4. Single Sign-On with SAML

SSO (Single Sing-On)

• User가 Credential을 한 번 제공하면 다수의 어플리케이션에 접근할 수 있음
• 하나의 어플리케이션에 sign in을 하면, 같은 세션을 공유하는 다른 어플리케이션에 접근할 수 있음

 

SAML (Security Assertion Markup Language)

• XML 기반의 마크업 언어
• federated authentication, sso 구현에 쓰이는 개방형 표준
• 웹 기반 싱글 사인온 (Single Sign-On, SSO)을 구현하기 위한 프로토콜 중 하나
• Security information이 어떻게 xml 메시지로 인코딩되어 신뢰된 당사자들 간에 전달되는지 정의함
• IdP와 SP 사이에서 authentication과 authorization 데이터를 교환하기 위한 개방형 표준
• XML을 사용하여 IdP와 SP 간의 인증 및 권한 부여 정보를 교환하며, 이를 HTTP Redirect 또는 HTTP POST를 통해 전송

 

SAML2 Participants

participants : 참가자, SAML2 프로토콜을 사용하는 주체 또는 역할, 서로 상호작용

• User : IdP에 User account를 가지며, SP의 어플리케이션에 접하려고 함
• SP, relying party, client application : End User가 접근하고자 하는 웹이나 모바일 어플리케이션
• IDP, asserting party : User account를 관리함, 유저의 신원을 인증하는 책임을 가짐 (사용자가 시스템에 접근하려고 할 때, 시스템이 해당 사용자가 실제로 자신이 주장한 대상인지 확인하는 과정 거침)

보안 정보 교환 이전에 SP와 IdP 사이에 신뢰된 관계가 설정되어야 함

신뢰된 관계는 Public Key Cryptography(공개 키 암호화)에 기반함

 

SAML2 Authentication Flow

1. 시작:
   • SP 혹은 End User가 시작함
2. SP의 Authentication Request 생성 및 전송:
   • 사용자가 SP에 접근하면 SP는 Authentication Request를 생성하여 IdP로 보내서 사용자의 Identity Information을 요청함
   • Authentication Request : 사용자가 특정 서비스에 액세스하려고 할 때 SP에서 생성되고 IdP에게 전송되는 요청 사용자의 식별 정보를 전달하며 이를 기반으로 IdP가 사용자를 인증하는 데 필요한 작업을 수행하게 됨 XML 메시지로, SP의 정보와 IdP로부터 얻어야 하는 추가 요구 사항을 포함함
3. IdP의 Authentication Request 검증:
   • 해당 요청이 SAML 프로토콜 규칙을 준수하는지, 서명이 올바르게 적용됐는지, 예상한 형식과 구조를 갖추고 있는지 확인
4. IdP의 사용자 인증:
   • 사용자에게 자격 증명(credential)을 입력하도록 안내하거나 요청함
   • 주로 로그인 과정에서 사용자가 아이디와 비밀번호, 또는 다른 인증 수단을 입력하도록 하는 단계임
   • 사용자는 아이디, 비밀번호 등을 입력하여 로그인
5. Authentication 성공 후 Idp에서 SP로 반환:
   
   • 이 과정은 보안 및 인증의 표준인 SAML을 사용하여 안전하게 이루어짐
   • IdP는 세션을 만들고 SAML Assertion을 생성하여 SP에게 반환함
   • SAML Assertion : 사용자 인증 및 권한 정보를 포함하는 XML 형식의 문서
   • 응답에는 Authenticated User 이름과 요청된 속성 등이 포함됨
   • IdP는 Private Key를 사용하여 응답에 서명하고, SP는 IdP의 Public Key를 사용하여 검증함
6. 서비스 제공:
   • SP는 Authentication 및 서명 검증 후 user session을 생성하여 그에 따른 서비스를 제공

 

<사용자가 성공적으로 인증되었을 때 IdP에서 SP로 반환되는 과정>

1. 세션 생성:
   • 사용자가 성공적으로 인증되면 IdP는 해당 사용자를 위한 세션을 생성
   • 세션은 일반적으로 사용자의 로그인 상태를 추적하고 유지하는 데 사용됨
2. SAML Assertion 생성:
   • IdP는 SAML Assertion이라고 불리는 XML 형식의 문서를 생성
   • 이 문서에는 사용자의 인증 및 권한 정보가 포함됨
   • ex ) 사용자가 누구인지, 어떻게 인증되었는지, 어떤 권한이 부여되었는지 등
3. 응답에 포함된 정보:
   • IdP는 이 SAML Assertion을 응답 메시지에 포함시킴
   • 이 응답은 사용자의 인증이 성공했음을 나타내며, SP에서 이 정보를 사용하여 사용자에게 서비스를 제공함
   • 응답에는 사용자의 식별 정보와 SP에서 요청한 추가 정보를 포함
4. 서명:
   • IdP는 응답에 포함된 정보에 대해 Private Key를 사용하여 디지털 서명을 생성
   • 이 서명은 IdP가 응답을 생성했음을 증명하고, 메시지의 무결성을 보호함
5. 검증:
   • SP는 IdP의 Public Key를 사용하여 서명을 검증
   • 이를 통해 응답이 정확하게 IdP에서 생성되었고 변조되지 않았음을 확인 가능

 

SAML Assertion

• IdP가 SP에게 보내는 XML 문서로 user authorization을 포함
• 3 종류의 SAML Assertion이 있음
  • Authentication Assertion : User의 identification을 증명하고, 유저가 로그인한 시점과 사용된 Autentication의 메서드를 제공함
  • Attribute Assertion : User에 관한 정보(이름, email, 모바일 번호 등) 포함
  • Authorization Decision Assertion : 유저가 서비스를 사용하도록 Authorized되었는지, 혹은 권한 부족으로 인해 IdP가 Request를 거부했는지 보여줌

 

SAML Specifications

• SAML 2.0 Core : SAML Assertion의 syntax와 semantic과 요청 및 전송 프로토콜을 개선함
• SAML 2.0 Bindings
• SAML 2.0 Profiles
• SAML 2.0 Metadata

 

---

1. 사용자는 Service Provider (SP)에서 제공하는 서비스에 액세스하려고 시도
2. SP는 사용자를 Identity Provider (IdP)로 리디렉션함
3. 사용자는 IdP에서 로그인하고 인증되며, IdP는 SAML Assertion을 생성
4. IdP는 생성된 SAML Assertion을 안전하게 SP에게 반환함
5. SP는 받은 SAML Assertion을 검증하고, 사용자의 인증 및 권한 정보를 추출함
6. SP는 사용자에 대한 서비스를 제공하거나 권한을 부여함

 

• SP : IdP에서 제공된 SAML Assertion을 사용하여 사용자를 안전하게 인증
  (IdP는 사용자의 인증을 확인하고, 세션을 생성한 후에 이를 나타내는 메시지인 SAML Assertion을 생성하며, 이를 Service Provider (SP)로 전송함으로써 사용자의 인증 및 권한 정보를 안전하게 전달함)
• User : SP에서 추가적인 서비스나 자원에 액세스할 수 있음