml?init=1", "아이루키 서버로 API 호출 시 사용되는 Parameter값"
      "Width", "400", "인증코드 입력 창의 가로 크기 입력 (최소 400px 권장)"
      "height", "350", "인증코드 입력 창의 세로 크기 입력 (최소 350px 권장)"

**Step 3: 연동기능 적용을 위한 2단계 인증 기능활성화 설정**
 1) Genian NAC Web콘솔에서 **설정 > 환경설정 > 관리콘솔** 메뉴로 이동
 2) **WEB 콘솔 > 2단계 인증 기능활성화** 항목에서 **아이루키 OTP** 체크박스에 체크
 3) 하단부 **수정** 버튼 클릭

**Step 4: 연동기능 적용을 위한 2단계 인증 설정**
 1) Genian NAC Web콘솔에서 **관리 > 사용자** 메뉴로 이동
 2) 2단계 인증을 적용할 **계정** 클릭 (2단계 인증은 Genian NAC 관리자 페이지에 접근 가능한 관리 역할 권한을 부여 받은 계정만 설정 가능합니다.)
 3) **기본정보 > 로그인 설정 > 2단계 인증** 항목으로 이동
 4) 셀렉트 박스에서 **아이루키 OTP** 선택
 5) 하단부 **수정** 버튼 클릭

이 과정을 통해서 Genian NAC와 아이루키가 연동되어 Genian NAC 관리자 페이지 로그인 수행 시 
2-Factor(1단계: Genian NAC 계정(ID, PW) / 2단계: 아이루키 OTP) 인증이 가능하도록 구성됩니다.