웹 SSO란 무엇이며 어떻게 작동합니까?

게시 됨: 2019-08-12

Security Magazine에 따르면 일반 비즈니스 사용자는 업무용으로 191개, 개인용으로 수십 개를 관리합니다. 직원이 50,000명인 조직의 직원은 최대 1천만 개의 암호를 사용할 수 있습니다. 암호가 너무 많기 때문에 사이버 공격으로 인해 급증하는 보안 침해는 대부분 암호로 인한 취약성에서 비롯됩니다.

위험은 너무 단순하고 추측하기 쉽고 둘 이상의 시스템에 사용되며 충분한 빈도로 변경되지 않은 암호로 인해 발생합니다. 보안을 위한 모범 사례에는 여러 시스템에서 동일한 암호를 사용하지 않는 것이 포함됩니다. 대부분의 전문가는 이 규칙을 알고 있습니다. 그럼에도 불구하고 일반 비즈니스 사용자의 61%는 모든 곳에서 동일한 비밀번호를 사용한다고 인정합니다.

이 암호 팽창의 또 다른 문제는 직원이 암호를 입력하는 데 엄청난 시간을 낭비한다는 것입니다.

암호 관리 문제에 대한 한 가지 솔루션은 너무 많이 사용할 필요를 없애는 것입니다. 여러 온라인 서비스에 액세스하기 위해 암호 그룹을 사용하는 대신 "웹 기반 싱글 사인온"(Web SSO) 시스템에서 제공되는 중앙 집중식 인증 방법을 사용할 수 있습니다.

웹 SSO란 무엇입니까?

웹 SSO 시스템을 사용하면 사용자가 고유한 사용자 이름과 비밀번호인 인증용 자격 증명 세트를 사용하여 SSO 웹 서비스를 사용하여 로그인할 수 있습니다. 그런 다음 이 인증을 통해 다른 많은 웹 기반 응용 프로그램과 암호로 보호된 웹 사이트에 액세스할 수 있습니다.

인증을 위해 SSO를 허용하는 온라인 서비스 및 웹사이트는 신뢰할 수 있는 제3자 제공업체에 의존하여 사용자의 신원을 확인합니다.

웹 싱글 사인온은 어떻게 작동합니까?

웹 싱글 사인온 시스템은 온라인 시스템과 웹 사이트 간의 신뢰 관계에 의존합니다.

다음은 사용자가 온라인 서비스 또는 암호로 보호된 웹 사이트에 로그온할 때 인증을 위해 웹 SSO 시스템에서 수행하는 단계입니다.

로그인 확인 : 첫 번째 단계는 사용자가 이미 인증 시스템에 로그인되어 있는지 확인하는 것입니다. 사용자가 로그인하면 즉시 액세스 권한이 부여됩니다. 그렇지 않은 경우 사용자는 인증 시스템으로 이동하여 로그인합니다.
사용자 로그인 : 각 세션에 대해 사용자는 먼저 고유한 사용자 이름과 암호를 사용하여 인증 시스템에 로그인해야 합니다. 인증 시스템은 사용자가 로그아웃할 때까지 유효한 세션에 대한 토큰을 사용합니다.
인증 확인 : 인증 절차가 완료된 후 사용자 인증을 요청하는 웹 서비스 또는 웹 사이트에 인증 정보를 전달합니다.

웹 SSO 대 비밀번호 보관

웹 SSO는 다양한 온라인 서비스에 대해 서로 다른 암호의 보안 볼트를 보유하는 것과 다릅니다. 암호 보관은 단일 사용자 이름과 암호로 여러 암호를 보호하는 것입니다. 그러나 사용자가 새로운 온라인 서비스를 이용할 때마다 서비스에 로그인해야 합니다. 양식 필드가 비밀번호 보관소에서 자동으로 채워지더라도 여전히 로그인 프로세스가 필요합니다.

웹 SSO를 사용하면 사용자가 인증되면 해당 인증 시스템을 사용하는 웹 서비스에 로그인할 필요가 없습니다. 이를 "한 번 로그인/모두 사용" 인증 프로세스라고 합니다.

처음부터 단일 로그인 솔루션 구축

일부 용도의 경우 처음부터 간단한 단일 로그인 솔루션을 만드는 것이 가능합니다. Java를 사용하는 소스 코드의 예는 이 방법을 시도하려는 사람들을 위해 codeburst.io에 제공됩니다. 토큰을 사용하여 작동합니다. 토큰은 추측하기 어려운 일회용으로 생성된 임의의 고유한 문자 집합입니다.

웹 SSO 시스템에서 사용자가 로그인하면 새 세션과 글로벌 인증 토큰이 생성됩니다. 이 토큰은 사용자에게 제공됩니다. 이 사용자가 로그인이 필요한 웹 서비스로 이동하면 웹 서비스는 사용자로부터 글로벌 토큰 사본을 받은 다음 SSO 서버에 확인하여 사용자가 인증되었는지 확인합니다.

사용자가 이미 SSO 시스템에 로그인한 경우 토큰은 SSO 서버에 의해 인증된 것으로 확인되며, SSO 서버는 사용자 정보와 함께 웹 서비스에 다른 토큰을 반환합니다. 이것을 로컬 토큰이라고 합니다. 토큰 교환은 사용자의 개입 없이 백그라운드에서 자동으로 수행됩니다.

웹 SSO의 이점

웹 기반 싱글 사인온은 편리하기 때문에 유용합니다. 더 쉽고 빠르며 암호 도움 요청이 줄어듭니다. 사용자는 여러 암호를 기억할 필요가 없으며 더 이상 모든 웹 기반 서비스에 개별적으로 로그인할 필요가 없습니다.

웹 SSO의 인기 있는 예는 모든 Google Gmail 계정 소유자가 사용할 수 있습니다. Gmail에 한 번만 로그인하면 해당 사용자는 Gmail 계정에서 로그오프할 때까지 다시 로그인할 필요 없이 모든 Google 제품에 액세스할 수 있습니다. Gmail을 열면 이러한 사용자가 Google 드라이브, Google 포토, Google Apps 및 YouTube의 맞춤 버전에 즉시 액세스할 수 있습니다.

웹 SSO를 사용하면 다양한 서비스에 로그인하는 데 낭비되는 시간을 회수할 수 있습니다. 암호 문제에 대한 불만은 웹 서비스에 대해 사실상 제거됩니다. 온라인 서비스에 연결하는 프로세스는 모바일을 포함한 모든 장치에서 효율적으로 작동하므로 생산성이 향상됩니다.

전사적 ID 액세스 관리

웹 기반 SSO는 인증을 위해 대규모 조직에서 사용할 수 있습니다. 웹 SSO를 사용하면 사용자가 개인 회사 데이터 및 네트워크 시스템에 액세스하고 동일한 인증 프로토콜을 수락하는 다른 엔터티에서 제공하는 온라인 리소스를 사용할 수 있는 싱글 사인온이 허용됩니다.

클라우드 서비스와 웹 SSO 통합

클라우드 서비스에는 클라우드 사용자 액세스 관리 방법이 있으며 타사 시스템의 인증도 수락할 수 있습니다. 예를 들어, 세계 최대 클라우드 서비스 제공업체인 Amazon Web Services(AWS)는 AWS 내에서 자체 ID 액세스 관리 시스템을 제공하고 타사 시스템을 통한 사용자 인증을 허용합니다.

타사 시스템과의 연결은 AWS IAM Authenticator 커넥터를 통해 이루어집니다. 이 기능을 통해 시스템 관리자는 Amazon EKS를 사용하여 오픈 소스 Kubernetes 또는 Github에 연결하는 것과 같이 웹 SSO를 제공하는 여러 서비스 중에서 선택할 수 있습니다.

웹 기반 싱글 사인온의 보안 위험

기업이 위험을 관리하는 데 도움이 되는 IAM 보안을 개선하는 도구가 있습니다. 웹 SSO는 일부 위험을 줄이는 동시에 다른 위험을 증가시킵니다.

예를 들어, 피싱 공격은 사용자가 웹사이트의 가짜 사본에 속아 넘어갈 때 사용자 이름과 암호를 제공하여 로그온하지 않기 때문에 덜 효과적입니다. 웹 사이트가 가짜인 경우 SSO 서버에서 해당 웹 사이트를 신뢰하지 않으며 요청을 위해 글로벌 사용자 토큰을 제출하려고 하면 로컬 세션 토큰을 얻지 못합니다. 이 경우 가짜 사이트에서 로그온이 자동으로 실패하여 사용자가 시도에 속지 않도록 보호합니다.

SSO 인증 시스템에 대해 단일 사용자 이름과 암호를 사용하면 위험이 증가할 수 있습니다. 이 기밀 데이터는 도난당할 경우 많은 온라인 서비스에 로그인하는 데 사용될 수 있으므로 매우 잘 보호해야 합니다.

다중 요소 인증, 자동 비밀번호 재설정, 비밀번호 재설정마다 다른 복잡한 비밀번호 요구, 장치 접근 제어와 같은 제로 트러스트 정책에 기반한 보안 전략은 SSO 시스템 보안을 높이는 데 도움이 됩니다.

결론

웹 SSO는 매우 편리하고 널리 사용됩니다. 그러나 모든 웹 SSO 시스템이 동일하게 생성되지는 않습니다. SSO 인증 공급자를 신중하게 선택하는 것이 이러한 인증 유형을 사용하는 첫 번째 규칙입니다. 이 제3자의 데이터 침해는 잠재적으로 심각한 손상을 일으킬 수 있는 많은 온라인 시스템에 액세스할 수 있는 로그인 자격 증명을 노출할 수 있습니다.

CTO와 IT 관리자는 SSO 인증 절차에 대한 정기적인 IT 보안 검토를 수행하고 제로 트러스트 전략을 따르는 것이 좋습니다. 포괄적인 보안 검토에는 인증 서비스를 제공하는 제3자에 대한 심층 보안 평가가 포함됩니다.