출처: http://seri.egloos.com/1735440


하나의 아이디로 여러 사이트를 이용할 수 있는 시스템으로 'single sign on'의 첫글자를 따서 SSO라고도 한다. 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 각각의 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로, 1997년 IBM이 개발하였으며 우리나라에는 2000년 코리아닷컴이 처음 도입하였다. 이후 삼성전자(주)와 SK 등이 도입하며 활성화되어, 애니패스와 오케이캐쉬백·롯데타운 등 다양한 사이트와 네티그리티·다우기술 등 솔루션 공급업체도 많이 설립되었다.

개인의 경우, 사이트에 접속하기 위하여 아이디와 패스워드는 물론 이름·전화번호 등 개인정보를 각 사이트마다 일일이 기록해야 하던 것을 한 번의 작업으로 끝나므로 불편함이 해소되며, 기업에서는 회원에 대한 통합관리가 가능해 마케팅을 극대화시킬 수 있다는 장점이 있다. 특히 권한관리시스템(EAM)과 함께 사용할 경우 보안성과 효율성을 함께 갖춘 통합인증시스템으로 활용할 수 있어 향후 더욱 인기를 끌 것으로 전망된다.



- SSO의 이슈는 크게 세가지 입니다.

하나는 여러 UserDB를 어떤식으로 통합하는가?

그리고 어떤 인증방식(Authentication Scheme)을 통해 User를 확인 할 것인가?

인증받은 유저는 어떤 접근 권한을 (Authorization) 가지며 그 접근 권한에 따른 개인화 (Personalization)는 어떻게 구현 될 것인가? 하는 것입니다.

물론 그 이슈의 가운데는 보안이라는 녀석이 있어야 겠죠.

유저 통합을 통한 인증, 인가, 절차를 거치는 과정에서 이 보안성이란 것이 보장 되지 못하면SSO은 아무 의미가 없으니까요.


- 그러면 왜 이 SSO란 개념이 필요하게 되었을까요?

관리의
투명성과 신뢰성 그리고 Cost와 효율성 때문입니다. SSO의 세가지 큰 이슈를 만족 시키면서 모니터링까지 가능한 시스템들은 규모가 크고 구조가 복잡해 질 수록 더욱더 그관리가 복잡해 지게 됩니다.

예를들어 A라는 게임 포탈사이트는 게임 흥행의 성공으로 User가 폭발적으로 추가 되었고, 그에 따라 UserDB(사용자데이터베이스)는 증가 되어야만 했습니다.기타 관리 서버등의 증설도 불가피하게 되었지요.거기에 사업 확장에 따른 B포털사이트와의 전략적 제휴까지 맺게 되어 A와B라는 포탈은 성격은 다르지만 A,B어느쪽의 유저라도 A와 B의 서비스를 부분적으로 이용가능 하게 되었습니다.

이렇듯 시스템의 규모가 커질 수록  시스템의 구조는 더욱 복잡해지고 관리하기는 더욱 힘들게 될 것입니다. 전문가가 아니라면 그 복잡한 구조를 이해하는 데, 더 어려움이 생길뿐만 아니라, 문제가 발생했을때 그 문제를 처리하는 과정에서도 더 많은 시간과 노력을 초래하게 만듭니다. 그래서 SSO이란 하나의 솔루션이 등장한 것입니다.

이러한 이슈를 중심으로 SSO은 상품에 따라  방식에 차이가 있습니다. 마치 DataBase가 여러 종류 인것 처럼요.


인터넷 뱅킹하실때  XecureWeb이란 보안 프로그램이 설치되는 걸  보신적이 있을겁니다.

자물쇠모양의 프로그램이 설치 되어 오른쪽 하단 트레이에 설치 되는데 이것은 PKI(Public key Infrastructure)란 인증 형태를 가지는 SSO이라고 볼 수 있습니다. 엄밀하게는 EAM(Extranet Access Management)라고 말해야 할지 모르겠지만, 사실상 SSO->EAM->IAM(Identify Access Management)과 같은 형태가 됩니다. 어떤 관점에서 바라보느냐 또는 어떤 대상을 주로 하는가가 차이랄까요.

SoftForum의 XecureWeb의 주된 이슈는 '지금 이 계좌에 접근 할 수 있는 권한이 있는 사람은 오직 '나뿐' 그리고 PKI방식을 통해 인증 받는다' 라는 것에 있는 것 같습니다.

보통 우리가 생각하는 session과 cookie의 개념으로 보면여기서는 xecureWeb이란 프로그램을 통해 Client측에 그 고유의 정보를 보관한다. 정도가 되겠습니다.

반면  Netegrity의 Siteminder의 경우는위의 XecureWeb이 하는 방식과 달리 서버측에서 Siteminder Policy Server란 정책 서버를 통해 통합 관리를 하게 됩니다.User의 인증, 인가정책, UserDB의 통합 등의 모든 컨트롤 역시 이 Policy Server에서 제어 합니다. Siteminder는 다양한 인증 방식을 제공하며(일반 ID/PW방식부터 지문인식에 이르기까지), 다양한 인증스키마를 웹 프로그래밍언어등과 연동해서 구현 할 수 있는 API를 제공하기도 합니다.

성격과 구현 방식의 차이로 인해, XecureWeb은 주로 은행권에서 , 그리고 Siteminder는 Korea.com을 비롯한 대기업이나 통합포털 사이트에서 많이 적용되어 왔습니다.

아래의 그림은 netegrity의 영업자료의 있는 내용 중 유저 인증, 인가 과정등을 잘 말 해줍니다.

+ Recent posts