From ba480805964926c3d02d649c607ba938900f69dd Mon Sep 17 00:00:00 2001 From: kevin Date: Wed, 17 Jun 2026 09:38:53 +0900 Subject: [PATCH] =?UTF-8?q?Update=20=EB=B0=94=EB=A1=A0SSO=EC=A1=B0?= =?UTF-8?q?=EC=A7=81=EB=8F=84=20=EA=B4=80=EB=A0=A8=20=EA=B2=80=ED=86=A0.md?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- 바론SSO조직도 관련 검토.md | 86 +++++++++++++++++++++++++++++--------- 1 file changed, 66 insertions(+), 20 deletions(-) diff --git a/바론SSO조직도 관련 검토.md b/바론SSO조직도 관련 검토.md index 998c5a6..e155b9e 100644 --- a/바론SSO조직도 관련 검토.md +++ b/바론SSO조직도 관련 검토.md @@ -8,6 +8,7 @@ - 여러 자회사별 조직도를 회사 단위로 분리하여 관리한다. - 조직도는 부서/팀에 고정하지 않고 본부, 부문, 부서, 팀, 셀 등 유연한 조직 단위 계층으로 관리한다. +- 본부장, 부문장, 부서장, 팀장, 셀장 같은 조직장 역할은 회사별 설정에 따라 선택적으로 관리한다. - 조직 변경은 권한이 있는 담당자만 요청할 수 있고, 승인 후 각 회사 DB에 제한적으로 반영한다. - 각 회사 DB 컬럼 구조가 다르므로 회사별 조직 매핑 정책과 DB 반영 어댑터를 둔다. - 회원가입은 각 회사 인사 DB의 발령상태와 재직상태를 기준으로 허용 여부를 판단한다. @@ -25,16 +26,17 @@ - [조직도 기준 데이터 정의](#32-조직도-기준-데이터-정의) - [조직도 원천 시스템 결정](#33-조직도-원천-시스템-결정) - [회사별 조직도 관리 화면 설계](#34-회사별-조직도-관리-화면-설계) - - [조직도 UI 오픈소스 적용 방안](#35-조직도-ui-오픈소스-적용-방안) - - [조직도 공유 및 외부 표시 방안](#36-조직도-공유-및-외부-표시-방안) - - [직원 사진 관리 및 표시 방안](#37-직원-사진-관리-및-표시-방안) - - [조직도 변경 권한 정책 정의](#38-조직도-변경-권한-정책-정의) - - [조직도 동기화 및 DB 반영 방식 설계](#39-조직도-동기화-및-db-반영-방식-설계) - - [회원가입 정책 정의](#310-회원가입-정책-정의) - - [SSO 로그인 및 서비스별 접근 권한 정책 정의](#311-sso-로그인-및-서비스별-접근-권한-정책-정의) - - [서비스별 접근 권한 관리자 기능](#312-서비스별-접근-권한-관리자-기능) - - [관리자 화면 구성](#313-관리자-화면-구성) - - [감사 로그와 이력 관리](#314-감사-로그와-이력-관리) + - [조직장 역할 관리 방안](#35-조직장-역할-관리-방안) + - [조직도 UI 오픈소스 적용 방안](#36-조직도-ui-오픈소스-적용-방안) + - [조직도 공유 및 외부 표시 방안](#37-조직도-공유-및-외부-표시-방안) + - [직원 사진 관리 및 표시 방안](#38-직원-사진-관리-및-표시-방안) + - [조직도 변경 권한 정책 정의](#39-조직도-변경-권한-정책-정의) + - [조직도 동기화 및 DB 반영 방식 설계](#310-조직도-동기화-및-db-반영-방식-설계) + - [회원가입 정책 정의](#311-회원가입-정책-정의) + - [SSO 로그인 및 서비스별 접근 권한 정책 정의](#312-sso-로그인-및-서비스별-접근-권한-정책-정의) + - [서비스별 접근 권한 관리자 기능](#313-서비스별-접근-권한-관리자-기능) + - [관리자 화면 구성](#314-관리자-화면-구성) + - [감사 로그와 이력 관리](#315-감사-로그와-이력-관리) 4. [우선순위](#4-우선순위) 5. [후속 진행 작업](#5-후속-진행-작업) 6. [기대 효과](#6-기대-효과) @@ -148,6 +150,10 @@ Baron SSO에서 사용할 조직도 기준 항목을 정의한다. | 조직장 사용자 ID | 해당 조직 단위의 책임자 | | 사용 여부 | 폐지된 조직인지 여부 | +조직장 역할은 조직단위유형에 따라 자동으로 해석할 수 있다. + +예를 들어 조직단위유형이 `본부`이면 조직장은 `본부장`, `부문`이면 `부문장`, `팀`이면 `팀장`, `셀`이면 `셀장`으로 표시할 수 있다. + ### 3.3 조직도 원천 시스템 결정 조직도와 직원 정보의 원천 시스템을 회사별로 결정한다. @@ -186,7 +192,44 @@ Baron SSO가 모든 회사의 인사 원장을 대체하는 구조는 위험하 이 화면은 단순 조직도 조회 화면이 아니라 `회사별 조직 귀속 정보 관리 화면`으로 정의한다. -### 3.5 조직도 UI 오픈소스 적용 방안 +### 3.5 조직장 역할 관리 방안 + +조직도에는 본부장, 부문장, 부서장, 팀장, 셀장처럼 각 조직 단위의 책임자를 표시하고 관리할 수 있어야 한다. + +다만 모든 회사와 모든 조직 단계에 반드시 조직장이 존재하는 것은 아니므로, 조직장 역할은 필수값이 아니라 회사별 설정에 따른 선택 항목으로 관리한다. + +권장 구조는 다음과 같다. + +```text +조직단위유형 +-> 조직장 역할명 설정 +-> 조직장 지정 여부 설정 +-> 조직장 사용자 매핑 +-> 조직도/권한 정책/승인 정책에서 활용 +``` + +조직장 역할 설정 예시는 다음과 같다. + +| 조직단위유형 | 표시 역할명 | 조직장 필수 여부 | 설명 | +| --- | --- | --- | --- | +| 본부 | 본부장 | 선택 | 회사에 따라 본부장이 없을 수 있음 | +| 부문 | 부문장 | 선택 | 부문 조직을 쓰는 회사에서만 사용 | +| 부서 | 부서장 | 선택 또는 필수 | 일반적으로 많이 사용 | +| 팀 | 팀장 | 선택 또는 필수 | 팀 단위 승인/조회 권한에 활용 가능 | +| 셀 | 셀장 | 선택 | 셀 조직을 쓰는 회사에서만 사용 | + +운영 정책은 다음과 같다. + +- 조직장 역할명은 회사별로 다르게 설정할 수 있다. +- 특정 조직단위유형에는 조직장을 두지 않도록 설정할 수 있다. +- 한 조직 단위에 조직장을 1명만 둘지, 복수 책임자를 허용할지 회사별로 정한다. +- 조직장이 공석인 조직 단위는 조직도에서 `공석` 또는 미표시로 처리한다. +- 조직장 변경은 조직 변경 이력과 동일하게 변경 전/후 이력을 남긴다. +- 조직장 정보는 서비스별 접근 권한이나 승인권자 판단에 활용할 수 있다. + +예를 들어 팀장이 지정된 팀은 해당 팀 소속 직원의 특정 요청 승인자로 사용할 수 있고, 본부장이 없는 회사는 본부장 역할을 비활성화할 수 있다. + +### 3.6 조직도 UI 오픈소스 적용 방안 조직도 화면은 직접 처음부터 구현하기보다 검증된 오픈소스 라이브러리를 활용하는 방안을 우선 검토한다. @@ -207,7 +250,7 @@ Baron SSO가 모든 회사의 인사 원장을 대체하는 구조는 위험하 - 노드 이동, 조직 단위 생성, 직원 소속 이동은 모두 변경 전/후 비교 화면을 거친다. - 최종 반영은 승인 후 회사별 DB 반영 어댑터를 통해 수행한다. -### 3.6 조직도 공유 및 외부 표시 방안 +### 3.7 조직도 공유 및 외부 표시 방안 각 회사의 완성된 조직도는 Baron SSO 내부에서만 보는 것이 아니라 각 회사 인트라넷, 모바일 페이지, 그룹웨어 등에서도 표시할 수 있게 한다. @@ -246,7 +289,7 @@ https://sso.example.com/org-chart/companies/{companyCode}/export.png -> 필요 시 PNG/SVG/PDF 이미지 재생성 ``` -### 3.7 직원 사진 관리 및 표시 방안 +### 3.8 직원 사진 관리 및 표시 방안 조직도와 SSO 로그인 화면에서 직원 사진을 표시하려면 사진 파일의 원천, 저장 방식, 노출 범위를 별도 정책으로 정의해야 한다. @@ -309,7 +352,7 @@ https://sso.example.com/photos/users/{userId}?size=thumbnail 개인정보 보호 관점에서 사진 원본을 SSO에 장기 보관하는 방식은 피하고, 표시 목적에 필요한 최소 크기와 최소 정보만 관리하는 것이 적절하다. -### 3.8 조직도 변경 권한 정책 정의 +### 3.9 조직도 변경 권한 정책 정의 조직도의 변경은 각 회사에서 정해진 인원만 가능해야 한다. @@ -346,7 +389,7 @@ https://sso.example.com/photos/users/{userId}?size=thumbnail - 승인 전에는 각 회사 DB에 반영하지 않는다. - 모든 변경 전/후 이력과 작업자를 기록한다. -### 3.9 조직도 동기화 및 DB 반영 방식 설계 +### 3.10 조직도 동기화 및 DB 반영 방식 설계 초기 단계에서는 CSV 또는 Excel 업로드 방식으로 시작하고, 이후 API 또는 배치 동기화로 확장한다. @@ -446,7 +489,7 @@ Baron SSO 조직도 계층 예를 들어 셀 단위가 추가되었지만 A회사 DB에 `cell_code` 컬럼이 없다면, 셀 정보는 SSO 조직도에서만 관리하고 실제 A회사 DB에는 상위 팀의 `team_code`만 반영할 수 있다. -### 3.10 회원가입 정책 정의 +### 3.11 회원가입 정책 정의 Baron SSO 회원가입은 각 회사 인사 DB에 존재하는 직원인지 확인한 뒤 허용해야 한다. @@ -485,7 +528,7 @@ Baron SSO 회원가입은 각 회사 인사 DB에 존재하는 직원인지 확 - 조직단위코드가 없는 사용자는 기본 시스템 접근을 제한한다. - 가입 후 부여되는 기본 권한은 회사, 재직상태, 발령상태, 소속 조직 기준으로 결정한다. -### 3.11 SSO 로그인 및 서비스별 접근 권한 정책 정의 +### 3.12 SSO 로그인 및 서비스별 접근 권한 정책 정의 조직도 관리는 최종적으로 SSO 접근 권한 정책과 연결되어야 한다. @@ -550,7 +593,7 @@ SSO 로그인 요청 예를 들어 재직자 중에서도 특정 부서만 회계 시스템에 접근하거나, 특정 직책 이상만 관리자 시스템에 접근하도록 제한할 수 있다. -### 3.12 서비스별 접근 권한 관리자 기능 +### 3.13 서비스별 접근 권한 관리자 기능 서비스별 접근 정책을 관리할 수 있는 관리자 페이지를 제공한다. @@ -573,7 +616,7 @@ SSO 로그인 요청 기본 정책은 회사/상태/조직/직책 기준으로 자동 적용하고, 예외 정책은 특정 사용자에게 기간을 정해 수동 부여한다. -### 3.13 관리자 화면 구성 +### 3.14 관리자 화면 구성 초기 관리자 화면은 SSO 접근 통제에 필요한 조회와 상태 확인을 기본으로 구성하고, 이후 회사별 조직도 편집 기능을 확장한다. @@ -591,6 +634,8 @@ SSO 로그인 요청 - 시스템별 접근 가능 사용자 표시 - 직원 사진 동기화 상태 조회 - 직원 사진 표시/비공개 상태 관리 +- 조직장 역할 설정 +- 조직장 지정/변경 - 권한 그룹 매핑 - 서비스별 접근 정책 관리 - 사용자별 예외 접근 권한 관리 @@ -602,7 +647,7 @@ SSO 로그인 요청 팀장 보고 시에는 단순한 `조직도 화면`이 아니라 `SSO 접근 통제 화면`으로 설명하는 것이 적절하다. -### 3.14 감사 로그와 이력 관리 +### 3.15 감사 로그와 이력 관리 SSO는 보안 영역이므로 변경 이력과 접근 이력을 반드시 남겨야 한다. @@ -616,6 +661,7 @@ SSO는 보안 영역이므로 변경 이력과 접근 이력을 반드시 남겨 - 서비스별 접근 허용/차단 이력 - 퇴사자 로그인 시도 이력 - 조직 정보 변경 이력 +- 조직장 지정/변경 이력 - 권한 변경 이력 - 서비스별 접근 정책 변경 이력 - 사용자별 예외 권한 변경 이력