IAS와 IPS의 차이 정리: Joule의 인증 관련 사항

지난 기사에서 IAS 테넌트가 여러 개 있으면 Joule 도입 전 전처리가 발생한다는 이야기를 했습니다.

애초에 IAS란 무엇인지, IPS와는 무엇이 다른지. Joule의 설정 절차를 보고 있으면 IAS, IPS, 테넌트(Tenant), Global User ID와 같은 용어들이 차례로 등장합니다. 각각의 역할을 이해해 두지 않으면, 절차서의 어느 단계에서 무엇을 하고 있는지 파악하기 어려워집니다.

이 기사에서는 Joule의 인증과 관련된 용어와 각각의 관계를 정리합니다.

인증 관련하여 등장하는 주요 용어는 다음 4가지입니다.

IAS (Identity Authentication Service)
사용자의 인증 (로그인 확인)을 담당하는 서비스
IPS (Identity Provisioning Service)
...

IAS와 IPS는 모두 「SAP Cloud Identity Services」라는 서비스군에 포함되어 있습니다. 세트로 사용되지만 역할은 다릅니다.

IAS (Identity Authentication Service)는 사용자가 각 SAP 제품에 로그인할 때의 인증을 담당합니다.

사용자가 S/4HANA나 SuccessFactors에 액세스하면 IAS 화면으로 리다이렉트(Redirect)되며, ID·패스워드에 의한 인증이 수행됩니다. 인증이 통과되면 각 제품으로의 액세스가 허용됩니다.

기업에 따라서는 사내의 Active Directory나 Azure AD와 연계하여, 사원 ID로 SAP 제품군에 싱글 사인온 (SSO, Single Sign-On)할 수 있는 구성으로 운영하는 경우도 있습니다. 이 경우 IAS는 Active Directory와의 연계 창구로서 기능합니다.

Joule은 BTP 상의 애플리케이션이며, 사용자가 Joule을 이용할 때도 IAS에 의한 인증이 수행됩니다.

지난 기사에서 언급한 「모든 제품에서 동일한 IAS 테넌트를 사용한다」는 조건은 이와 관련이 있습니다. Joule은 여러 SAP 제품을 가로질러 동작하기 때문에, 제품마다 서로 다른 IAS 테넌트를 사용하고 있으면 Joule이 사용자를 통합하여 인식할 수 없게 됩니다.

IPS (Identity Provisioning Service)는 사용자 정보와 권한 (Role)을 각 시스템에 자동으로 배포·동기화하는 서비스입니다.

「누가 어떤 시스템에 어떤 권한으로 액세스할 수 있는가」를 관리합니다. 권한 변경이 있을 경우, 한 곳의 변경만으로 여러 시스템에 반영되는 메커니즘을 구축하기 위해 사용됩니다.

IPS는 「소스 시스템 (Source System)」과 「타겟 시스템 (Target System)」이라는 개념으로 동작합니다.

소스 시스템 (정보의 원천)
SuccessFactors, Active Directory 등
이곳의 사용자 정보·권한 정보가 기준이 됨
...

예를 들어 SuccessFactors를 소스로 하는 경우, SuccessFactors 상의 사원 정보와 Role이 자동으로 Build Work Zone에 반영됩니다. Build Work Zone 측의 사용자 관리를 수동으로 할 필요가 없어집니다.

공식 문서에는 다음과 같은 기술이 있습니다.

"Navigation service of SAP Build Work Zone uses Identity Provisioning
service (IPS) that is used to provision identities and their
authorizations between source and target systems."

Joule의 내비게이션 기능은 Build Work Zone을 경유하여 동작합니다. Build Work Zone은 IPS로부터 동기화된 권한 정보를 바탕으로 사용자가 어떤 권한을 가지고 있는지를 판단합니다.

IPS 설정에 문제가 있으면 Joule을 이용할 수 없거나, 이용할 수 있어야 할 앱이 표시되지 않는 등의 문제가 발생합니다.

Global User ID는 IAS 테넌트 내에서 사용자를 고유하게 식별하는 ID입니다.

S/4HANA의 사용자 ID (예: TANAKA)와 SuccessFactors의 사용자 ID (예: tanaka@example.com)는 제품마다 형식이 다를 수 있습니다. Global User ID는 이 서로 다른 ID를 묶어서 Joule이 「동일 인물」이라고 인식하게 만들기 위한 공통 ID입니다.

Joule은 SuccessFactors 상의 사용자와 S/4HANA 상의 사용자를 동일 인물로 인식해야 합니다. Global User ID가 일치하지 않으면 제품을 넘나드는 조작이나 정보 조회가 불가능합니다.

IAS의 관리 콘솔에서 각 사용자에게 Global User ID가 올바르게 설정되어 있어야 하며, 모든 제품에서 동일해야 합니다. Joule의 사용자 속성 설정에서는 Global User ID를 포함한 다음 속성들을 IAS에 등록합니다.

설정이 필요한 사용자 속성
- email : 이메일 주소
- Email_verified : 이메일 인증 완료 플래그
...

IAS·IPS·Global User ID의 관계를 처리 흐름에 따라 정리하면 다음과 같습니다.

1. 사용자가 Joule에 접속한다
2. IAS가 사용자를 인증한다
3. Global User ID를 통해, S/4HANA 상의 사용자와 SuccessFactors 상의
...

이 흐름 중 어느 하나라도 설정에 문제가 있으면 Joule이 올바르게 동작하지 않습니다. 화면이 표시되지 않거나 내비게이션 버튼이 나타나지 않는 등의 문제 대부분은 인증 관련 설정에서 기인합니다. 트러블슈팅(Troubleshooting)은 별도의 기사에서 다룹니다.

1. IAS 테넌트(Tenant)가 모든 제품에서 통일되어 있는가
IAS 관리 콘솔에 로그인하여 테넌트가 하나뿐인지 확인한다
여러 개가 있는 경우 테넌트 통합 검토가 필요함
...

• IAS는 인증을, IPS는 사용자·권한 동기화를 담당하며 역할이 다릅니다.
• IPS는 소스 시스템(Source System)과 타겟 시스템(Target System)의 개념으로 동작합니다.
• Global User ID는 제품 간에 사용자를 동일 인물로 인식하기 위한 공통 ID입니다.
• 인증 흐름 중 어느 곳에라도 문제가 있으면 Joule이 올바르게 동작하지 않습니다.

다음 시간에는 BTP 환경의 정비 상황에 따라 달라지는 Joule 온보딩(Onboarding)의 시작점에 대해 해설하겠습니다.

SAP Cloud Identity Services

IAS와 IPS를 포함한 SAP 서비스군의 총칭. 사용자의 인증(IAS)과 권한 동기화(IPS)를 담당합니다.

싱글 사인온 (SSO, Single Sign-On)

한 번의 로그인으로 여러 시스템에 접속할 수 있는 메커니즘.

Identity Directory

IAS 테넌트 내의 사용자 정보를 관리하는 데이터베이스. Global User ID를 포함한 사용자 속성은 여기에 저장됩니다.

소스 시스템 (Source System)

IPS에서 사용자 정보의 원천이 되는 시스템. SuccessFactors나 Active Directory가 이에 해당합니다.

타겟 시스템 (Target System)

IPS에서 사용자 정보의 동기화 대상이 되는 시스템. Build Work Zone이나 IAS가 이에 해당합니다.

user_uuid

IAS에서 Global User ID의 속성명.