현재 회사에서 IDaaS 프로젝트를 진행하고 있습니다. 관련 클라우드 및 보안 용어들이 많아서 이번 기회에 간단히 정리해봤습니다.

IDaaS란?

Identity as a Service의 줄임말인 IDaaS는 SaaS의 한 유형으로 클라우드 기반 중앙 관리 시스템입니다.

IDaaS 서비스의 목적은 사용자의 신원을 확인하여 소프트웨어 애플리케이션, 파일 또는 기타 리소스에 따라 적합한 엑세스 권한을 적시에 제공하는 것입니다.

클라우드 서비스 모델(SaaS, PaaS, IaaS, FaaS)을 생각하면 이해하기 쉽습니다.

주로 제공하는 기능으로 다음과 같이 있습니다.

• IAM(Identity and Access Management)
• SSO(Single Sign-On)
• MFA(Adaptive Multi-Factor Authentication)
• 보고 및 분석
• 솔루션/앱 연동 및 요금 비교
• 비정상적인 접속 차단
• 인사 동기화

IAM

ID 및 액세스 관리(identity and access management, IAM)는 올바른 엔티티(개인 또는 장치)가 올바를 리소스(애플리케이션 또는 데이터)를 적시에 원하는 디바이스로 방해 없이 사용할 수 있게 해주는 보안 정책입니다.

IAM은 IT 관리자가 단일 디지털 ID(테넌트 ID)를 각 엔티티(사용자 또는 장치)에 지정하고, 로그인 시 사용자를 인증하며, 지정된 리소스에 접근할 수 있는 권한을 부여하는 과정들을 모니터링 및 관리할 수 있는 시스템과 프로세스로 구성되어 있습니다.

주요 기능

• 사용자 관리: 사용자 계정 생성, 수정, 삭제
• 접근 권한 관리: 사용자 역할에 따라 특정 리소스에 대한 접근 권한을 설정
• 정책 관리: 보안 정책 및 규정을 설정하고 관리
• 감사 및 컴플라이언스: 사용자 활동 및 접근 기록을 추적하여 규정 준수를 지원

IAM의 예시로 AWS IAM이 있으며, AWS 리소스에 대한 접근을 관리할 수 있도록 도와줍니다.

SSO

SSO(Single Sign-On) 솔루션은 사용자가 하나의 자격증명으로 필요한 모든 애플리케이션에 접근할 수 있도록하는 것으로, 간편 로그인을 지원합니다.

이를 통해 여러 사용자 이름과 비밀번호를 기억할 필요가 없고, 생산성이 높아지며 원활한 환경을 제공합니다.

IdP

Identity Provider, ID 공급자(IdP)는 사용자의 디지털 ID를 저장하고 관리하여, 이를 기반으로 다양한 서비스에 대한 접근을 제공하는 시스템입니다.

주요 기능

• 사용자 인증
• 아이덴티티 관리
• SSO 지원
• SAML, OAuth, OpenID Connect 지원

대표적인 예시로 Google이 있습니다.

Google은 Google 계정을 통해 다양한 Google 서비스(예: Gmail, Google Drive)에 SSO 기능을 제공합니다.

IdP가 사용자 인증을 처리한 뒤 SSO는 인증 정보를 가지고 여러 서비스 접근에 사용합니다.

SAML

SAML(Security Assertion Markup Language)은 인증 정보 제공자와 서비스 제공자 간의 인증 및 인가 데이터를 교환하기 위한 XML 기반의 표준 데이터 포맷이다.

SAML은 인증 정보를 XML 포맷으로 생성하고, 이 XML 데이터를 암호화하여 제 3자에게 노출시키지 않고 전달할 수 있다.

OIDC

OIDC(OpenID Connect)는 OAuth 2.0위에 구축된 인증 프로토콜로 Json Web Token(JWT) 표준을 사용하는 완전한 인증 및 권한 부여 프로토콜입니다.

OIDC는 Authentication(인증)을 위한 기술이고, OAuth는 Authorization(인가)을 위한 기술입니다.

• 인증은 사용자가 누구인지 확인하는 절차
• 인가는 사용자가 요청한 자원에 대해 권한이 있는지 확인하는 절차

LDAP

LDAP(Lightweight Directory Access Protocol)은 사용자가 네트워크 상에서 조직, 구성원 등에 대한 데이터를 찾는데 도움이 되는 프로토콜입니다.

LDAP는 경량화된 버전의 디렉터리 서비스 프로토콜로, 효율적이고 빠른 데이터 접근을 제공합니다.

• 디렉터리 서비스: LDAP는 사용자, 그룹, 컴퓨터 및 기타 리소스에 대한 정보를 저장하는 데이터베이스 역할을 합니다. 이러한 정보는 계층적 구조로 조직됩니다.

• 객체와 속성: LDAP 디렉터리는 객체(예: 사용자, 그룹)와 그 객체의 속성(예: 이름, 이메일, 전화번호)으로 구성됩니다. 각 객체는 고유한 DN(Distinguished Name)으로 식별됩니다.

• 계층 구조: LDAP 디렉터리는 트리 구조로 구성되어 있어, 조직의 구조를 쉽게 표현할 수 있습니다. 예를 들어, 부서별로 그룹화하여 관리할 수 있습니다.

LDAP는 디렉터리 내에서 정보를 효율적으로 검색할 수 있는 기능을 제공하며, 사용자 및 리소스 정보를 추가, 수정, 삭제하는 중앙 집중식 데이터 관리가 가능합니다.

MFA

MFA(Multi-Factor Authentication), 다중 인증은 애플리케이션에 접근하기 위해 사용자 이름과 비밀번호의 조합보다 더 안전하게 사용자 신원을 확인하는 방법입니다.

MFA의 한 유형인 2FA는 비밀번호외에 추가 인증 요소를 포함한 인증 프로세스입니다.

2FA 인증 요소에는 다음과 같이 있습니다.

• SMS 기반
• 보안 앱 (Google Authenticator)
• FIDO (패스키, 암호화 키, 얼굴, 지문 등)
• Sound-Proof: 장치에 내장된 마이크에 주변 소음으로 확인하는 방법
• QR 코드

참고

• okta - IDaaS란? IDaas의 특징 및 이점 알아보기
• entrust - IDaaS(Identity as a Service)란 무엇인가요?
• jumpcloud - IAM vs. IDaaS: What’s the Difference?
• cloudflare - ID 및 액세스 관리(IAM)란 무엇입니까?
• cloudflare - ID 공급자(IdP)는 무엇입니까?
• cloudflare - SSO란? | 싱글 사인온의 작동 방식
• cloudflare - 다단계 인증(MFA)이란?
• IBM - 어디서나 가능한 다단계 인증(MFA)
• 호다닥 공부해보는 SSO와 친구들 (SAML, OAuth, OIDC)
• okta - OAuth, OpenID Connect, SAML의 특징 및 차이점
• red hat - 10.3. SAML과 OpenID Connect 비교
• red hat - LDAP(Lightweight Directory Access Protocol) 인증이란?