엔터프라이즈 SSO: 그것이 무엇인지, 어떻게 작동하는지, 그리고 왜 중요한지

엔터프라이즈 SSO란 무엇인가?#

정의에 들어가기 전에 SSO와 엔터프라이즈 SSO의 차이를 명확히 하는 것이 중요합니다. 이는 종종 혼란을 일으킬 수 있습니다.

• SSO(싱글 사인온)는 사용자가 한 번 로그인하고 여러 애플리케이션이나 리소스에 다시 로그인할 필요 없이 접근할 수 있는 능력을 나타내는 일반적인 용어입니다.
• 엔터프라이즈 SSO는 조직 내 직원들을 위한 특정 유형의 SSO입니다.

아직 확신이 가지 않나요? 예를 하나 살펴보겠습니다:

온라인 쇼핑 웹사이트인 _Amazed_에는 고객용과 상점 소유자용 두 가지 웹 애플리케이션이 있습니다. 고객은 쇼핑 앱에 로그인하여 제품을 구매하고, 상점 소유자는 상점 소유자 앱에 로그인하여 상점을 관리합니다. 두 애플리케이션 모두 인증을 위해 동일한 ID 공급자를 사용합니다. 결과적으로, 사용자는 두 애플리케이션에 접근하기 위해 한 번만 로그인하면 되어 싱글 사인온 경험을 제공합니다.

내부적으로 _Amazed_는 팀 커뮤니케이션, 프로젝트 관리 및 고객 지원을 위한 여러 애플리케이션을 사용합니다. 일일 워크플로우를 간소화하기 위해 _Amazed_는 직원들을 위해 엔터프라이즈 SSO를 구현합니다. 엔터프라이즈 SSO를 사용하면 직원들이 하나의 로그인으로 모든 내부 애플리케이션에 접근할 수 있습니다.

일반적으로, 엔터프라이즈 SSO 솔루션은 직원들이 한 번의 클릭으로 모든 애플리케이션에 접근할 수 있는 중앙 집중식 대시보드를 제공하기도 합니다. 이 대시보드는 종종 SSO 대시보드라고 불립니다.

간단히 말해서, 두 가지 시나리오는 모두 싱글 사인온의 예입니다. 첫 번째 예제는 일반적인 SSO인 반면, 두 번째는 엔터프라이즈 SSO입니다. 이는 각각 고객 IAM(인증 및 접근 관리)과 워크포스 IAM의 대표적인 사용 사례입니다.

엔터프라이즈 SSO는 어떻게 작동합니까?#

엔터프라이즈 SSO는 여러 애플리케이션을 중앙화된 ID 공급자에 연결하여 작동합니다. 이 연결은 애플리케이션에서 ID 공급자로의 일방향 연결 또는 애플리케이션과 ID 공급자 간의 양방향 연결일 수 있습니다. 다양한 표준 및 프로토콜, 예를 들어 SAML, OpenID Connect, OAuth 2.0 등이 이러한 연결에 사용됩니다.

프로토콜에 상관없이 기본 워크플로우는 대체로 유사합니다:

1. 사용자가 인증이 필요한 애플리케이션(예: 통신 앱)에 접근합니다.
2. 애플리케이션이 사용자 인증을 위해 ID 공급자로 리디렉션합니다.
3. 사용자가 ID 공급자에 로그인합니다.
4. ID 공급자가 인증 응답을 애플리케이션에 보냅니다.
5. 애플리케이션이 응답을 확인하고 사용자에게 접근을 허가합니다.

같은 ID 공급자에 연결된 다른 애플리케이션(예: 프로젝트 관리 앱)에 사용자가 접근할 때, 사용자 계정을 다시 입력할 필요 없이 자동으로 로그인됩니다. 이 경우, 단계 3을 건너뛰며, 단계 2, 4, 그리고 5는 백그라운드에서 발생하기 때문에 사용자가 인증 과정을 거의 인식할 수 없습니다.

이 과정을 서비스 공급자(SP)-시작 SSO라고 하며, 여기서 애플리케이션(SP)이 인증 프로세스를 시작합니다.

또 다른 시나리오에서, ID 공급자가 사용자가 연결된 모든 애플리케이션에 접근할 수 있는 중앙화된 대시보드를 제공합니다. 간단한 워크플로우는:

1. 사용자가 ID 공급자에 로그인합니다.
2. ID 공급자가 사용자가 접근할 수 있는 애플리케이션 목록을 표시합니다.
3. 사용자가 애플리케이션(예: 고객 지원 앱)을 클릭하여 접근합니다.
4. ID 공급자가 인증 정보를 가진 사용자에게 애플리케이션으로 리디렉션합니다.
5. 애플리케이션이 정보를 확인하고 사용자에게 접근을 허가합니다.

이 과정은 ID 공급자(IdP)-시작 SSO라고 하며, 여기에서 ID 공급자(IdP)가 인증 프로세스를 시작합니다.

엔터프라이즈 SSO가 중요한 이유는?#

워크포스 IAM에서의 엔터프라이즈 SSO#

중앙 집중식 관리#

엔터프라이즈 SSO의 주요 이점은 직원들에게 편리함을 제공할 뿐만 아니라 조직에 향상된 보안 및 규제 준수를 제공합니다. 각 애플리케이션에 대해 별도로 인증 및 권한을 설정하고 여러 자격 증명을 관리하는 대신, 조직은 사용자 ID, 접근 제어 정책 및 감사 로그의 관리를 중앙 집중화할 수 있습니다.

예를 들어, 직원이 회사를 떠날 때 IT 부서는 ID 공급자에서 해당 직원의 계정을 비활성화하여 모든 애플리케이션의 접근을 즉시 철회할 수 있습니다. 이는 무단 접근 및 데이터 유출을 방지하기 위한 중요한 과정인 라이프사이클 관리입니다.

접근 제어#

엔터프라이즈 SSO 솔루션은 종종 역할 기반 접근 제어(RBAC) 및 속성 기반 접근 제어(ABAC)와 같은 접근 제어 기능을 포함하고 있습니다. 이러한 기능은 조직이 사용자 역할, 속성 및 기타 상황 정보에 기반한 세부 접근 정책을 정의할 수 있도록 하여, 직원들이 적절한 리소스에 적절한 수준의 접근을 갖도록 보장합니다.

RBAC와 ABAC의 상세 비교를 위해, RBAC와 ABAC: 알아야 할 접근 제어 모델을 참고하세요.

향상된 보안#

또 다른 이점은 모든 애플리케이션에 강력한 인증 방법, 예를 들어 다중 요소 인증(MFA), 비밀번호 없는 인증, 적응형 인증 등을 강제할 수 있는 능력입니다. 이러한 방법은 민감한 데이터를 보호하고 산업 규정을 준수하는 데 도움을 줍니다.

MFA에 대한 더 많은 정보는 MFA 탐색: 제품 관점에서 본 인증을 참조하세요.

고객 IAM에서의 엔터프라이즈 SSO#

“엔터프라이즈 SSO”라는 용어는 고객 IAM 솔루션에서도 나타납니다. 이 맥락에서 그것은 무엇을 의미할까요? Amazed 예제를 다시 보겠습니다: 일부 상점 소유자는 사업으로 통합되어 있습니다. 한 상점 소유자, _Banana Inc._는 직원들을 위해 엔터프라이즈 SSO를 구현합니다. 계약의 일환으로, _Banana Inc._는 _Amazed_에게 상점 소유자 앱에 접근할 때 _Banana Inc._의 모든 이메일 주소(예: *@banana.com)에 대해 엔터프라이즈 SSO를 강제하도록 요구합니다.

이 경우, _Amazed_는 _Banana Inc._의 ID 공급자와 엔터프라이즈 SSO를 가능하게 하기 위해 ID 공급자와 통합해야 합니다. 이 통합은 종종 SAML, OpenID Connect, 또는 OAuth와 같은 표준 프로토콜을 통해 이루어지며, 일반적으로 엔터프라이즈 SSO 연결, 엔터프라이즈 SSO 커넥터, 또는 SSO 페더레이션이라고 불립니다.

고객 IAM에 대한 심층 설명은 다음 CIAM 시리즈를 확인하세요:

• CIAM 101: 인증, ID, SSO
• CIAM 102: 권한 부여 및 역할 기반 접근 제어

엔터프라이즈 준비#

B2B(기업 간 거래) 시나리오에서, 엔터프라이즈 SSO는 _Amazed_와 같은 SaaS 제공업체가 기업 고객을 지원하기 위해 반드시 갖춰야 할 기능입니다. 그것은 단순히 편의성의 문제가 아닙니다. 그것은 양측 모두에게 보안과 규정 준수를 위한 것입니다. 엔터프라이즈 SSO는 기업 고객이 관리하는 모든 ID가 기업 ID 공급자를 통해 인증하도록 강제하여, 기업이 사용자, 데이터, 접근 및 보안 정책을 제어할 수 있도록 보장합니다.

엔터프라이즈 SSO는 _엔터프라이즈 준비_를 달성하는 중요한 요소로, 이는 기업 고객의 요구를 충족할 수 있는 능력을 의미합니다. 하지만, ID 및 접근 관리, 특히 엔터프라이즈 고객의 맥락에서 복잡하며 상당한 시간, 자원, 전문 지식을 투자해야 합니다. 현대의 SaaS 제공업체는 이러한 복잡성을 처리하기 위해 종종 IAM 플랫폼을 선택합니다.

마무리 노트#

엔터프라이즈 SSO는 강력합니다. 참여하는 모든 이들에게 이점을 제공합니다: 직원들, 조직들, 고객들. IT 부서는 업무 부담을 줄일 수 있고, 직원들은 비밀번호 없는 인증을 통해 비밀번호 피로를 피할 수 있으며, 고객들은 향상된 사용자 경험을 즐길 수 있습니다. SaaS 제품으로 엔터프라이즈 고객을 지원하려고 하거나 계획 중이라면, Logto를 개발자 친화적인 솔루션으로 고려해 보세요.