SSO(Single Sign-On)는 웹에서의 인증 방식 중 하나로, 한 번의 로그인으로 여러 개의 사이트나 서비스를 이용할 수 있게 해 주는 시스템이다. 싱글사인온 또는 영어 스펠링을 따라 에스에스오라고 읽는다.
개요
SSO는 '모든 인증을 하나의 시스템에서 한다'는 목적으로 개발된 인증 시스템이다. 한국어로 싱글 사인 온, 단일 계정 로그인, 단일 인증, 통합 인증이라고 한다. 시스템이 몇 개가 되어도 하나의 시스템에서 인증이 성공하면 다른 모든 시스템에 대한 접근 권한을 얻게 된다. 반대로 단일 서명 작업으로 여러 소프트웨어 시스템에 대한 접근 권한을 제거하는 작업을 싱글 사인 오프(Single Sign-Off) 라고 한다. 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로 1997년 IBM이 개발하였으며 대한민국은 2000년 코리아닷컴이 처음 도입했다. 이후 삼성전자를 비롯한 대기업이 도입하며 활성화되었고 오케이캐쉬백을 비롯한 다양한 사이트와 솔루션 공급 업체도 많이 설립되었다.[1]
등장 배경
여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로 SSO를 사용하면 관리자는 보다 수월하게 관리 대상(사용자, 고객)을 관리할 수 있다.[2]
- 기술적 측면: 기업 내 다양한 정보 시스템의 구축에 따른 복잡성 증가, PKI 기술, 생체 인식 등 다양한 인증 기술의 발전과 활성화.
- 관리적 측면: 중앙 관리를 통한 집중적인 사용자 관리를 통한 보안 기능 강화, 업무 단순화 및 표준화 실현.
특징
SSO를 사용하는 사용자는 여러 사이트에 접속하기 위해 아이디와 비밀번호를 비롯한 개인정보를 각각의 사이트마다 입력해야 했던 불편함이 해소되고 기업에서는 회원에 대한 통합 관리가 가능해 마케팅과 서비스를 극대화할 수 있다. 그러나 한 번의 인증으로 모든 서비스를 사용할 수 있기 때문에 보안에 문제가 생길 수 있다. 따라서 OTP 등을 이용한 추가적인 강력한 보안 대책이 필요하다.
장점
- 동일한 아이디와 비밀번호를 다시 입력하는데 소모되는 시간을 줄인다.
- 사이트마다 개인정보를 입력해야할 필요가 없다.
- 여러 아이디와 비밀번호 조합으로 생기는 암호 피곤을 줄인다.
- 비밀번호 분실 시 비밀번호를 답해줘야하는 핼프데스크 비용을 줄인다.[3]
단점
- 한 번 인증되면 많은 정보를 제공하게 되므로 해킹으로 인한 피해가 증가할 수 있다.
- 아이디에 대한 접속 권한을 잃어버리면 모든 서비스를 이용할 수 없다.
- 각각의 사이트마다 보안 수준이 다르면 보안에 문제가 생길 수 있다.
- 중국, 북한과 같은 검열 제도가 있는 국가에서는 더욱 강력한 검열과 감시가 이뤄질 수 있다.[4]
구성 요소
- 사용자 통합 로그인: 개별 아이디와 비밀번호로 로그인.
- 인증 서버: ACL(Access Control List)을 통한 통합 인증 서버
- 통합 에이전트(SSO agent): 각 정보 시스템에 대한 정보 제공.
- LDAP(Lightweight Directory Access Protocol): 네트워크상의 자원을 식별하고 사용자와 애플리케이션이 자원에 접근 가능하게 하는 네트워크 디렉터리 서비스.
기술 요소
인증서에 의한 인증 메커니즘, LDAP에 의한 접근제어 및 내부사용자 정보관리, 클라이언트와 서버 간의 데이터 암호화를 위한 통신 보안 기술 등이 필요하다.
[2]
- PKI(Public Key Infra structure): 공개 키 암호 방식을 바탕으로 한 디지털 인증서를 활용하는 소프트웨어, 하드웨어, 사용자, 정책 및 제도 등.
- OTP(One Time Password): 일회성으로 사용하는 비밀번호.
- 바이오메트릭스(Biometrics): 하나 이상의 고유한 신체적, 행동적 형질로 사람을 인식하는 생체 인식.
- LDAP(Lightweight Directory Access Protocol): 네트워크상의 자원을 식별하고 인가된 사용자만 접근 가능한 네트워크 디렉터리 서비스.
- 쿠키(Cookie): 웹사이트를 방문하면 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일.
- SSL(Secure Socket Layer): 컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약.
- IPSec(IP Security Protocol): 통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 IP 통신을 위한 IP 스위트.
구현 방식
인증 요청을 어디서 시작하느냐에 차이가 있다.[5][6]
SP-intiated SSO
sp 보안 도메인에서 시작된 페더레이션 프로세스로 사용자가 sp에 접근하면 sp 페더레이션 서버는 페더레이션 인증 요청을 만들고 메시지 및 작업 상태를 나타내는 짧은 문자열을 사용하여 사용자를 IdP로 리디렉션한다. 사용자는 idp가 보내는 인증 양식에 따라 로그온을 한 후 SAML Response를 sp의 ACS URL에 포스팅하여 접속한다.
IdP-Initiated SSO
IdP 보안 도메인에서 시작된 페더레이션 프로세스로 IdP 페더레이션 서버는 페더레이션 SSO 응답을 만들고 응답 메시지와 선택적 작동 상태를 사용하여 SP로 사용자를 리디렉션한다. 사용자는 SAML Response을 IdP로 부터 받아서 SP의 ACS URL에 포스팅하여 접속한다.
작동 원리
케르베로스 기반(Kerberos-based)
매사추세츠 공과 대학(MIT)에서 개발한 기술로 컴퓨터 노드가 안전한 방법으로 서로에게 신분을 증명하기 위해 티켓을 기반으로 작동하는 네트워크 인증 프로토콜이다.
- 클라이언트가 서버에 연결을 요청한다.
- 서버는 클라이언트에게 SSO 서버로부터 인증(TGT)을 받은 후 접속을 요청한다.
- 클라이언트가 SSO 서버로부터 인증을 받으면 소프트웨어는 TGT를 사용하여 서비스 티켓을 획득한다.
- SSO 서버와 연결된 서버들에 별도의 인증 과정 없이 클라이언트의 신원을 증명하여 접속할 수 있다.
대표적인 예
- 윈도우(Windows) 환경 - 액티브 디렉터리(Active Directory)
- 유닉스(Unix)/리눅스(Linux) 환경 - 리눅스 이메일 프로그램(Evolution), 파이어폭스(Firefox), 서브버전(SVN)
XML 기반(XML-based)
- 클라이언트가 서비스 제공자에게 웹 리소스를 요청한다.
- 서비스 제공자는 ID 제공자에게 인증을 요청한다.
- ID 제공자는 클라이언트 자격 증명을 제공한다.
- 서비스 제공자는 ID 제공자의 클라이언트 정보를 받아 별도의 인증 과정 없이 서비스를 제공한다.
대표적인 예
- 보안 지원 마크업 언어(SAML) - SAML(Security Assertion Markup Language) ID 제공자와 SAML 서비스 제공자 간에 사용자 보안 정보를 교환하기 위한 방법으로 W3C XML 암호화와 웹 브라우저 SSO를 지원한다.
스마트 카드 기반(Smart-card-based)
- 첫 로그인 시 클라이언트에게 스마트카드(IC)를 요청한다. 사용자에게 자격 증명을 다시 입력하도록 요청하지 않고 스마트카드에 저장된 인증서나 암호를 사용할 수 있다.
각주
- ↑ 〈SSO〉, 《두산백과》
- ↑ 2.0 2.1 토마의 개발노트, 〈SSO(Single Sign-On)이란?〉, 《티스토리》, 2018-06-18
- ↑ 〈OpenID Connect Single Sign-On (SSO)〉, Onelogin
- ↑ Laurenson Lydia, 〈The Censorship Effect〉, 《TechCrunch》, 2014-05-03
- ↑ Damien Carru, 〈SP vs. IdP Initiated SSO〉, 2016-02-29
- ↑ NExpert, 〈Single Sign On (SSO)의 이해 - 1. SSO의 개요]〉, 2016-01-18
참고자료
- 〈Single sign-on〉, 《wikipedia》
- 〈Kerberos(protocol)〉, 《wikipedia》
- 〈Security Assertion Markup Language〉, 《wikipedia》
- 〈SSO〉, 《두산백과》
- 양대일, 〈SSO〉, 《네이버 지식백과》, 2013-06-28
- Damien Carru, 〈SP vs. IdP Initiated SSO〉, 2016-02-29
- NExpert, 〈Single Sign On (SSO)의 이해 - 1. SSO의 개요〉, 2016-01-18
- 토마의 개발노트, 〈SSO(Single Sign-On)이란?〉, 《티스토리》, 2018-06-18
같이 보기
이 SSO 문서는 프로그래밍에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.
|
개발 : 프로그래밍 □■⊕, 소프트웨어, 데이터, 솔루션, 보안, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인
|
|
프로그래밍 언어
|
ASP • C 언어 • C++ • C# • CSS • D 언어 • HTML • HTML5 • JSP • PHP • R • XHTML • XML • XSLT • 고(Go) • 고급언어 • 기계어 • 델파이 • 러스트 • 루비 • 루아 • 리액트 • 리퀴디티 • 무브 • 미켈슨 • 베이직 • 브이비스크립트 • 비주얼 C++ • 비주얼베이직(VB) • 비주얼베이직닷넷(VB.NET) • 솔리디티 • 스몰토크 • 스위프트 언어 • 스칼라 • 스크립트 언어 • 알골 • 어셈블리 • 언리얼스크립트 • 얼랭 • 에이잭스(Ajax) • 엠에프씨(MFC) • 오브젝티브-C • 오브젝트 파스칼 • 오카멜 • 웹어셈블리(WASM) • 이와즘(eWASM) • 자바 • 자바스크립트 • 저급언어 • 제이슨(JSON) • 제이쿼리(jQuery) • 카멜 • 코볼 • 코틀린 • 콜드퓨전 • 타입스크립트 • 파스칼 • 파워스크립트 • 파이썬 • 펄(Perl) • 포트란 • 프로씨(Pro-C) • 피엘에스큐엘(PL/SQL) • 피엘원(PL/I) • 하스켈
|
|
개발방법론
|
CBD 개발방법론 • EA • 구조적 개발방법론 • 객체지향 개발방법론 • 라이브러리 • 람다 아키텍처 • 모듈 • 모듈화 • 벤치마킹 • 소프트웨어 개발방법론 • 스크럼 • 스프린트 • 아키텍처 • 아키텍트 • 애자일 • 웹개발방법론 • 정보공학 개발방법론 • 컴포넌트 • 테일러링 • 템플릿 • 폭포수 모델 • 프로젝트 • 프로토타입 • 피드백
|
|
코딩
|
EUC-KR • UTF-8 • 값 • 글루웨어 • 노팔로우 링크 • 두팔로우 링크 • 디버깅 • 디코딩 • 마크업 • 버그 • 부트스트랩 • 세이브포인트 • 소스코드 • 시큐어코딩 • 아스키 • 액티브엑스 • 오픈소스 • 유니코드 • 인코딩 • 재컴파일 • 주석 • 컴파일 • 컴퓨터 프로그램 • 코드 • 코딩 • 태그 • 테스트 • 테이블 • 텍스트 • 파싱 • 퍼블리싱 • 퓨니코드 • 하드코딩 • 하이퍼링크 • 하이퍼텍스트
|
|
프로그래밍
|
C 명령어 • 객체 • 객체지향 • 객체지향 프로그래밍 • 거짓 • 관계연산자 • 기본형 변수 • 널 • 논리 • 논리연산 • 논리연산자 • 다중상속 • 다형성 • 대입 • 대입문 • 대입연산자 • 더블 • 도스 명령어 • 디폴트 • 레지스터변수 • 루프 • 리눅스 명령어 • 리턴 • 메모리 주소 • 메소드 • 멤버 • 명령문 • 명령어 • 무한루프 • 문자 • 문자열 • 바이트 • 반복문 • 배열 • 변수 • 분기 • 분기문 • 불린 • 브레이크 • 비교연산자 • 비트연산자 • 산술연산자 • 상속 • 상수 • 생성자 • 선언 • 선언문 • 설정자 • 속성 • 스위치 • 스태틱 • 시프트연산자 • 실행 • 실행문 • 어노테이션 • 에코 • 역참조 • 연산 • 연산문 • 연산자 • 오버로딩 • 오버라이딩 • 외부변수 • 윈도우 명령어 • 유닉스 명령어 • 인스턴스 • 인스트럭션 • 인클루드 • 인터페이스 • 임포트 • 입력 • 입력문 • 입출력 • 입출력문 • 자료형(데이터 타입) • 자바 명령어 • 자바 예약어 • 자바 컬렉션 • 전역변수 • 접근자 • 접근제어자 • 정보은닉 • 정수형 • 정적변수 • 제어 • 제어문 • 제어자 • 조건 • 조건문 • 조건연산자 • 주소 • 증감연산자 • 지역변수 • 참 • 참조 • 참조변수 • 초기화 • 추상메소드 • 추상클래스 • 추상화 • 출력 • 출력문 • 캡슐화 • 케이스 • 클래스 • 파라미터(매개변수) • 파이널 • 패키지 • 퍼블릭 • 포인터 • 프라이빗 • 프로텍티드 • 필드(멤버변수) • 함수 • 환경변수
|
|
명령어
|
abstract • array • boolean • break • byte • case • char • continue • default • double • do while • echo • elif • else • else if • false • final • float • for • gosub • goto • if • if else • import • include • int • join • long • long long • null • print • printf • println • private • protected • public • return • scanf • short • stdio.h • static • string • switch • temp • then • true • unsigned • void • while
|
|
디자인패턴
|
구조패턴 • 동시성패턴 • 동시실행패턴 • 모델-뷰-컨트롤러 패턴 • 상태패턴 • 생성패턴 • 싱글톤패턴 • 아키텍처패턴 • 전략패턴 • 커맨드패턴 • 행동패턴
|
|
프로그래밍 인물
|
귀도 반 로썸 • 그레이스 머레이 호퍼 • 니클라우스 비르트 • 댄 브릭클린 • 더그 커팅 • 데니스 리치 • 리누스 토르발스 • 리처드 그린블라트 • 마거릿 해밀턴 • 마크 앤드리슨 • 빈트 서프 • 빌 게이츠 • 빌 조이 • 스티브 잡스 • 에이다 러브레이스 • 제임스 고슬링 • 척 벤턴 • 켄 톰슨 • 팀 패터슨
|
|
위키 : 자동차, 교통, 지역, 지도, 산업, 기업, 단체, 업무, 생활, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반
|
|
개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안, 하드웨어, 컴퓨터, 사무자동화, 인터넷 □■⊕, 모바일, 사물인터넷, 게임, 메타버스, 디자인
|
|
인터넷
|
PC통신 • 그누텔라 • 네트워크 • 다크넷 • 다크웹 • 딥웹 • 무선인터넷 • 슈퍼피어 • 스타링크 • 아르파넷 • 아이투피(I2P) • 엑스트라넷 • 오버레이 네트워크 • 오투오(O2O) • 오프라인 • 온라인 • 온오프라인 • 유선인터넷 • 인터넷 • 인트라넷 • 초고속 인터넷 • 토어(토르) • 표면웹 • 프리넷 • 피투피(P2P) • 하이브리드 피투피(P2P) • 홈네트워크
|
|
인터넷 기술
|
ARP • DNS • FTP • G-클라우드 • HTTP • HTTPS • IPFS • IPv4 • IPv6 • IRC • IRI • ISBN • LDAP • MOIP • OpenSSL • OSI 7 계층 • RFC • RFID • SFTP • SOAP • SSH • SSL • SSO • TCP • TCP/IP • TLS • UCI • UDP • URI • URL • URN • VoIP • 강화 내부 게이트웨이 라우팅 프로토콜 • 검색 • 검색엔진 • 게이트웨이 • 경계 경로 프로토콜 • 내부 게이트웨이 라우팅 프로토콜 • 다운로드 • 데몬 • 라우팅 정보 프로토콜 • 백엔드 • 사물인터넷 • 서버 • 서버-클라이언트 • 서브넷마스크 • 세션 • 스트리밍 • 식별자 • 아이피(IP) • 업로드 • 에듀테크 • 온프레미스 • 원격 프로시저 호출(RPC) • 유비쿼터스 • 인터넷 기술 • 자율시스템 • 정보기술 • 정보통신 • 채팅 • 챗봇 • 최단경로 우선 프로토콜(OSPF) • 쿠키 • 크롤링 • 클라이언트 • 키워드 • 텔넷 • 토폴로지 • 트래픽 • 패킷 • 포털 • 포트 • 프런트엔드 • 프로토콜 • 프록시 • 해시태그
|
|
이메일
|
IMAP • POP3 • SMTP • 계정메일 • 네이버 메일 • 다음 메일 • 센드메일 • 스팸 • 스팸메일 • 스팸필터링 • 아웃룩 익스프레스 • 야후 메일 • 웹메일 • 이메일 • 지메일 • 카카오 메일 • 한메일 • 핫메일
|
|
웹
|
KWCAG • WCAG • 서핑 • 시맨틱 웹 • 오프라인 웹 • 웹 • 웹 1.0 • 웹 2.0 • 웹 3.0 • 웹개방성 • 웹서비스 • 웹접근성 • 웹접근성 인증마크 • 웹주소 • 웹표준 • 웹호환성 • 피드
|
|
웹사이트
|
BBS • GNB • LNB • UI/UX • 게시판 • 관리자 사이트 • 그래픽 사용자 인터페이스(GUI) • 누리집 • 대시보드 • 드롭다운 메뉴 • 랜딩 템플릿 • 랜딩 페이지 • 리더보드 • 마이홈피 • 메뉴 • 모달창 • 미니홈피 • 방명록 • 배너 • 사용자 경험(UX) • 사용자 인터페이스(UI) • 섹션 • 왼쪽메뉴 • 웹기획 • 웹사이트 • 웹페이지 • 인터페이스 • 쪽지 • 커뮤니티 • 탑메뉴 • 탭메뉴 • 템플릿 • 팝업 • 페이지 • 페이지뷰 • 햄버거 메뉴 • 호버 • 홈페이지 • 화면
|
|
웹브라우저
|
넷스케이프 • 모자이크 • 브라우저 • 브레이브 브라우저 • 블록체인 브라우저 • 사파리 • 삼성인터넷 • 스윙 • 엣지 • 오시리스 • 오페라 • 웨일 • 웹브라우저 • 인터넷 익스플로러(IE) • 크롬 • 파이어폭스 • 판도브라우저
|
|
인터넷 서비스
|
구글 • 구글 미트 • 구글챗 • 구글 행아웃 • 깃허브 • 네아로 • 네이버 • 네이버 웹툰 • 네이버 카페 • 넷플릭스 • 다음 • 라이코스 • 레진코믹스 • 메일루 • 멜론 • 바이두 • 바이트댄스 • 비트토렌트 • 빌리빌리 • 빙 • 소리바다 • 스포티파이 • 아마존 웹서비스(AWS) • 애플 • 야후 • 야후재팬 • 얀덱스 • 에버노트 • 에어비앤비 • 왓챠 • 웹소설 • 웹툰 • 유튜브 • 인스타툰 • 인터넷 서비스 • 인터넷카페 • 잼라이브 • 줌 • 카카오 • 카카오 웹툰 • 카카오페이지 • 탑툰 • 텐센트 • 팟캐스트 • 패스 • 페이오니아 • 페이팔 • 해시넷 • 화상통화 • 화상회의
|
|
인터넷쇼핑
|
11번가 • 그립 • 네이버 쇼핑 • 네이버 쇼핑 라이브 • 라이브방송 • 라이브커머스 • 모바일쇼핑 • 스쉐라이브 • 스타일쉐어 • 아마존 • 알리바바 • 오픈마켓 • 옥션 • 온라인쇼핑 • 위메프 • 이베이 • 인터넷쇼핑 • 인터파크 • 전자상거래 • 지마켓 • 징동닷컴 • 카카오 쇼핑 • 카카오 쇼핑 라이브 • 커머스 • 쿠팡 • 쿠팡 라이브 • 타오바오 • 티몬
|
|
소셜 네트워크
|
SNS(소셜 네트워크 서비스) • 구글 블로거 • 네이버 밴드 • 네이버 블로그 • 디시인사이드 • 링크드인 • 마이크로블로그 • 맞팔 • 브런치스토리 • 블로그 • 소셜 네트워크 • 엑스 (트위터) • 웨이보 • 인스타그램 • 트루스소셜 • 티스토리 • 팔로우 • 페이스북 • 플리커 • 핀터레스트
|
|
메신저
|
골프메신저 • 님버즈 • 대화방 • 두레이 • 디스코드 • 딩톡 • 라인 • 라인웍스 • 마이크로소프트 팀즈 • 메신저 • 버디버디 • 스냅챗 • 스노우 • 스카이프 • 슬랙 • 아이씨큐(ICQ) • 왓츠앱 • 웹메신저 • 위챗 • 잔디 • 직톡 • 카카오워크 • 카카오톡 • 카톡방 • 큐큐(QQ) • 탱고 • 텔레그램 • 틱톡 • 페이스북 메신저 • 플로우
|
|
도메인
|
네임서버 • 다국어도메인 • 도메인 • 레지스트라 • 레지스트리 • 아이피 • 인터넷주소 • 인터넷키워드 • 한글인터넷주소 • 후이즈
|
|
호스팅
|
메일호스팅 • 서버호스팅 • 웹호스팅 • 코로케이션 • 클라우드 • 클라우드 네이티브 • 파킹 • 포워딩 • 호스팅
|
|
위키
|
구스위키 • 나무위키 • 노스모크 • 더위키 • 디시위키 • 리그베다위키(엔하위키) • 리브레위키 • 미디어위키 • 바다위키 • 백괴사전 • 아이티위키 • 알파위키 • 엔하계 위키 • 요다위키 • 우만위키 • 위키 • 위키낱말사전 • 위키독스 • 위키문법 • 위키문서 • 위키문헌 • 위키미디어재단 • 위키백과 • 위키스 • 위키엔진 • 위키원 • 위키원드 • 위키트리 • 위키휴가 • 제이위키 • 제타위키 • 중국위키 • 팬덤(위키아) • 한국어 위키백과 • 한국위키미디어협회 • 항공위키
|
|
인터넷 사용자
|
가입 • 가입자 • 강퇴 • 계정 • 관리자 • 네트워크 관리자 • 네티즌 • 누리꾼 • 대기자 • 데이터베이스 관리자 • 등록자 • 디지털 원패스 • 로그아웃 • 로그인 • 방문자 • 블로거 • 블록체인 관리자 • 비회원 • 사용자 • 사이트 관리자 • 서버관리자 • 시삽 • 시스템 관리자 • 아이디(ID) • 웹관리자 • 웹마스터 • 유튜버 • 접속자 • 차단 • 최고관리자 • 탈퇴 • 탈퇴자 • 회원 • 휴면 • 휴면계정
|
|
인터넷 단체
|
IANA • ICANN • W3C • 다르파 • 유럽입자물리연구소(CERN)
|
|
위키 : 자동차, 교통, 지역, 지도, 산업, 기업, 단체, 업무, 생활, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반
|
|