싱글 사인온

온라인에서 편집하기

싱글 사인온은 사용자가 하나의 사용자 ID와 비밀번호를 입력하여 둘 이상의 애플리케이션에 액세스할 수 있는 인증 프로세스입니다. 여러 애플리케이션을 구성하여 사용자 인증 및 권한 부여에 사용할 Verify 수 있습니다. 사용자는 자신의 Verify 계정 인증 정보를 사용하여 대상 애플리케이션에 로그인합니다. Verify사용자가 로 인증되면, 인증된 세션 내에서 사용 권한이 부여된 모든 애플리케이션에 액세스할 수 있습니다. Verify세션이 만료되면 사용자는 다음을 통해 다시 로그인해야 합니다.

와 대상 애플리케이션 간에 Verify 싱글 사인온(SSO)을 구현하려면, 양측이 구성 정보를 교환해야 합니다. 해당 애플리케이션에서 Verify 설정을 구성하고, 대상 애플리케이션에서도 설정을 구성해야 Verify 합니다.

인증 및 권한 부여

인증이란 사용자의 ID를 검증하고 해당 사용자가 진짜 사용자라고 규정하는 것입니다. 권한 부여란 리소스 액세스 권한을 사용자에게 부여하고 해당 리소스와 관련된 사용자를 정의하는 것입니다. Verify SAML 및 OpenID Connect를 사용하여 인증 및 권한 부여를 지원합니다.

표 1. 비교 요약
	SAML 2.0	OpenID Connect
설명	보안 어설션 마크업 언어( SAML )는 인증 및 권한 부여 기능을 제공하는 개방형 표준입니다. 이 표준은 서비스 제공자와 ID 제공자 간 사용자 ID 보안 통신을 위한 프레임워크를 제공합니다.	OpenID Connect는 인증( OpenID ) 및 권한 부여( OAuth2.0 ) 기능을 결합한 개방형 표준 프로토콜입니다. 이 표준은 신뢰 당사자와 OpenID Connect 제공자 간 사용자 ID 보안 통신을 위한 프레임워크를 제공합니다.
유스 케이스	엔터프라이즈 애플리케이션의 싱글 사인온	엔터프라이즈 및 이용자 애플리케이션의 싱글 사인온
지원되는 클라이언트 유형	웹 기반	웹 기반 모바일 또는 기본 JavaScript
데이터 형식	XML	JSON
사용자 정보 또는 인증 전송 수단	SAML 에 대한 주장이 있습니다. 권한 정보에는 다음과 같은 정보가 포함되어 있습니다. 대상(인증 대상) 속성(사용자 정보) 발행자(권한 정보 발행자) 인증 이벤트에 대한 기타 정보	ID 토큰 이라고도 하는 JSON 웹 토큰(JWT). 이 토큰에는 다음과 같은 정보가 포함되어 있습니다. 대상(인증 대상) 발행자(사용자 청구 발행자) 인증 만료 속성 또는 사용자 클레임(개인에 관한 정보) ¹ 인증 이벤트에 대한 기타 정보
토큰	액세스 토큰	ID 토큰 액세스 토큰. 액세스 토큰은 opaque 문자열이거나 JWT 형식일 수 있습니다. 새로 고치기 토큰 참고: OAuth /OIDC 토큰의 길이는 고정되어 있지 않습니다. 액세스 토큰과 리프레시 토큰을 저장할 때는 길이가 달라질 수 있음을 고려하십시오. 저장 공간의 최대 길이를 설정해야 하고 향후 JWT 형식의 액세스 토큰을 사용할 계획이 없다면, 토큰 길이를 최소 1024자 이상으로 설정하십시오.
구성요소/역할	사용자 - 액세스를 요청하는 사용자입니다. 사용자 에이전트 - 사용자를 인증하는 위치입니다(예: 웹 브라우저). 서비스 제공자 - 사용자가 액세스하려는 애플리케이션입니다. ID 제공자 - 사용자를 인증합니다.	사용자 - 액세스를 요청하는 사용자입니다. 사용자 에이전트 - 사용자를 인증하는 위치입니다(예: 웹 브라우저). 신뢰 당사자 또는 클라이언트 - 사용자가 액세스하려는 애플리케이션입니다. OpenID Connect 제공자 - 사용자와 클라이언트를 인증합니다.

SAML 기반 싱글 사인온

서비스 제공자는 사용자를 인증해야 하는 웹 기반 애플리케이션일 수 있으며, 리턴되는 사용자 ID 정보의 이용자입니다.

ID 제공자는 사용자 ID를 관리하고 확인합니다.

사용자가 사용자 에이전트를 통해 서비스 제공자의 보호된 리소스에 대한 액세스를 요청합니다.
서비스 제공자가 사용자 에이전트를 ID 제공자로 경로 재지정하여 사용자 인증 요청을 전송합니다.
신원 제공자는 사용자의 신원을 확인하고, 사용자의 신원을 증명하는 OAuth 2.0 인증 ( SAML ) 어설션을 생성합니다.
신원 제공자는 서비스 제공자에게 보내는 ‘ SAML ’ 인증 응답에 해당 어설션을 포함합니다.

OpenID Connect 기반 싱글 사인온

OpenID Connect 의 인증 대상은 사용자에게 인증을 요구하는 모든 애플리케이션이 될 수 있습니다. 리턴되는 사용자 ID 정보의 이용자입니다.

OpenID Connect 제공자는 권한 부여 엔드포인트를 통해 사용자를 인증하고 토큰 엔드포인트를 통해 클라이언트를 인증합니다.

사용자가 사용자 에이전트를 통해 신뢰 당사자의 보호된 리소스에 대한 액세스를 요청합니다.
신뢰 당사자가 사용자 에이전트를 OpenID Connect 제공자로 경로 재지정하여 사용자 인증 요청을 전송합니다.
OpenID Connect 제공자가 사용자에게 유효한 세션이 있는지 검증합니다. 없는 경우 OpenID Connect 제공자가 사용자 로그인 프롬프트를 표시하고 권한 부여 엔드포인트를 통해 사용자를 인증합니다.
권한 부여 유형에 따라 ID 제공자의 권한 부여 엔드포인트가 다음 정보가 포함된 신뢰 당사자에게 인증 응답을 전송할 수 있습니다.
- 이 인증 정보는 클라이언트가 요청에 포함하여 전송할 수 있으며, 의존 당사자는 ^이 인증 코드2를 토큰 엔드포인트에 제공하여 ID 토큰, 액세스 토큰 또는 리프레시 토큰을 획득합니다.
- ID 토큰 및 액세스 토큰
  ID 토큰 또는 새로 고치기 토큰에는 사용자 세션을 설정하는 데 사용되는 사용자 클레임과 서명이 포함되어 있습니다.
- QR 코드, 사용자 코드 및 URL.
- 암시적 흐름. 인증 및 권한 부여를 수행한 후, 응답을 통해 클라이언트에게 ID 토큰과 액세스 토큰을 직접 반환합니다.
참고: OpenID Connect 제공자의 암시적 흐름은 토큰 엔드포인트를 지원하지 않습니다.

¹ 이러한 주장은 사용자에 대한 진술이며, 토큰의 수신자가 해당 서명을 확인할 수 있다면 신뢰할 수 있습니다. 이는 이메일 및 이름과 같은 동의된 사용자 세부사항을 클라이언트 애플리케이션에 제공하기 위한 것입니다.

^2. 권한을 포함하는 중간 인증서.