ID 공급자(IdP)는 무엇입니까?

ID 공급자(IdP)는 무엇입니까?

ID 공급자(IdP)는 사용자의 디지털 ID를 저장하고 관리합니다.IdP는 게스트 목록과 같지만, 이벤트용이 아니라 디지털 및 클라우드 호스팅 애플리케이션용이라고 생각하면 됩니다.IdP는 사용자 이름-비밀번호 조합 및 기타 요소를 통해 사용자 ID를 확인하거나 다른 서비스 공급자(예: SSO)가 확인하는 사용자 ID 목록을 제공할 수 있습니다.

IdP는 인간 사용자를 확인하는 데 국한되지 않습니다. 기술적으로 IdP는 컴퓨터 및 기타 장치를 포함하여 네트워크 또는 시스템에 연결된 모든 엔터티를 인증할 수 있습니다. IdP에 의해 저장된 모든 엔터티는 "사용자" 대신 "주체"로 알려집니다. 그렇지만 IdP는 클라우드 컴퓨팅에서 사용자 ID를 관리하는 데 가장 자주 사용됩니다.

사용자 ID란?

디지털 사용자 ID는 컴퓨터 시스템에서 확인할 수 있는 수량화 가능한 요소와 관련이 있습니다. 이러한 요소를 "인증 요소"라고 합니다. 세 가지 인증 요소는 다음과 같습니다.

• 지식: 사용자 이름 및 암호와 같이 알고 있는 내용
• 소유: 스마트폰과 같이 가지고 있는 품목
• 본질적인 특성: 지문이나 망막 스캔과 같은 자신의 특성

IdP는 이러한 요소 중 하나 이상을 사용하여 사용자를 식별할 수 있습니다.다중 요소를 사용하여 사용자 식별을 확인하는 것을 다단계 인증(MFA)이라고 합니다.

IdP가 필요한 이유는?

디지털 ID는 특히 클라우드 컴퓨팅의 경우 어딘가에서 추적해야 합니다. 클라우드 컴퓨팅에서는 누군가가 중요한 데이터에 액세스할 수 있는지 여부를 사용자 ID가 결정하기 때문입니다. 클라우드 서비스의 경우, 사용자 ID를 검색하고 확인하는 위치와 방법을 정확히 알아야 합니다.

공격자가 사용자를 가장하는 데 사용할 수 없도록 사용자 ID 기록도 보안 방식으로 저장해야 합니다. 클라우드 ID 공급자는 일반적으로 사용자 데이터를 보호하기 위해 추가 예방 조치를 취하는 반면, ID 저장 전용 서비스가 아닌 서비스는 인터넷에 열려 있는 서버와 같은 보안되지 않은 위치에 데이터를 저장할 수 있습니다.

IdP는 SSO 서비스와 어떻게 함께 작동할까요?

흔히 'SSO'라고 하는 Single Sign-On 서비스는 사용자가 모든 클라우드 서비스에 한 번에 로그인할 수 있는 통합된 장소입니다.이는 사용자에게 더 편리할 뿐만 아니라 SSO를 구현하면 사용자 로그인이 더 안전해지는 경우가 많습니다.

대부분의 경우 SSO와 IdP는 별개입니다. SSO 서비스는 IdP를 사용하여 사용자 ID를 확인하지만, 실제로 사용자 ID를 저장하지는 않습니다. SSO 공급자는 원스톱 상점보다 중개자에 가깝습니다. 회사를 안전하게 유지하기 위해 고용되었지만, 실제로는 그 회사의 일부가 아닌 경비원 회사와 같다고 생각하면 됩니다.

IdP는 별개이지만, SSO 로그인 프로세스의 필수적인 부분입니다. SSO 공급자는 사용자가 로그인할 때 IdP로 사용자 ID를 확인합니다. 확인이 끝나면 SSO는 연결된 클라우드 애플리케이션의 수와 관계없이 사용자 ID를 확인할 수 있습니다.

그러나 항상 그런 것은 아닙니다.SSO와 IdP는 이론적으로 동일할 수 있습니다.그러나 이 설정은 공격자가 애플리케이션에 액세스하기 위해 SAML 어설션*을 위조하는 경로상 공격에 훨씬 더 개방적입니다.이러한 이유로 IdP와 SSO는 일반적으로 분리됩니다.

*SAML 어설션은 사용자 인증을 확인하여 사용자가 애플리케이션에 액세스하고 사용할 수 있도록 하며 SSO 서비스에서 모든 클라우드 애플리케이션으로 전송되는 특수 메시지입니다.

이 모든 것이 실제로 어떻게 보일까요?

Alice가 고용주 사무실에서 업무용 노트북을 사용하고 있다고 가정해보겠습니다. Alice는 동료와 더 잘 협력하기 위해 회사의 라이브 채팅 애플리케이션에 로그인해야 합니다. Alice는 브라우저에서 탭을 열고 채팅 애플리케이션을 로드합니다. Alice의 회사에서 SSO 서비스를 사용한다고 가정하면 배후에서 다음 단계가 수행됩니다.

• 채팅 앱은 Alice의 신원을 확인하기 위하여 SSO를 요청합니다.
• SSO는 Alice가 아직 로그인하지 않았음을 확인합니다.
• SSO는 Alice에게 로그인하라는 메시지를 표시합니다.

이 시점에서 Alice의 브라우저는 그녀를 SSO 로그인 페이지로 리디렉션합니다.페이지에는 Alice가 사용자 이름과 비밀번호를 입력할 필드가 있습니다.Alice의 회사에서는 2단계 인증을 요구하기 때문에 Alice는 SSO가 자동으로 그녀의 스마트폰으로 문자를 보내는 짧은 코드도 입력해야 합니다.이 작업이 완료되면 Alice는 "로그인"을 클릭합니다.이제 다음과 같은 일이 발생합니다.

• SSO에서는 Alice의 회사에서 사용하는 IdP에 SAML 요청을 보냅니다.
• IdP는 Alice의 신원을 확인하는 SSO에 SAML 응답을 보냅니다.
• SSO는 Alice가 원래 사용하려고 했던 채팅 애플리케이션에 SAML 어설션을 보냅니다.

Alice는 채팅 애플리케이션으로 다시 리디렉션됩니다. 이제 Alice는 동료와 채팅할 수 있습니다. 전체 프로세스는 몇 초 밖에 걸리지 않았습니다.

Cloudflare는 ID 공급자와 어떻게 통합될까요?

Cloudflare Zero Trust는 사용자 액세스를 관리하기 위해 SSO 및 IdP와 통합하여 내부 팀을 안전하게 유지하는 데 도움이 됩니다.