"SSO"의 두 판 사이의 차이
vosxja1313 (토론 | 기여) |
잔글 (→같이 보기) |
||
(사용자 3명의 중간 판 47개는 보이지 않습니다) | |||
1번째 줄: | 1번째 줄: | ||
− | '''SSO'''(Single Sign-On | + | '''SSO'''(Single Sign-On)<!--single sign on-->는 웹에서의 인증 방식 중 하나로, 한 번의 [[로그인]]으로 여러 개의 사이트나 서비스를 이용할 수 있게 해 주는 시스템이다. '''싱글사인온'''<!--싱글 사인 온, 싱글 사인온--> 또는 영어 스펠링을 따라 '''에스에스오'''<!--에스 에스 오-->라고 읽는다. |
== 개요 == | == 개요 == | ||
+ | SSO는 '모든 인증을 하나의 시스템에서 한다'는 목적으로 개발된 인증 시스템이다. 한국어로 싱글 사인 온, 단일 계정 로그인, 단일 인증, 통합 인증이라고 한다. 시스템이 몇 개가 되어도 하나의 시스템에서 인증이 성공하면 다른 모든 시스템에 대한 접근 권한을 얻게 된다. 반대로 단일 서명 작업으로 여러 소프트웨어 시스템에 대한 접근 권한을 제거하는 작업을 싱글 사인 오프(Single Sign-Off) 라고 한다. 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로 1997년 IBM이 개발하였으며 대한민국은 2000년 코리아닷컴이 처음 도입했다. 이후 [[삼성전자]]를 비롯한 대기업이 도입하며 활성화되었고 오케이캐쉬백을 비롯한 다양한 사이트와 솔루션 공급 업체도 많이 설립되었다.<ref>〈[https://terms.naver.com/entry.nhn?docId=1221151&cid=40942&categoryId=32828 SSO]〉, 《두산백과》</ref> | ||
− | + | == 등장 배경 == | |
+ | 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로 SSO를 사용하면 관리자는 보다 수월하게 관리 대상(사용자, 고객)을 관리할 수 있다.<ref name="tomato">토마의 개발노트, 〈[https://toma0912.tistory.com/75 SSO(Single Sign-On)이란?]〉, 《티스토리》, 2018-06-18</ref> | ||
− | + | * 기술적 측면: 기업 내 다양한 정보 시스템의 구축에 따른 복잡성 증가, PKI 기술, 생체 인식 등 다양한 인증 기술의 발전과 활성화. | |
+ | * 관리적 측면: 중앙 관리를 통한 집중적인 사용자 관리를 통한 보안 기능 강화, 업무 단순화 및 표준화 실현. | ||
− | |||
== 특징 == | == 특징 == | ||
− | + | SSO를 사용하는 사용자는 여러 사이트에 접속하기 위해 [[아이디]]와 [[비밀번호]]를 비롯한 [[개인정보]]를 각각의 사이트마다 입력해야 했던 불편함이 해소되고 기업에서는 회원에 대한 통합 관리가 가능해 마케팅과 서비스를 극대화할 수 있다. 그러나 한 번의 인증으로 모든 서비스를 사용할 수 있기 때문에 보안에 문제가 생길 수 있다. 따라서 [[OTP]] 등을 이용한 추가적인 강력한 보안 대책이 필요하다. | |
− | 사용자는 여러 사이트에 접속하기 위해 | ||
=== 장점 === | === 장점 === | ||
− | |||
− | |||
# 동일한 아이디와 비밀번호를 다시 입력하는데 소모되는 시간을 줄인다. | # 동일한 아이디와 비밀번호를 다시 입력하는데 소모되는 시간을 줄인다. | ||
# 사이트마다 개인정보를 입력해야할 필요가 없다. | # 사이트마다 개인정보를 입력해야할 필요가 없다. | ||
− | # 비밀번호 분실 시 비밀번호를 답해줘야하는 핼프데스크 비용을 줄인다. | + | # 여러 아이디와 비밀번호 조합으로 생기는 암호 피곤을 줄인다. |
+ | # 비밀번호 분실 시 비밀번호를 답해줘야하는 핼프데스크 비용을 줄인다.<ref>〈[https://www.onelogin.com/pages/openid-connect OpenID Connect Single Sign-On (SSO)]〉, Onelogin</ref> | ||
=== 단점 === | === 단점 === | ||
+ | # 한 번 인증되면 많은 정보를 제공하게 되므로 [[해킹]]으로 인한 피해가 증가할 수 있다. | ||
+ | # 아이디에 대한 접속 권한을 잃어버리면 모든 서비스를 이용할 수 없다. | ||
+ | # 각각의 사이트마다 보안 수준이 다르면 보안에 문제가 생길 수 있다. | ||
+ | # 중국, 북한과 같은 검열 제도가 있는 국가에서는 더욱 강력한 검열과 감시가 이뤄질 수 있다.<ref>Laurenson Lydia, 〈The Censorship Effect〉, 《TechCrunch》, 2014-05-03</ref> | ||
+ | |||
+ | == 구성 요소 == | ||
+ | * 사용자 통합 로그인: 개별 아이디와 비밀번호로 로그인. | ||
+ | * 인증 서버: ACL(Access Control List)을 통한 통합 인증 서버 | ||
+ | * 통합 에이전트(SSO agent): 각 정보 시스템에 대한 정보 제공. | ||
+ | * LDAP(Lightweight Directory Access Protocol): 네트워크상의 자원을 식별하고 사용자와 애플리케이션이 자원에 접근 가능하게 하는 네트워크 디렉터리 서비스. | ||
+ | |||
+ | == 기술 요소 == | ||
+ | 인증서에 의한 인증 메커니즘, LDAP에 의한 접근제어 및 내부사용자 정보관리, 클라이언트와 서버 간의 데이터 암호화를 위한 통신 보안 기술 등이 필요하다. | ||
+ | <ref name="tomato"></ref> | ||
+ | |||
+ | * 인증 : PKI, OTP, 바이오메트릭스 등 | ||
+ | |||
+ | # [[PKI]](Public Key Infra structure): 공개 키 암호 방식을 바탕으로 한 디지털 인증서를 활용하는 소프트웨어, 하드웨어, 사용자, 정책 및 제도 등. | ||
+ | # [[OTP]](One Time Password): 일회성으로 사용하는 비밀번호. | ||
+ | # [[바이오메트릭스]](Biometrics): 하나 이상의 고유한 신체적, 행동적 형질로 사람을 인식하는 생체 인식. | ||
+ | |||
+ | * 관리 : LDAP, 쿠키 등 | ||
+ | |||
+ | # LDAP(Lightweight Directory Access Protocol): 네트워크상의 자원을 식별하고 인가된 사용자만 접근 가능한 네트워크 디렉터리 서비스. | ||
+ | # [[쿠키]](Cookie): 웹사이트를 방문하면 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일. | ||
+ | |||
+ | * 암호화 통신 : SSL, IPSec 등 | ||
+ | |||
+ | # SSL(Secure Socket Layer): 컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약. | ||
+ | # IPSec(IP Security Protocol): 통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 IP 통신을 위한 IP 스위트. | ||
+ | |||
+ | ==구현 방식== | ||
+ | 인증 요청을 어디서 시작하느냐에 차이가 있다.<ref>Damien Carru, 〈[https://blogs.oracle.com/dcarru/sp-vs-idp-initiated-sso SP vs. IdP Initiated SSO]〉, 2016-02-29</ref><ref>NExpert, 〈[https://www.nexpert.net/605 Single Sign On (SSO)의 이해 - 1. SSO의 개요]]〉, 2016-01-18</ref> | ||
+ | |||
+ | === SP-intiated SSO === | ||
+ | sp 보안 도메인에서 시작된 페더레이션 프로세스로 사용자가 sp에 접근하면 sp 페더레이션 서버는 페더레이션 인증 요청을 만들고 메시지 및 작업 상태를 나타내는 짧은 문자열을 사용하여 사용자를 IdP로 리디렉션한다. 사용자는 idp가 보내는 인증 양식에 따라 로그온을 한 후 SAML Response를 sp의 ACS URL에 포스팅하여 접속한다. | ||
− | + | === IdP-Initiated SSO === | |
− | + | IdP 보안 도메인에서 시작된 페더레이션 프로세스로 IdP 페더레이션 서버는 페더레이션 SSO 응답을 만들고 응답 메시지와 선택적 작동 상태를 사용하여 SP로 사용자를 리디렉션한다. 사용자는 SAML Response을 IdP로 부터 받아서 SP의 ACS URL에 포스팅하여 접속한다. | |
− | |||
− | |||
== 작동 원리 == | == 작동 원리 == | ||
=== 케르베로스 기반(Kerberos-based) === | === 케르베로스 기반(Kerberos-based) === | ||
− | |||
매사추세츠 공과 대학(MIT)에서 개발한 기술로 컴퓨터 노드가 안전한 방법으로 서로에게 신분을 증명하기 위해 티켓을 기반으로 작동하는 네트워크 인증 프로토콜이다. | 매사추세츠 공과 대학(MIT)에서 개발한 기술로 컴퓨터 노드가 안전한 방법으로 서로에게 신분을 증명하기 위해 티켓을 기반으로 작동하는 네트워크 인증 프로토콜이다. | ||
# 클라이언트가 서버에 연결을 요청한다. | # 클라이언트가 서버에 연결을 요청한다. | ||
− | # 서버는 | + | # 서버는 클라이언트에게 SSO 서버로부터 인증(TGT)을 받은 후 접속을 요청한다. |
# 클라이언트가 SSO 서버로부터 인증을 받으면 소프트웨어는 TGT를 사용하여 서비스 티켓을 획득한다. | # 클라이언트가 SSO 서버로부터 인증을 받으면 소프트웨어는 TGT를 사용하여 서비스 티켓을 획득한다. | ||
# SSO 서버와 연결된 서버들에 별도의 인증 과정 없이 클라이언트의 신원을 증명하여 접속할 수 있다. | # SSO 서버와 연결된 서버들에 별도의 인증 과정 없이 클라이언트의 신원을 증명하여 접속할 수 있다. | ||
39번째 줄: | 72번째 줄: | ||
대표적인 예 | 대표적인 예 | ||
− | * 윈도우(Windows) 환경 - 액티브 디렉터리(Active Directory) | + | * [[윈도우]](Windows) 환경 - 액티브 디렉터리(Active Directory) |
− | * 유닉스(Unix)/리눅스(Linux) 환경 - 리눅스 이메일 프로그램(Evolution), 파이어폭스(Firefox), 서브버전(SVN) | + | * [[유닉스]](Unix)/[[리눅스]](Linux) 환경 - 리눅스 이메일 프로그램(Evolution), [[파이어폭스]](Firefox), 서브버전(SVN) |
− | |||
− | |||
− | |||
− | |||
=== XML 기반(XML-based) === | === XML 기반(XML-based) === | ||
− | + | # 클라이언트가 서비스 제공자에게 웹 리소스를 요청한다. | |
− | # 클라이언트가 서비스 | ||
# 서비스 제공자는 ID 제공자에게 인증을 요청한다. | # 서비스 제공자는 ID 제공자에게 인증을 요청한다. | ||
# ID 제공자는 클라이언트 자격 증명을 제공한다. | # ID 제공자는 클라이언트 자격 증명을 제공한다. | ||
56번째 줄: | 84번째 줄: | ||
* 보안 지원 마크업 언어(SAML) - SAML(Security Assertion Markup Language) ID 제공자와 SAML 서비스 제공자 간에 사용자 보안 정보를 교환하기 위한 방법으로 W3C XML 암호화와 웹 브라우저 SSO를 지원한다. | * 보안 지원 마크업 언어(SAML) - SAML(Security Assertion Markup Language) ID 제공자와 SAML 서비스 제공자 간에 사용자 보안 정보를 교환하기 위한 방법으로 W3C XML 암호화와 웹 브라우저 SSO를 지원한다. | ||
+ | |||
+ | === 스마트 카드 기반(Smart-card-based) === | ||
+ | * 첫 로그인 시 클라이언트에게 스마트카드(IC)를 요청한다. 사용자에게 자격 증명을 다시 입력하도록 요청하지 않고 스마트카드에 저장된 인증서나 암호를 사용할 수 있다. | ||
{{각주}} | {{각주}} | ||
== 참고자료== | == 참고자료== | ||
− | + | * 〈[https://en.wikipedia.org/wiki/Single_sign-on Single sign-on]〉, 《wikipedia》 | |
− | * | + | * 〈[https://en.wikipedia.org/wiki/Kerberos_(protocol) Kerberos(protocol)]〉, 《wikipedia》 |
− | * | + | * 〈[https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language Security Assertion Markup Language]〉, 《wikipedia》 |
− | * | + | * 〈[https://terms.naver.com/entry.nhn?docId=1221151&cid=40942&categoryId=32828 SSO]〉, 《두산백과》 |
* 양대일, 〈[https://terms.naver.com/entry.nhn?docId=3432036&cid=58437&categoryId=58437 SSO]〉, 《네이버 지식백과》, 2013-06-28 | * 양대일, 〈[https://terms.naver.com/entry.nhn?docId=3432036&cid=58437&categoryId=58437 SSO]〉, 《네이버 지식백과》, 2013-06-28 | ||
+ | * Damien Carru, 〈[https://blogs.oracle.com/dcarru/sp-vs-idp-initiated-sso SP vs. IdP Initiated SSO]〉, 2016-02-29 | ||
+ | * NExpert, 〈[https://www.nexpert.net/605 Single Sign On (SSO)의 이해 - 1. SSO의 개요]〉, 2016-01-18 | ||
+ | * 토마의 개발노트, 〈[https://toma0912.tistory.com/75 SSO(Single Sign-On)이란?]〉, 《티스토리》, 2018-06-18 | ||
+ | == 같이 보기 == | ||
+ | * [[로그인]] | ||
− | {{ | + | {{시스템 연계|검토 필요}} |
+ | {{인터넷}} |
2021년 8월 7일 (토) 02:40 기준 최신판
SSO(Single Sign-On)는 웹에서의 인증 방식 중 하나로, 한 번의 로그인으로 여러 개의 사이트나 서비스를 이용할 수 있게 해 주는 시스템이다. 싱글사인온 또는 영어 스펠링을 따라 에스에스오라고 읽는다.
목차
개요[편집]
SSO는 '모든 인증을 하나의 시스템에서 한다'는 목적으로 개발된 인증 시스템이다. 한국어로 싱글 사인 온, 단일 계정 로그인, 단일 인증, 통합 인증이라고 한다. 시스템이 몇 개가 되어도 하나의 시스템에서 인증이 성공하면 다른 모든 시스템에 대한 접근 권한을 얻게 된다. 반대로 단일 서명 작업으로 여러 소프트웨어 시스템에 대한 접근 권한을 제거하는 작업을 싱글 사인 오프(Single Sign-Off) 라고 한다. 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로 1997년 IBM이 개발하였으며 대한민국은 2000년 코리아닷컴이 처음 도입했다. 이후 삼성전자를 비롯한 대기업이 도입하며 활성화되었고 오케이캐쉬백을 비롯한 다양한 사이트와 솔루션 공급 업체도 많이 설립되었다.[1]
등장 배경[편집]
여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로 SSO를 사용하면 관리자는 보다 수월하게 관리 대상(사용자, 고객)을 관리할 수 있다.[2]
- 기술적 측면: 기업 내 다양한 정보 시스템의 구축에 따른 복잡성 증가, PKI 기술, 생체 인식 등 다양한 인증 기술의 발전과 활성화.
- 관리적 측면: 중앙 관리를 통한 집중적인 사용자 관리를 통한 보안 기능 강화, 업무 단순화 및 표준화 실현.
특징[편집]
SSO를 사용하는 사용자는 여러 사이트에 접속하기 위해 아이디와 비밀번호를 비롯한 개인정보를 각각의 사이트마다 입력해야 했던 불편함이 해소되고 기업에서는 회원에 대한 통합 관리가 가능해 마케팅과 서비스를 극대화할 수 있다. 그러나 한 번의 인증으로 모든 서비스를 사용할 수 있기 때문에 보안에 문제가 생길 수 있다. 따라서 OTP 등을 이용한 추가적인 강력한 보안 대책이 필요하다.
장점[편집]
- 동일한 아이디와 비밀번호를 다시 입력하는데 소모되는 시간을 줄인다.
- 사이트마다 개인정보를 입력해야할 필요가 없다.
- 여러 아이디와 비밀번호 조합으로 생기는 암호 피곤을 줄인다.
- 비밀번호 분실 시 비밀번호를 답해줘야하는 핼프데스크 비용을 줄인다.[3]
단점[편집]
- 한 번 인증되면 많은 정보를 제공하게 되므로 해킹으로 인한 피해가 증가할 수 있다.
- 아이디에 대한 접속 권한을 잃어버리면 모든 서비스를 이용할 수 없다.
- 각각의 사이트마다 보안 수준이 다르면 보안에 문제가 생길 수 있다.
- 중국, 북한과 같은 검열 제도가 있는 국가에서는 더욱 강력한 검열과 감시가 이뤄질 수 있다.[4]
구성 요소[편집]
- 사용자 통합 로그인: 개별 아이디와 비밀번호로 로그인.
- 인증 서버: ACL(Access Control List)을 통한 통합 인증 서버
- 통합 에이전트(SSO agent): 각 정보 시스템에 대한 정보 제공.
- LDAP(Lightweight Directory Access Protocol): 네트워크상의 자원을 식별하고 사용자와 애플리케이션이 자원에 접근 가능하게 하는 네트워크 디렉터리 서비스.
기술 요소[편집]
인증서에 의한 인증 메커니즘, LDAP에 의한 접근제어 및 내부사용자 정보관리, 클라이언트와 서버 간의 데이터 암호화를 위한 통신 보안 기술 등이 필요하다. [2]
- 인증 : PKI, OTP, 바이오메트릭스 등
- PKI(Public Key Infra structure): 공개 키 암호 방식을 바탕으로 한 디지털 인증서를 활용하는 소프트웨어, 하드웨어, 사용자, 정책 및 제도 등.
- OTP(One Time Password): 일회성으로 사용하는 비밀번호.
- 바이오메트릭스(Biometrics): 하나 이상의 고유한 신체적, 행동적 형질로 사람을 인식하는 생체 인식.
- 관리 : LDAP, 쿠키 등
- LDAP(Lightweight Directory Access Protocol): 네트워크상의 자원을 식별하고 인가된 사용자만 접근 가능한 네트워크 디렉터리 서비스.
- 쿠키(Cookie): 웹사이트를 방문하면 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일.
- 암호화 통신 : SSL, IPSec 등
- SSL(Secure Socket Layer): 컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약.
- IPSec(IP Security Protocol): 통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 IP 통신을 위한 IP 스위트.
구현 방식[편집]
인증 요청을 어디서 시작하느냐에 차이가 있다.[5][6]
SP-intiated SSO[편집]
sp 보안 도메인에서 시작된 페더레이션 프로세스로 사용자가 sp에 접근하면 sp 페더레이션 서버는 페더레이션 인증 요청을 만들고 메시지 및 작업 상태를 나타내는 짧은 문자열을 사용하여 사용자를 IdP로 리디렉션한다. 사용자는 idp가 보내는 인증 양식에 따라 로그온을 한 후 SAML Response를 sp의 ACS URL에 포스팅하여 접속한다.
IdP-Initiated SSO[편집]
IdP 보안 도메인에서 시작된 페더레이션 프로세스로 IdP 페더레이션 서버는 페더레이션 SSO 응답을 만들고 응답 메시지와 선택적 작동 상태를 사용하여 SP로 사용자를 리디렉션한다. 사용자는 SAML Response을 IdP로 부터 받아서 SP의 ACS URL에 포스팅하여 접속한다.
작동 원리[편집]
케르베로스 기반(Kerberos-based)[편집]
매사추세츠 공과 대학(MIT)에서 개발한 기술로 컴퓨터 노드가 안전한 방법으로 서로에게 신분을 증명하기 위해 티켓을 기반으로 작동하는 네트워크 인증 프로토콜이다.
- 클라이언트가 서버에 연결을 요청한다.
- 서버는 클라이언트에게 SSO 서버로부터 인증(TGT)을 받은 후 접속을 요청한다.
- 클라이언트가 SSO 서버로부터 인증을 받으면 소프트웨어는 TGT를 사용하여 서비스 티켓을 획득한다.
- SSO 서버와 연결된 서버들에 별도의 인증 과정 없이 클라이언트의 신원을 증명하여 접속할 수 있다.
대표적인 예
- 윈도우(Windows) 환경 - 액티브 디렉터리(Active Directory)
- 유닉스(Unix)/리눅스(Linux) 환경 - 리눅스 이메일 프로그램(Evolution), 파이어폭스(Firefox), 서브버전(SVN)
XML 기반(XML-based)[편집]
- 클라이언트가 서비스 제공자에게 웹 리소스를 요청한다.
- 서비스 제공자는 ID 제공자에게 인증을 요청한다.
- ID 제공자는 클라이언트 자격 증명을 제공한다.
- 서비스 제공자는 ID 제공자의 클라이언트 정보를 받아 별도의 인증 과정 없이 서비스를 제공한다.
대표적인 예
- 보안 지원 마크업 언어(SAML) - SAML(Security Assertion Markup Language) ID 제공자와 SAML 서비스 제공자 간에 사용자 보안 정보를 교환하기 위한 방법으로 W3C XML 암호화와 웹 브라우저 SSO를 지원한다.
스마트 카드 기반(Smart-card-based)[편집]
- 첫 로그인 시 클라이언트에게 스마트카드(IC)를 요청한다. 사용자에게 자격 증명을 다시 입력하도록 요청하지 않고 스마트카드에 저장된 인증서나 암호를 사용할 수 있다.
각주[편집]
- ↑ 〈SSO〉, 《두산백과》
- ↑ 2.0 2.1 토마의 개발노트, 〈SSO(Single Sign-On)이란?〉, 《티스토리》, 2018-06-18
- ↑ 〈OpenID Connect Single Sign-On (SSO)〉, Onelogin
- ↑ Laurenson Lydia, 〈The Censorship Effect〉, 《TechCrunch》, 2014-05-03
- ↑ Damien Carru, 〈SP vs. IdP Initiated SSO〉, 2016-02-29
- ↑ NExpert, 〈Single Sign On (SSO)의 이해 - 1. SSO의 개요]〉, 2016-01-18
참고자료[편집]
- 〈Single sign-on〉, 《wikipedia》
- 〈Kerberos(protocol)〉, 《wikipedia》
- 〈Security Assertion Markup Language〉, 《wikipedia》
- 〈SSO〉, 《두산백과》
- 양대일, 〈SSO〉, 《네이버 지식백과》, 2013-06-28
- Damien Carru, 〈SP vs. IdP Initiated SSO〉, 2016-02-29
- NExpert, 〈Single Sign On (SSO)의 이해 - 1. SSO의 개요〉, 2016-01-18
- 토마의 개발노트, 〈SSO(Single Sign-On)이란?〉, 《티스토리》, 2018-06-18
같이 보기[편집]
|