[Security] SSO(Single Sign-on)에 대해서

SSO(Single Sign-On)란?

https://www.authgear.com/post/customer-sso

• 사용자가 여러 시스템 또는 여러 서비스에 대해 단일 자격 증명으로 로그인할 수 있는 인증 메커니즘
• 사용자는 한 번의 로그인으로 여러 서비스에 접근 가능
• 다양한 애플리케이션 간에 로그인 세션을 공유할 수 있음

 

SSO를 사용하는 이유

• 편의성 및 생산성 향상 : 한 번의 로그인으로 액세스 할 수 있기때문에 로그인 프로세스를 반복할 필요가 없음
• 비밀번호 관리 용이성 : 하나의 강력한 비밀번호만 관리하면 됨
• 보안 강화 : SSO 서버를 통해 중앙화된 인증 및 접근 제어
• 비용 절감 : 비밀번호 재설정 및 관리와 같은 지원에 소요되는 시간과 비용을 줄일 수 있음

 

SSO 매커니즘

 

1. 인증 ( Authentication )

• 사용자가 SSO를 사용하는 어떤 서비스에 처음 로그인하면, 해당 서비스는 사용자의 자격 증명을 검증
• 검증이 성공하면 인증 토큰을 제공

2. 토큰 발급 ( Token Issuance )

• 인증된 후 사용자에게 특정한 형식의 토큰을 발급
• 주로 사용되는 토큰 형식에는 JSON Web Token(JWT)가 있음
• 토큰에는 사용자의 식별 정보와 인증에 대한 권한이 포함

3. 토큰 전송 ( Token Transfer )

• 발급된 토큰은 사용자의 클라이언트에 전송됨
• 주로 웹 브라우저의 쿠키, HTTP헤더, URL 매개변수를 통해 전송

4. 다른 서비스로 토큰 제출 ( Token Submission )

• 인증을 처리하는 SSO 서버에 토큰 제출함

5. 토큰 검증 ( Token Validation )

• 받은 토큰을 검증하는 서비스는 해당 토큰의 서명이 올바른지 확인함
• 검증이 끝나면 사용자를 인증하고 권한을 부여함

6. 접근 허용 ( Access Granted )

• 토큰이 성공적으로 검증되면 해당 서비스는 사용자에 대한 세션을 생성하고, 해당 세션을 통해 사용자에게 서비스에 접근할 수 있는 권한을 부여
• 사용자는 다른 서비스에 대해서는 추가적인 로그인 과정 없이도 이 세션을 통해 인증을 유지할 수 있음

 

SSO(Single Sign-On) 프로토콜

 

 1. OAuth (Open Authorization) 

• 서드파티 애플리케이션(*사용자가 직접 소유하거나 개발하지 않은 애플리케이션)이 다른 서비스의 리소스에 접근할 수 있도록 권한 부여 담당
• 인증 서버에서 권한을 부여받아 클라이언트 애플리케이션에 접근을 허용하는 토큰을 발급
• 토큰을 사용하여 클라이언트 애플리케이션을 리소스 서버에서 사용자의 데이터를 가져옴

2. OpenID Connect

• OAuth 프로토콜에 신원 확인을 추가하여 사용자의 실제 신원을 확인하는 데 사용
• OAuth의 확장, ID 토큰이라는 특별한 종류의 토큰을 사용하여 사용자의 실제 신원을 확인

3. SAML (Security Assertion Markup Language)

• 서비스 제공자와 신원 제공자 간 XML 기반의 보안 주장을 교환하여 사용자를 인증하는 데 사용
• 사용자가 서비스 제공자에 로그인하려고 할 때 신원 제공자는 SAML 주장을 생성하여 서비스 제공자에게 전송
• 서비스 제공자는 주장을 검증하고 사용자를 인증

4. JWT (JSON Web Token)

• 토큰 형식으로 정보를 안전하게 전달하는데 사용
• JSON 포맷을 사용하여 사용자의 클레임 정보를 토큰에 담아 전송
• 토큰은 서명되어 있어 정보의 무결성을 보장하며 필요에 따라 암호화