통합 로그인
통합 로그인이란?
- 하나의 디지털 ID와 한번의 로그인으로 연동된 모든 온라인 서비스에 로그인
- 오프라인 ex) 대학교 학생증으로 도서관 출입, 기숙사 출입 등등
- 온라인 ex) 구글 계정으로 로그인, 네이버 아이디로 로그인
주요 표준 프로토콜
- SAML
- 특징 - 정부기관, 대학교, 기업에서 주로 활용
- 장점 - 안전하면서 많은 정보 전달 가능
- 단점 - 설정이 복잡하며 모바일에 부적합
- OAuth2.0/OIDC(OpenID Connect)
- 특징 - SNS, 모바일 앱에서 주로 사용
- 장점 - 간단한 설정, 모바일 친화적
- 단점 - 단순한 정보 전달
통합 로그인의 3대 요소
- 아이디 제공자 (IdP, Identity Provider)= 신분증 발급 기관
- 사용자 신원을 확인하고 증명서 발급
- 사용자 신원 정보와 사용자 상태를 관리
- 서비스 제공자(SP, Service Provider) = 서비스 제공 업체
- 신분증을 확인하고 서비스 제공
- 사용자
- 신분증을 가지고 다니며 서비스를 이용
연합 로그인이란?
- 서로 다른 기관들이 사용자 인증 정보를 공유
- 한 번의 로그인으로 여러 기관의 서비스를 이용 가능
- 사용자 장점
- 편의성: 하나의 계정으로 여러 기관 서비스 이용
- 보안성: 각 서비스마다 계정 생성 불필요
- 일관성: 동일한 로그인 절차
- 기관 장점
- (서비스제공자)비용: 개별 서비스 마다 계정 관리 불필요
- 보안강화: 표준 프로토콜 사용 및 중앙 집중 관리
- 국제협력: 해외 기관과 서비스 및 자원 공유
- 사용자 만족도: 편리한 서비스 이용
SAML 연합 로그인 특징
- 다양한 사용자 정보 전달 가능
- 디지털 서명으로 정보 위변조 방지
- 메타데이터를 통한 자동화된 신뢰 관계 구축
- 국제 표준
최근 동향
- SAML에서 OAuth2/OIDC 연합 로그인으로 진화 중
- Zero Trust 선호
- 스마트폰의 대중화
- 관리 편의성
- Zero Trust란?
- "절대 신뢰하지 않고 항상 검증하라"는 핵심 원칙을 적용하여 보안을 강화하는 접근 방식
- 항상 검증: 모든 요청에 대해 사용자, 장치, 애플리케이션의 신원을 지속적으로 검증하고 권한 확인
- 최소 권한 확인: 사용자가 특정 직업을 완료하는 데 필요한 최소한의 권한과 접근만 허용
- "절대 신뢰하지 않고 항상 검증하라"는 핵심 원칙을 적용하여 보안을 강화하는 접근 방식
메타데이터
- 정의 - Idp와 SP 간의 연동을 위한 설정 정보
연합
- 신뢰 기반의 네트워크
- 한 번의 협정(가입)으로 모든 연동 서비스 이용
- 통일된 보안 정책과 관리
- 새로운 서비스 추가 시 자동 연동
- 기술 지원과 문제 해결 도움
연합이 존재하지 않는다면?
- 각 기관마다 수백 개의 서비스와 개별 협정 필요
- 메타데이터 교환과 관리 복잡
- 보안 정책의 일관성 부족
- 새로운 서비스 추가 시 모든 기관이 개별 작업
KAFE(Korean Access Federation)?
- 한국과학기술정보연구원 국가과학기술연구망에서 운영 중인 국내 연합체
- 역할
- 서비스 안정성 보장
- 보안사유 예방 및 대응
- 품질 기준 유지
- 신뢰 체계
- 기술적
- 디지털 서명: 신뢰 메타데이터 및 인증 메시지의 위변조 방지
- 암호화 통신: HTTPS/TLS 필수
- 표준 준수: SAML 2.0 국제 표준 적용
- 정책적 신뢰
- 가입 심사: 기관 자격과 기술 요건 검증
- 연합 정책: 모든 참여자가 동의하는 규칙
- 신원 관리: 신원 정보의 등록, 유지, 삭제 등 정책 준수
- 운영적 신뢰
- 모니터링: 시스템 안정성 감시
- 사고 대응: 국제 표준 보안 사고 대응 체계
- 연합 도구: 편의성 및 연속성 보장
- 기술적
- 메타데이터 생명주기
- 생성단계 - 각 IdP 및 SP가 자신의 메타데이터 생성
- 등록단계 - KAFE에 메타데이터 제출, 검증 및 메타데이터 등록
- 배포단계 - KAFE가 통합 메타데이터로 배포
- 업데이트단계 - 각 IdP 및 SP가 주기적 자동 갱신 및 변경사항 반영
- 관리단계 - 모니터링 및 문제 해결