여러 웹 서비스를 사용하는 경우(사용하지 않는 사람은 누구입니까?), 특히 기업 환경에서 여러 계정과 비밀번호를 관리하는 것이 얼마나 어려운지 알고 계실 것입니다. 각 서비스에 대해 서로 다른 자격 증명을 기억하거나 저장해야 할 수 있으며 일부 회사에서는 보안 정책을 준수하기 위해 자주 업데이트해야 할 수도 있습니다. 또한 비밀번호를 잊어버린 경우 계정에 대한 액세스 권한을 잃을 위험이 있습니다. 그리고 누군가가 팀을 떠나는 경우 IT는 서비스에 대한 액세스가 적시에 취소되도록 해야 합니다.
간단히 말하면 비밀번호 관리는 사용자와 IT 모두에게 번거로운 작업입니다. 이것이 바로 많은 기업 고객이 Single Sign-On 솔루션을 선호하는 이유입니다. SSO(Single Sign-On)는 사용자가 단일 자격 증명 세트로 여러 웹 서비스에 로그인할 수 있도록 하는 기술입니다. SSO를 사용하면 추가 자격 증명을 기억하거나 저장할 필요가 없으므로 개별 사용자가 더 쉽게 사용할 수 있습니다. 또한 SSO를 사용하면 누군가 팀을 떠날 때 SSO 제공업체에서 해당 계정을 제거하기만 하면 액세스 권한을 쉽게 취소할 수 있습니다. SSO가 작동하려면 ID 공급자가 필요합니다. ID 공급자는 사용자를 인증하고 다른 웹 서비스에 대한 액세스 토큰을 제공하는 서비스입니다. 잘 알려진 ID 제공업체로는 Active Directory를 갖춘 Microsoft나 OpenID Connect 구현을 갖춘 Google 및 Okta가 있습니다.
지난 몇 년 동안 여러 사용자가 SSO에 대한 지원을 요청하면서 우리에게 접근했습니다. 그래서 우리는 최근 OpenID Connect, OAuth2 또는 LDAP를 사용하는 모든 ID 공급자와 슬롯 나라 엔진을 통합하는 기능을 추가했습니다. 이 모든 기능을 사용하면 비밀번호를 공유하지 않고도 웹 서비스에 대한 보안 인증이 가능해집니다. 이를 통해 사용자는 기업 ID 공급업체의 기존 계정으로 로그인할 수 있습니다.
슬롯 나라 엔진에 SSO를 추가하는 방법
다음은 슬롯 나라 엔진에서 SSO를 설정하는 방법에 대한 간단한 설명입니다.
- 슬롯 나라 엔진 관리자는 올바른 구성을 사용하여 슬롯 나라 엔진에 새로운 ID 공급자를 추가합니다. 이 부분이 가장 어려운 부분입니다. 제공업체(Google, Microsoft, Okta 등)마다 프로세스가 조금씩 다르기 때문입니다.
- 슬롯 나라 엔진의 초대자, 즉 엔진에 추가 사용자를 추가할 수 있는 사용자는 엔진 관리자가 새로 생성한 ID 공급자를 사용할 수 있는 권한을 얻습니다. 엔진은 '초대 전용'이므로 사용자를 추가하는 과정은 항상 초대자 역할을 가진 사람을 거쳐야 합니다.
- 초대자는 이제 새로운 ID 공급자를 사용하여 새로운 사용자를 위한 초대 토큰을 생성하고 공유할 수 있습니다. 이 작업은 두 가지 방법으로 수행할 수 있습니다. 이름 제한이 없습니다. 즉, 해당 ID 공급자를 사용하는 사람은 누구나 초대 토큰을 사용하고 엔진에 액세스할 수 있습니다.
- 이름 제한 있음. 즉, 액세스는 특정 사용자 ID로 제한될 수 있습니다.paul@example.com이제 새 사용자는 Azure, Google 또는 Okta 계정에 로그인되어 있는 한 엔진에 로그인하기 위해 비밀번호를 추가할 필요가 없습니다.
그림 1은 OpenID Connect에서 참여 당사자 간의 통신이 어떻게 작동하는지 보여줍니다. OAuth 또는 LDAP의 프로세스는 다소 유사하며 자세한 내용은 슬롯 나라 엔진 문서에서 확인할 수 있습니다(https://슬롯 나라com/engine/administration.html#oidc-identity-providers) .
그림 1.OpenID Connect를 사용한 인증 프로세스입니다. (1) 사용자는 회사의 OIDC 공급자에게 ID 토큰을 요청합니다. 공급자가 사용자를 알고 있으면 유효한 ID 토큰을 사용자에게 보냅니다(2). 그런 다음 이 토큰은 액세스 토큰을 요청하기 위해 슬롯 나라 엔진으로 전송됩니다(3). 사용자 계정이 슬롯 나라 엔진에 존재하고 ID 토큰이 유효한 경우(4), 엔진은 사용자에게 액세스 토큰을 다시 보냅니다(5). 이제 사용자는 슬롯 나라 엔진과 통신할 때 이 액세스 토큰을 사용할 수 있습니다.
더욱 편리해지고 보안이 강화됩니다.
보시다시피 Engine SaaS를 ID 제공업체에 연결하면 사용자의 로그인이 더욱 편리해집니다. 경험에 따르면 비밀번호 관리 도구가 있음에도 불구하고 사람들은 특히 업무에 사용하는 다양한 계정의 수가 증가할 때 비밀번호를 잘 관리하지 못하는 것으로 나타났습니다. 따라서 Single Sign-On 솔루션을 사용하면 관리해야 하는 비밀번호 수가 줄어들고 대부분의 사람들을 위한 IT 보안이 강화됩니다.
또한 타사 ID 제공업체를 사용하는 경우,해당 공급자가 제공하는 모든 다단계 인증 기능은 자동으로 슬롯 나라 엔진에 적용됩니다.예를 들어, 귀하의 ID 제공업체가 로그인을 위해 휴대전화의 코드를 입력하거나 생체 인식 스캔을 요구하는 경우 슬롯 나라 엔진에 액세스하려면 해당 코드를 입력해야 합니다. 특히 점점 늘어나는 신원 도용 사례를 고려하면 이 기능을 항상 활성화해야 합니다. 나쁜 경우에는 OpenID Connect 또는 OAuth2 프로필에 대한 액세스 권한을 얻은 공격자가 추가 확인 없이 연결된 모든 서비스에 로그인할 수도 있습니다. 따라서 슬롯 나라 엔진뿐만 아니라 다단계 인증을 활성화하세요!
최종 발언
Single-Sign-On 요구 사항에 맞는 공급자를 선택할 때 위험을 무시해서는 안 됩니다. 해당 공급자는 IT 인프라의 가장 중심적인 위치에 있으며 잠재적인 단일 실패 지점을 제공합니다. 공급자를 신뢰하는지 확인하고 고객 데이터를 잃지 않고 가동 시간이 좋은 것으로 평판이 좋은 공급자를 선택하십시오. 다음 주소로 문의해 주세요.support@슬롯 나라com, 이와 관련하여 도움이 필요하시면.