기업에서 애플리케이션을 새로 구축할 때마다 엔드 유저는 새로운 자격 증명 세트를 만들고 기억해야 합니다. 그 결과, 직원들이 기억해야 할 비밀번호의 개수가 너무 많아집니다. 평균적으로 사용자는 매일 최소 10개의 비밀번호를 기억해야 하지만, 매달 최대 3개의 비밀번호를 잊어버립니다.
직원의 약 40%는 다양한 계정에서 2 - 4개의 비밀번호 를 똑같이 사용하고 있고, 10%는 모든 애플리케이션에서 단 하나의 비밀번호를 사용하고 있습니다. 비밀번호가 취약할 경우, 해커는 훔친 자격 증명을 사용해 손쉽게 다른 중요 데이터에 액세스할 수 있습니다. 이렇게 되면 개인과 기업 모두의 보안이 위험에 빠집니다. 따라서 조직들은 FIM 및 SSO 같은 툴을 도입함으로써 사용자가 모든 애플리케이션에 손쉽게 액세스할 수 있게 해줘야 합니다.
우선은 이들 솔루션의 미묘한 차이를 이해하는 것이 중요합니다. FIM은 SSO와 어떻게 다르고, 각각의 접근 방식에 가장 적합한 사용 사례는 무엇일까요?
SSO (Single Sign-On)란?
이름에서 알 수 있듯이 SSO는 사용자가 단 하나의 자격 증명 세트를 사용해 여러 웹 애플리케이션을 한 번에 액세스할 수 있게 해주는 기능입니다. HR, 급여 및 커뮤니케이션을 위해 다양한 애플리케이션을 구축한 기업의 경우, SSO 솔루션을 도입하면 직원이 단 한 번의 로그인으로 각각의 서비스에 액세스할 수 있습니다. 따라서 사용자는 더 이상 여러 개의 비밀번호를 기억할 필요가 없기 때문에 업무를 손쉽게 수행할 수 있고, IT는 비밀번호 리셋에 소요되는 시간을 줄일 수 있습니다.
직원들뿐만 아니라 회사 입장에서도 SSO를 활용하면 고객이 한 계정의 다양한 섹션에 액세스하도록 지원할 수 있습니다. 예를 들어, 많은 브랜드가 있는 소매 네트워크에서 SSO를 사용하면 고객이 중앙의 단일 대시보드에서 각 매장의 계정에 액세스할 수 있도록 함으로써 사용자 경험을 향상시킬 수 있습니다. 사이트 간을 전환할 때는 동일한 자격 증명을 통해 사용자가 재인증됩니다.
FIM (Federated Identity Management) 이란?
툴 측면에서 SSO는 보다 광범위한 FIM 모델에서 적합합니다. 이 모델은 한 도메인의 엔터티가 다른 도메인에 저장된 사용자 정보에 액세스하는 것이 불가능했던 초기 인터넷 인프라의 제약을 해결하기 위해 개발되었습니다. 다양한 도메인에서 비즈니스를 수행하는 회사의 경우, 직원과 고객 모두에게 간소화된 경험을 제공하기 어렵다는 점에서 특히 문제가 되었습니다.
FIM 솔루션은 기업과 애플리케이션이 사용자 아이덴티티를 공유하는 데 도움이 되는 일련의 계약 및 표준으로서 개발되었습니다. 기본적으로 구독자가 동일한 아이덴티티를 사용해 다양한 애플리케이션에 액세스할 수 있도록 여러 조직 간에 합의를 할 수 있습니다. 간단히 말해 Facebook 계정 세부 정보로 Spotify에 로그인하는 것이 허용됩니다.
여기에 더해 FIM 시스템에서는 사용자 자격 증명을 검토 및 인증하는 책임은 애플리케이션 자체가 아니라 IdP (Identity Provider, 아이덴티티 공급업체)에게 있습니다. 따라서 사용자가 특정 SP(서비스 공급업체) 또는 애플리케이션에 로그인을 시도하면 SP는 IdP와 커뮤니케이션하여 사용자를 인증합니다. 이러한 사용자 아이덴티티 권한 인증은 종종 오픈 소스 방식의 SAML(Security Assertion Markup Language), 이나 OAuth 또는 OpenID Connect 같은 기타 관련 표준을 통해 실행됩니다.
차이점
SSO와 FIM의 중요한 차이점이라면 SSO가 한 조직 내의 다양한 시스템에서 단일 자격 증명을 인증하도록 설계된 반면, FIM 시스템은 다양한 기업의 여러 애플리케이션에 대한 단일 액세스를 제공한다는 것입니다.
즉, SSO는 FIM의 역할을 수행할 수 있지만, SSO를 적용한다고 해서 반드시 FIM이 가능한 것은 아닙니다. 다만 중요한 것은, 두 툴 모두가 조직이 데이터를 보호하고 장애물을 최소화하여, 사용자 경험을 향상시키는 데 있어 중요한 역할을 합니다.