기사
싱글 사인온(SSO) 작동 방식
싱글 사인온(SSO)이란 무엇인가요?
SSO라고도 하는 싱글 사인온(SSO)은 사용자가 단일 로그인 자격 증명 세트(예: 사용자 이름, 비밀번호)를 사용하여 여러 애플리케이션, 웹사이트, 서비스에 액세스할 수 있게 해 주는 인증 유형입니다. 다른 액세스 제어 옵션과 달리 소규모 기업, 중간 규모 기업, 대기업에서 사용할 수 있어 여러 번 로그인하거나 수많은 비밀번호를 기억하지 않아도 됩니다.
싱글 사인온(SSO) 작동 방식
싱글 사인온(SSO)은 신뢰할 수 있는 여러 도메인(예: 사용자가 동일한 아이덴티티 데이터를 사용하여 모든 리소스에 액세스할 수 있도록 하는 기업) 간의 페더레이션 아이덴티티 관리 시스템(아이덴티티 페더레이션이라고도 함)을 기반으로 합니다. 신뢰할 수 있는 도메인은 로컬 시스템에서 사용자를 인증하는 데 사용합니다.
싱글 사인온(SSO)은 보안 검증 마크업 언어(SAML), OAuth, OpenID 등 개방형 표준을 사용하여 사용자의 비밀번호를 노출하지 않고도 계정 정보를 서드파티 서비스(예: 웹사이트, 애플리케이션)에서 사용할 수 있도록 허용합니다. 아이덴티티 정보는 사용자에 대한 정보(예: 이메일, 사용자 이름)가 포함된 토큰으로 전달됩니다.
싱글 사인온(SSO) 프로세스를 간추린 내용은 다음과 같습니다.
- 사용자가 웹사이트나 애플리케이션을 열면, 로그인하지 않은 경우 싱글 사인온(SSO) 옵션이 있는 로그인 프롬프트가 표시됩니다.
- 사용자는 로그인 양식에 로그인 자격 증명(예: 사용자 이름과 비밀번호)을 입력합니다.
- 웹사이트 또는 애플리케이션은 싱글 사인온(SSO) 토큰을 생성하고 싱글 사인온(SSO) 시스템에 인증 요청을 보냅니다.
- 싱글 사인온(SSO) 시스템은 사용자가 인증되었는지 확인하고자 신뢰할 수 있는 도메인을 점검합니다.
- 사용자가 인증되지 않은 경우 로그인 자격 증명을 사용하여 인증하도록 사용자를 로그인 시스템으로 안내합니다.
- 사용자가 인증되면 토큰이 웹사이트 또는 애플리케이션으로 반환되어 인증에 성공했음을 확인하고 사용자에게 액세스 권한을 부여합니다.
사용자가 잘못된 자격 증명을 입력하면 다시 입력하라는 프롬프트가 표시됩니다. 보통 여러 번 실패하면 사용자가 일정 기간 동안 차단되거나 시도 횟수가 지나치게 많은 경우 완전히 액세스할 수 없게 됩니다.
싱글 사인온(SSO) 토큰
싱글 사인온(SSO) 토큰은 싱글 사인온(SSO) 프로세스 중에 시스템 간 데이터 또는 정보 모음을 전달하는 데 사용되는 디지털 파일입니다. 이 토큰에는 사용자 식별 정보(예: 사용자 이름, 이메일 주소)와 토큰을 전송하는 시스템에 관한 정보가 포함되어 있습니다.
토큰이 신뢰할 수 있는 출처에서 비롯되었는지 확인하려면 디지털 서명이 있어야 합니다. 초기 싱글 사인온(SSO) 구성 프로세스 중에 디지털 인증서가 교환됩니다.
싱글 사인온(SSO) 및 보안
싱글 사인온(SSO)이 널리 사용되는 이유는 액세스를 간소화해 주기 때문입니다. 아울러 사용자와 관리자, 특히 수백 또는 수천 개의 애플리케이션을 사용하는 대기업에게 골칫거리인 급증하는 사용자 이름과 비밀번호를 제거해 주기 때문이기도 합니다. 그러나 싱글 사인온(SSO)에 위험이 없는 것은 아닙니다.
단일 자격 증명 세트가 여러 애플리케이션과 프로세스에 대한 무단 액세스를 제공할 수 있기 때문에, 싱글 사인온(SSO)을 구현하는 기업은 위험을 고려하여 완화해야 합니다. 다음은 싱글 사인온(SSO)과 관련하여 일반적으로 언급되는 보안 문제입니다.
- 계정 하이재킹
- 데이터 유출, 데이터 손실, 재정적 손실을 초래할 수 있는 데이터 침해
- 아이덴티티 스푸핑
- 세션 하이재킹
아이덴티티 거버넌스와 다단계 인증은 싱글 사인온(SSO)과 함께 구현하여 공격으로부터 보호할 수 있는 효과적인 보안 조치입니다.
아이덴티티 거버넌스
아이덴티티 거버넌스는 정책 기반 이니셔티브로, 관리자가 싱글 사인온(SSO) 액세스를 더욱 효과적으로 관리하고 제어할 수 있도록 지원합니다. 아이덴티티 거버넌스는 관리자에게 어떤 직원이 어떤 시스템과 데이터에 액세스할 수 있는지에 대한 포괄적인 가시성을 제공하는 것은 물론, 취약한 자격 증명, 부적절한 액세스, 정책 위반을 감지합니다.
관리자는 사용자의 싱글 사인온(SSO) 자격 증명이 손상되었다는 의심이나 증거가 있는 경우 아이덴티티 거버넌스 도구를 사용하여 다양한 수준의 액세스를 변경, 취소, 제거합니다.
다단계 인증(MFA)
싱글 사인온(SSO)으로 다단계 또는 2단계 인증(2FA)을 구현하면 신뢰할 수 있는 도메인을 안전하게 유지하는 데 도움이 됩니다. 그 이유는 액세스 권한을 얻으려면 싱글 사인온(SSO) 자격 증명 외에도 추가 아이덴티티 검증이 필요하기 때문입니다. 다단계 인증은 보호를 최대한으로 제공하기 위해 싱글 사인온(SSO)으로 연결된 모든 계정에 배포할 수 있습니다.
싱글 사인온(SSO) 구현 방법
싱글 사인온(SSO) 구현을 위한 목표를 설정합니다.
사용자 및 요구 사항을 결정합니다.
기존 기능을 평가하고 격차를 파악합니다.
액세스 제어 및 기타 요구 사항을 정의합니다.
기업의 IT 아키텍처가 싱글 사인온(SSO)을 지원하고 조정을 통해 결함을 처리할 수 있는지 확인합니다.
핵심 기준을 충족하는 솔루션 목록을 작성합니다.
옵션 평가를 수행하여 최적의 솔루션을 식별합니다.
IT 팀 및 보안 팀과 협력하여 싱글 사인온(SSO) 구현이 사용자와 IT 팀의 요구 사항을 모두 충족하는지 확인합니다.
SSO 유형
엔터프라이즈 싱글 사인온(SSO)
E-SSO라고도 하는 엔터프라이즈 싱글 사인온(SSO)은 엔터프라이즈 애플리케이션 통합(EAI) 환경에서 구현됩니다. 사용자는 엔터프라이즈 싱글 사인온(SSO)을 사용하여 온프레미스든 클라우드 호스팅이든 관계없이 단일 로그인 자격 증명 세트로 모든 애플리케이션에 액세스할 수 있습니다.
엔터프라이즈 싱글 사인온(SSO)을 사용하면 사용자가 처음 로그인할 때 관리자가 자격 증명을 얻고 이를 자동으로 사용하여, 다른 애플리케이션 및 시스템에 대한 후속 로그인을 인증합니다. 엔터프라이즈 싱글 사인온(SSO)은 사용자 이름과 비밀번호를 중앙 집중화하므로 관리자는 시간 소모가 큰 사용자 이름 및 비밀번호 관리 작업에서 벗어날 수 있습니다. 사용자는 관리자가 설정한 제어에 따라 관리자의 지원 없이도 특정 시간 동안 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다.
페더레이션 싱글 사인온(SSO)
페더레이션 싱글 사인온(SSO)은 산업 표준 SSO 프로토콜을 사용하여 사용자가 인증 장벽 없이 웹사이트에 액세스할 수 있도록 합니다. 중앙 집중식 인증 시스템에서 여러 그룹을 통합하여 표준 싱글 사인온(SSO)을 확장합니다. 페더레이션 싱글 사인온(SSO)은 단일 기업 또는 이종 기업 내의 여러 시스템에 대한 액세스를 제공하는 데 사용할 수 있습니다.
모바일 싱글 사인온(SSO)
모바일 싱글 사인온(SSO)을 사용하면 단일 아이덴티티로 여러 개의 연결된 모바일 애플리케이션에 액세스할 수 있습니다. 액세스 토큰은 모바일 디바이스 운영 체제의 키체인에 저장되어 활성 세션이 인식될 수 있습니다.
스마트 카드 싱글 사인온(SSO)
스마트 카드 싱글 사인온(SSO)은 디지털 토큰과 소프트웨어에 의존하지 않는 대신, 실제 카드를 사용자 인증에 사용합니다. 스마트 카드 싱글 사인온(SSO)의 경우 사용자가 처음 로그인할 때 카드에 저장된 자격 증명을 사용해야 합니다. 카드에서 정보를 얻으려면 리더기가 필요하며, 카드에는 자기 스트립이나 비접촉식 데이터 전송 방법이 있어야 합니다.
웹 싱글 사인온(SSO)
사용자는 웹 싱글 사인온(SSO)을 사용하여 로그인 한 번으로 여러 개의 연결된 웹사이트에 액세스할 수 있습니다. 사용자가 한 속성에 로그인하면 한 속성에서 다른 속성으로 이동할 수 있으며, 해당 사용자는 인식되고 인증되며 신뢰를 받습니다.
웹 싱글 사인온(SSO)은 일반적으로 웹사이트에서 액세스하는 애플리케이션에 사용됩니다. 웹 싱글 사인온(SSO) 설정에는 두 가지 주요 기술이 있습니다.
싱글 사인온(SSO)은 보호된 애플리케이션의 웹 애플리케이션 또는 에이전트 내에서 관리됩니다. 이 방법에서 중요한 점은 애플리케이션을 싱글 사인온(SSO) 에이전트에 맞게 수정해야 한다는 것과, 애플리케이션을 사용자의 웹 브라우저에서 볼 수 있어야 한다는 것입니다.
싱글 사인온(SSO)은 리버스 프록시를 사용하여 싱글 사인온(SSO) 프로세스가 웹 서버와 독립적으로 작동할 수 있도록 애플리케이션의 인증 데이터를 관리합니다. 이 경우 리버스 프록시가 매개 역할을 하여 액세스를 관리하고 싱글 사인온(SSO) 프로세스를 활성화합니다.
싱글 사인온(SSO) 솔루션 선택하기
싱글 사인온(SSO) 솔루션을 선택할 때 고려해야 할 사항은 기업과 사용 사례에 따라 다르지만, 다음과 같이 평가 프로세스로 고려해야 할 기본 사항이 몇 가지 있습니다.
기업의 고려 사항
- 싱글 사인온(SSO) 솔루션이 기업의 사용 사례를 처리하나요?
- 솔루션이 싱글 사인온(SSO)이 필요한 IT 리소스(예: 애플리케이션, 디바이스, 네트워크)를 지원하나요?
- IT 팀에 과도한 지장이나 업무 부담을 주지 않고 대체할 수 있는 단기 싱글 사인온(SSO) 솔루션으로 적절한가요?
- 예상되는 요구 사항을 충족하도록 싱글 사인온(SSO) 솔루션을 확장할 수 있나요?
- 싱글 사인온(SSO) 솔루션이 다른 보안 시스템과 잘 작동할 수 있을까요?
싱글 사인온(SSO) 기능 고려 사항
- 다단계 인증, 적응형 인증, 자동 강제 인증, 경량 디렉터리 액세스 프로토콜(LDAP)을 통한 지원과 같은 인증 옵션
- 인터넷 프로토콜(IP) 주소를 블랙리스트 또는 화이트리스트에 등록하고, 무차별 대입 시도를 저지하기 위한 대응을 설정하고, 사용자를 재인증하기 위한 조항과 같은 동작을 분석하고 대응
- ISO 27017, ISO 27018, ISO 27001, SOC 2 Type 2, 법률(예: 일반정보보호 규정(GDPR), 캘리포니아 소비자 개인정보 보호법(CCPA))과 같은 보안 표준 준수
- Microsoft Active Directory, Google Directory 등 선호하는 아이덴티티 공급자를 사용하여 배포할 수 있도록 하는 페더레이션 기능
- 사용자 정의 가능한 비밀번호 만료 한도, 비밀번호 복잡성, 만료 알림과 같은 유연한 비밀번호 검증 옵션
- 모바일 디바이스에 대한 기본 제공 지원을 가능하게 하는 모바일 지원 싱글 사인온(SSO) 기능
- 보안 어설션 마크업 언어(SAML) 애플리케이션에 대해 사전 구축된 사용자 정의 연결
- JSON Web Token(JWT), Kerberos, Open Authorization(OAuth), OpenID Connect(OIDC), SAML과 같은 개방형 표준 프로토콜을 사용한 인증
- 주요 플랫폼을 위한 적절한 수명 주기 관리 애플리케이션 프로그래밍 인터페이스(API) 지원 및 소프트웨어 개발 키트(SDK)와 같은 개발자 지원
싱글 사인온(SSO)의 이점
- 프로비저닝 및 비활성화를 포함하여 웹사이트, 애플리케이션, 기타 계정에 대한 액세스 프로세스를 중앙 집중화
- 리소스에 대한 액세스를 간소화하여 생산성 향상
- 회사에서 홍보하는 애플리케이션을 더 쉽게 액세스할 수 있도록 하여 채택 확대
- 모든 유형의 액세스 관련 데이터에 대한 강력한 액세스 제어를 제공하여 사용자 액세스 감사를 용이하게 수행
- 사용자가 여러 계정에 대해 강력한 비밀번호를 선택하지 않아도 됨
- 기업이 데이터 보안 규정을 준수하도록 지원
- 사용자당 비밀번호 수를 최소화하여 보안 태세 개선
- 애플리케이션 및 웹사이트에 대한 보안 액세스 유지
- 애플리케이션에서 다른 서비스가 사용자를 인증하도록 허용
- 나쁜 비밀번호 습관으로 발생할 수 있는 위험 최소화
- IT 관리자가 직장 서버에서 사용자 활동 모니터링을 개선할 수 있도록 허용하여 섀도우 IT 방지
- 더 나은 고객 경험 제공
- 비밀번호 문제와 관련하여 IT 헬프 데스크가 받는 연락 빈도가 줄어 비용을 절감
- 서버 또는 네트워크 스토리지에서 로그인 자격 증명을 제거하여 사이버 위험 축소
- 비밀번호 보안 강화
SSO 프로토콜
싱글 사인온(SSO)은 다음을 비롯한 다양한 개방형 표준 및 프로토콜을 사용하여 사용자의 자격 증명을 검증 및 인증합니다.
JSON Web Token(JWT)
JSON Web Token(JWT)은 소비자 대상 애플리케이션에서 널리 사용되는 싱글 사인온(SSO) 프로토콜입니다. 이 개방형 표준(RFC 7519)은 싱글 사인온(SSO)에 대한 정보를 JSON 객체로 안전하게 전송하는 데 사용됩니다.
Kerberos
티켓 기반 인증 시스템인 Kerberos를 사용하면 식별 정보에 대한 무단 액세스를 방지하도록 여러 엔티티가 암호화를 사용하여 아이덴티티를 서로 검증할 수 있습니다. 싱글 사인온(SSO) 기능을 위해 Kerberos를 사용하면 자격 증명이 검증된 후 티켓 증명 티켓(TGT)이 발급되고, 이 TGT는 인증된 사용자가 액세스해야 하는 다른 애플리케이션에 대한 서비스 티켓을 검색하는 데 사용됩니다.
오픈 인증(OAuth)
Open Authorization(OAuth)을 사용하면 애플리케이션은 비밀번호를 제공하지 않고도 다른 웹사이트에서 사용자 정보에 액세스할 수 있습니다. OAuth는 비밀번호 대신에 사용되어 비밀번호로 보호된 정보에 액세스할 권한을 얻습니다. 애플리케이션은 사용자 비밀번호를 요청하지 않으며, OAuth를 사용하여 비밀번호로 보호된 데이터에 액세스할 수 있는 사용자 권한을 얻습니다.
OpenID Connect(OIDC)
OpenID Connect(OIDC)는 싱글 사인온(SSO)에 대한 분산형 접근 방식을 제공하는 인증으로, OpenID Foundation에서 표준화하고 OAuth 2.0 프레임워크를 기반으로 합니다. OIDC를 사용하면 웹사이트 또는 애플리케이션이 사용자 자격 증명을 인증합니다. 토큰을 서드파티 아이덴티티 공급자에게 전달하는 대신, OpenID Connect는 웹사이트 또는 애플리케이션이 사용자 인증을 위한 추가 정보를 요청하도록 허용합니다.
보안 어설션 마크업 언어(SAML)
보안 어설션 마크업 언어(SAML)는 웹사이트와 애플리케이션이 XML을 사용하여 식별 정보를 싱글 사인온(SSO) 서비스와 교환하는 데 사용하는 프로토콜입니다. SAML을 사용하면 사용자는 네트워크에 한 번 로그인하고 나서 해당 네트워크의 모든 애플리케이션에 대한 액세스 권한을 얻게 됩니다.
SAML 기반 싱글 사인온(SSO) 서비스를 사용하면 애플리케이션이 사용자 자격 증명을 시스템에 저장할 필요가 없어, 다른 옵션보다 더 유연하고 안전합니다. 또한 IT 관리자가 경량 디렉토리 액세스 프로토콜(LDAP)을 통해 싱글 사인온(SSO)을 구현하려고 하는 경우 발생하는 문제도 처리합니다.
싱글 사인온(SSO) 사용 사례
다단계 인증을 통한 싱글 사인온(SSO)
싱글 사인온(SSO)과 다단계 인증을 함께 사용하면 간편하고 안전하게 인증할 수 있습니다. 이 조합은 향상된 보안을 유지하는 동시에 애플리케이션과 웹사이트에 대한 접근성을 높이고 관리자가 액세스 제공 및 제어에 들여야 하는 시간을 줄입니다.
싱글 사인온(SSO) 및 LDAP
LDAP의 싱글 사인온(SSO) 기능은 사용자의 자격 증명을 저장하는 데 보통 사용되며, 여러 애플리케이션에 걸쳐 LDAP 데이터베이스를 관리하는 데도 사용할 수 있습니다.
원격 팀을 위한 싱글 사인온(SSO)
원격 업무가 널리 도입되면서 거의 모든 IT 리소스에 싱글 사인온(SSO) 사용이 확대되었습니다. 싱글 사인온(SSO)이 널리 사용되는 이유는 다른 아이덴티티 및 액세스 관리 시스템을 능가하기 때문입니다. 운영 체제/플랫폼에 구애받지 않는 프로토콜 중심의 클라우드 기반 접근 방식을 제공하여, 인증 및 권한에 액세스합니다.
싱글 사인온(SSO)으로 더 간편해진 사용자와 관리자의 인증
싱글 사인온(SSO)은 워크플로를 간소화하고 사용자 및 관리자의 생산성을 개선한 기술입니다. 여러 배포 옵션을 사용하면 싱글 사인온(SSO)은 거의 모든 사용 사례에 적합합니다. 싱글 사인온(SSO)은 비밀번호 스프롤 현상이 가져오는 골치 아픈 문제와 취약점을 제거하여, IT 보안 분야에서 널리 사용되는 도구로 입증되었습니다.
